黑客最喜欢的十大凭据窃取工具
虽然黑客可以选择的工具很多,但某些工具窃取的密码数量明显更多。从下面的数据可以看出,仅在过去六个月内,Redline恶意软件就窃取了高达1.7亿条密码。这意味着Redline占据了所有被分析密码的近一半(47%)。这个数字甚至超过了排名二到四的凭据窃取工具的总和:Vidar(17%)、Raccoon Stealer(11.7%)和Meta(10.6%)。
三大密码窃取恶意软件分析
1. Redline
数据显示,RedLine是一款极其流行的窃密工具。它于2020年3月首次被发现,主要目标是窃取各类个人信息,包括凭据、加密货币钱包和财务数据,然后将这些信息上传到恶意软件的指挥控制(C2)基础设施。在很多情况下,RedLine会与加密货币挖矿程序一起投放,特别是在针对拥有高性能GPU的游戏玩家的攻击活动中。
Redline的传播方式多种多样,但钓鱼攻击是最常见的。威胁行为者会利用新冠疫情等全球性事件作为诱饵,诱使人们点击并下载窃密工具。从2021年年中开始,YouTube也成为了RedLine的传播渠道,具体过程如下:
-
首先,威胁行为者入侵Google/YouTube账号 -
入侵成功后,威胁行为者创建不同的频道或直接在频道上发布视频 -
在视频描述中(通常是宣传游戏作弊和破解,提供如何破解流行游戏和软件的教程),威胁行为者会附上与视频主题相关的恶意链接 -
用户点击链接后会不知不觉下载Redline,导致密码和其他私人信息被窃取
2. Vidar
Vidar是知名的Arkei Stealer的进化版本。它会检查被感染机器的语言偏好,以将某些国家列入白名单进行进一步感染。之后,它会生成一个互斥体并初始化运行所需的字符串。黑客可以使用两种不同版本的C2。原始版本与付费版Vidar Pro相关联。另外还有一个C2版本用于在地下论坛分发的破解版Vidar,被称为Anti-Vidar。
2022年初,Vidar被发现通过Microsoft编译的HTML帮助(CHM)文件在钓鱼活动中传播。此外,该恶意软件还被发现通过PPI恶意软件服务PrivateLoader、Fallout漏洞利用工具包和Colibri加载器进行传播。到2023年底,该恶意软件被观察到由GHOSTPULSE恶意软件加载器投放。
3. Raccoon Stealer
Raccoon Stealer是一款在网络犯罪地下市场出售的信息窃取恶意软件。Raccoon Stealer团队采用"恶意软件即服务"模式,允许客户按月租用该窃密工具。它于2019年4月8日首次在顶级俄语论坛Exploit上出售。Raccoon Stealer的宣传口号是:"我们偷,你卖!"
它主要在Exploit和WWH-Club等俄语地下论坛上销售。2019年10月20日,威胁行为者也开始在著名的英语论坛Hack Forums上提供Raccoon Stealer。在地下论坛上推广Raccoon Stealer的威胁行为者偶尔会提到"测试周",这可能表明潜在的黑客可以免费试用该产品。
被盗凭据的流向
一些威胁行为者会利用被盗凭据自己发起进一步攻击,但很多人会试图在暗网上批量出售以获取经济利益。其他攻击者会购买这些凭据,试图用它们获取你网络的初始访问权限。
暗网是深网的一个子集,无法通过普通web浏览器访问。你需要特殊软件如Tor浏览器、VPN服务(Tor网络)和洋葱路由才能访问。暗网并非只用于网络犯罪,但其地下论坛和市场因身份盗窃、勒索软件即服务、钓鱼即服务和私人数据交易而臭名昭著。简单来说,你绝不会希望在暗网上发现你的最终用户的凭据被初始访问代理(IAB)们交易。
地下论坛用户在兜售2.4TB的日志,包括凭据。这些可以用论坛积分交换,积分可以购买或赚取。
凭据是网络犯罪分子的重要资产,因为它们提供了最简单的组织入侵方式——而暗网就是它们最终的交易场所。如果没有威胁情报或可以扫描受损密码的工具,组织很难知道他们的最终用户的凭据是否已经出现在暗网上。
密码可能因各种原因而泄露,但对Active Directory环境最大的风险是密码重复使用。即使你有有效的密码策略,强密码仍可能因为人们在不安全的网站和设备上重复使用工作密码而泄露。这些密码可能在你不知情的情况下被泄露并在网上出售。没有完美的方法可以阻止密码重复使用这样的人为行为,因此拥有能够持续扫描Active Directory,检查是否存在已知泄露密码的工具就显得尤为重要,这些密码可能已经出现在暗网市场上。
俄罗斯暗网论坛上正在出售比利时的凭据。注意使用的是Redline和Risepro窃密工具。
原文始发于微信公众号(独眼情报):黑客用来窃取用户密码的顶级恶意软件
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论