最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

网络犯罪团伙越来越多地采用Aurora信息窃取恶意软件

网络安全 快米云 来源:快米云 192浏览

盗窃者

网络犯罪分子越来越多地转向一种名为“Aurora”的基于 Go 的新型信息窃取程序,以从浏览器和加密货币应用程序中窃取敏感信息,直接从磁盘中窃取数据,并加载额外的有效负载。

根据网络安全公司 SEKOIA的说法,至少有七个活跃的著名网络团伙专门采用了 Aurora,或者与另外两个已建立的信息窃取恶意软件系列 Redline 和 Raccoon 一起采用。

吹嘘使用 Aurora 的网络帮派之一
Cyber​​gang 吹嘘在 Raccoon 沿线使用 Aurora
资料来源:news.zzqidc.com

Aurora 受欢迎程度突然上升的原因是它的低检测率和普遍未知的状态,使得它的感染不太可能被发现。

同时,Aurora 提供了先进的数据窃取功能以及可能的基础设施和功能稳定性。

极光的历史

Aurora 于 2022 年 4 月在俄语论坛上首次发布,被宣传为具有最先进的信息窃取和远程访问功能的僵尸网络项目。

正如KELA今年早些时候报道的那样,Aurora 的作者希望组建一个小型测试团队,以确保最终产品足够好。

然而,在 2022 年 8 月下旬,SEKOIA 注意到 Aurora 被宣传为窃取者,因此该项目放弃了创建多功能工具的目标。

促销帖子中列出的突出特点是:

  • 不需要加密器包装的多态编译
  • 服务器端数据解密
  • 针对 40 多个加密货币钱包
  • MetaMask 的自动种子短语推导
  • 密码收集的反向查找
  • 在 TCP 套接字上运行
  • 在许可证检查期间仅与 C2 通信一次
  • 完全原生的小负载 (4.2 MB),不需要任何依赖

上述功能面向高级隐蔽性,这是 Aurora 相对于其他流行信息窃取程序的主要优势。

租用恶意软件的费用设置为每月 250 美元或终身许可证 1,500 美元。

窃取者分析

执行后,Aurora 通过 WMIC 运行多个命令以收集基本主机信息、拍摄桌面图像并将所有内容发送到 C2。

Aurora 在启动时执行的命令
Aurora 在启动时执行的命令
来源:news.zzqidc.com

接下来,该恶意软件的目标是存储在多个浏览器(cookie、密码、历史记录、信用卡)、加密货币浏览器扩展、加密货币钱包桌面应用程序和 Telegram 中的数据。

目标桌面钱包应用程序包括 Electrum、Ethereum、Exodus、Zcash、Armory、Bytecoin、Guarda 和 Jaxx Liberty。

所有被盗数据都捆绑在一个 base64 编码的 JSON 文件中,并通过 TCP 端口 8081 或 9865 泄露到 C2。

SEKOIA 报告说,他们无法像恶意软件的作者所承诺的那样确认工作文件抓取器的存在。

但是,分析人员观察到 Aurora 的恶意软件加载程序使用“net_http_Get”将新的有效负载放入使用随机名称的文件系统,然后使用 PowerShell 执行它。

负载加载器函数
payload loader函数
来源:news.zzqidc.com

电流分布

目前,Aurora 通过各种渠道分发给受害者,考虑到七家不同的运营商的参与,这是可以预料的。

SEKOIA 注意到通过链接到假冒软件和作弊目录网站的网络钓鱼电子邮件和 YouTube 视频推广的加密货币网络钓鱼网站。

用于分发恶意软件的站点之一
用于恶意软件分发的站点之一
来源:news.zzqidc.com

有关用于 Aurora 分发的 IoC(妥协指标)和站点的完整列表,请查看SEKOIA 的 GitHub 存储库。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 网络犯罪团伙越来越多地采用Aurora信息窃取恶意软件