walker 资讯 2022-01-24 10:59:00
收藏
今年早些时候,我们介绍了与游戏相关的威胁,并研究了 2020 年和 2021 年上半年移动和 PC 游戏以及利用视频游戏的各种网络钓鱼计划的变化。游戏玩家面临的许多威胁都与个人数据的丢失有关,尤其是与各种游戏服务的帐户有关。
这种趋势并非 PC 或手机游戏或整个游戏行业所独有。尽管如此,由于游戏为用户提供了大量的游戏内好东西,甚至拥有自己的货币,因此网络犯罪分子对游戏账户特别感兴趣。
在本报告中,我们仔细研究了与 Steam 和 Origin 等流行视频游戏数字分发服务的帐户丢失相关的威胁。我们还探讨了最终在黑市上出现的与游戏相关的数据类型和价格。
背景
2021 年 3 月,我们在一个讲俄语的地下论坛上注意到名为“BloodyStealer”的恶意软件广告。根据广告,BloodyStealer 是一种恶意窃取程序,能够获取会话数据和密码以及 cookie 泄露,并且通常可以防止逆向工程和恶意软件分析。买家可以使用 Telegram 频道以及传统的网络面板与 C&C 进行沟通。作者提供潜在客户通过电报取得联系。BloodyStealer 的价格为 700 RUB(不到 10 美元)一个月或 3000 RUB(约 40 美元)终身。
BloodyStealer 广告
该广告突出了 BloodyStealer 的以下功能(按原样翻译自俄语):
· 来自浏览器的 cookie、密码、表格、银行卡的抓取工具
· 窃取有关 PC 和屏幕截图的所有信息
· 从以下客户端窃取会话:Bethesda、Epic Games、GOG、Origin、Steam、Telegram、VimeWorld
· 从桌面 (.txt) 和 uTorrent 客户端窃取文件
· 从内存中收集日志
· 重复记录保护
· 逆向工程保护
· 在独联体中不起作用
引起我们注意的是 BloodyStealer 能够获取与安装在受感染系统上的计算机游戏相关的信息。BloodyStealer 针对主要在线游戏平台,如 Steam、Epic Games Store、EA Origin 等。
在我们调查时,与 BloodyStealer 相关的论坛帖子尚未公开,但对论坛可见信息的分析表明,与 BloodyStealer 相关的讨论仍在私人渠道中继续进行。这一点,以及自发布以来观察到可见的窃取活动这一事实表明,BloodyStealer 背后的威胁行为者已决定仅将其产品提供给地下论坛的 VIP 成员。
卡巴斯基产品将威胁检测为 Trojan-Spy.MSIL.Stealer.gen。有关 BloodyStealer 的其他技术信息(恶意技术、YARA 规则等),请联系 [email protected]。
BloodyStealer 技术细节
反分析
在我们的研究中,我们能够识别出几种反分析方法,这些方法用于使 BloodyStealer 的逆向工程和分析变得复杂,包括使用加壳程序和反调试技术。由于窃取器在地下市场上出售,因此每个客户都可以使用他们选择的包装器来保护他们的样本,或者将其包含在多级感染链中。自 BloodyStealer 发布以来,我们一直在对其进行监控,因此我们注意到大多数 BloodyStealer 样本都受到名为“AgileNet”的商业解决方案的保护。
在分析在野外发现的样本时,我们发现其中一些样本不仅受到 AgileNet 的保护,而且还受到其他非常流行的 .NET 环境保护工具的保护,例如 Confuser。
受害者识别、与 C&C 的通信和数据泄露
BloodyStealer 能够为每个受感染的受害者分配一个唯一标识符。标识符是通过提取数据创建的,例如系统的 GUID 和序列号 (SID)。此信息是在运行时提取的。除了这个识别,BloodyStealer 通过从域 whatleaks[.]com 请求信息来提取 C&C 的公共 IP 地址。
用于获取公网 IP 的请求
在为受害者分配一个 UID 并获得 C&C IP 地址后,BloodyStealer 从受感染的机器中提取各种数据,创建一个包含有关被窃取数据的信息的 POST 请求,并将其发送给恶意 C&C。数据本身稍后会作为未受保护的 ZIP 存档发送到配置的 C&C 服务器,并具有如下所示的结构。
受感染系统中配置的 IP 地址用作 ZIP 存档的名称。
BloodyStealer 作为多阶段感染链的一部分
在我们对 BloodyStealer 样本的分析中,我们发现了获得该产品的各种威胁参与者如何决定将窃取器用作其他恶意软件执行链的一部分,例如 KeyBase 或 Agent Tesla。将窃取程序组件与其他恶意软件家族结合的犯罪分子还使用其他打包程序(例如 Themida)保护了 BloodyStealer。
BloodyStealer 与其他恶意软件系列或黑客工具一起使用
根据 BloodyStealer 在地下市场上的售价,我们可以预期它将与其他流行的恶意软件系列结合使用。
命令与控制
如上所述,BloodyStealer 将所有泄露的数据发送到 C&C 服务器。网络犯罪分子可以使用 Telegram 或通过网络面板访问数据。然后可以将收集到的数据出售给其他网络犯罪分子,他们反过来会尝试将其货币化。
BloodyStealer C&C 登录页面
当犯罪分子登录到 C&C 网络面板时,他们将看到一个带有受害者相关统计数据的基本仪表板。
BloodyStealer 统计仪表板
在旋转用于分配内容面板的结构时,我们能够识别位于的第二个 C&C 服务器
hxxp://gwrg23445b235245ner.mcdir[.]me/4/654/login.php
两台 C&C 服务器都放置在 Cloudflare 后面,Cloudflare 隐藏了它们的原始 IP,并提供了一层保护,防止 DDoS 和 Web 攻击。
与其他现有的恶意软件工具相比,BloodyStealer 在市场上仍然相当新;然而,通过分析可用的遥测数据,我们发现在欧洲、拉丁美洲和亚太地区发现了 BloodyStealer。在调查期间,我们观察到 BloodyStealer 主要影响家庭用户。
暗网市场
不幸的是,BloodyStealer 只是针对游戏玩家的窃取者的一个例子。随着更多的使用,网络犯罪分子收集了大量与游戏相关的日志、登录凭据和其他数据,刺激了一个完善的供需链,用于在暗网上窃取凭据。在本节中,我们将深入挖掘黑暗游戏市场,并查看那里可用的游戏相关物品类型。
我们的专家专门了解暗网上发生了什么,他们对这些平台上作为商品的用户数据的当前状态进行了研究,以找出需要什么样的个人数据、用于什么以及如何使用它要花很多钱。出于本报告的目的,我们分析了 12 个使用英语或俄语的国际暗网论坛和市场上的活跃报价。
批发交易
暗网卖家提供种类繁多的商品,批发和零售。具体来说,最受欢迎的批发产品之一是原木。
在这些示例中,网络犯罪分子提供日志:包含超过 65,000 条日志的存档,价格为 150 美元,包含 1,000 条私人日志的软件包价格为 300 美元
日志是访问帐户所需的凭据。这些通常采用保存的浏览器 cookie、有关服务器登录的信息、桌面屏幕截图等形式。它们是访问受害者帐户的关键。日志可能已过时,仅包含旧游戏会话,甚至没有与帐户相关的数据。这就是为什么它们需要在使用前进行检查。在原木销售链中,有几个角色。
首先,有些人在僵尸网络或网络钓鱼计划的帮助下窃取日志。这些是运营商。运营商可能在他们的云中收集了数千条日志,但需要验证整个数据流。为了处理日志,网络犯罪分子需要检查登录名和密码组合是否仍然相关,距离上次密码或电子邮件更改已经过去了多少天(即受害者是否发现帐户被盗)并检查余额。欺诈者可能会自行完成,但这可能会非常耗时,因为需要处理数千条日志。为此,有日志检查器:拥有处理日志的特殊工具的网络犯罪分子。该软件收集有关已处理日志的统计信息,检查员获得利润的一部分:通常为 40%。
可以按单位购买原木并手动处理,也可以批量购买并在专业服务的帮助下进行处理。每根原木的平均价格为 34 美分;每 100 根原木的价格为 17.83 美元。
该广告商以 25,000 美元的价格向一个人提供一批日志,但未提及数据量
还有一些欺诈者的网站覆盖面广,提供放置恶意软件的链接作为一种分发方式。这些欺诈者在暗网上的广告中附上流量和下载统计数据以吸引更多客户。
零售选择
如果网络犯罪分子专门从事小额销售(两到十件物品),那么他们在暗网上提供的商品类型将包括某些游戏、游戏内物品和流行游戏平台的帐户。重要的是,这些产品的售价通常仅为原价的 60-70%,因此客户可以在暗网市场上获得优惠。一些犯罪分子可以拥有数千个帐户,并以极大的折扣提供这些帐户的访问权限,因为其中许多帐户毫无用处:有些不花钱,而另一些则已被其原始所有者找回。
一个人只需 4000 美元就可以为各种游戏平台提供数千个用户名和密码
暗网卖家提供被盗帐户,重要的选择标准是帐户中可用的游戏数量以及帐户创建时间。游戏和附加组件并不便宜,这就是网络犯罪分子卷入战斗的地方,以低得多的价格提供同样流行的游戏。除了 Steam,Origin、Ubisoft Store、GOG、Battle.net 等游戏平台上的账户也被盗和转售。
卖家正在提供游戏内物品。原价为 20.5 美元,但客户可以以 16.45 美元的价格非法获得这些产品。
除了某些游戏和账户,网络犯罪分子还以原价 30-40% 的折扣出售各种游戏中的稀有装备。如果拥有物品的 Steam 帐户对向其他玩家发送礼物没有限制,例如,没有电子邮件确认要求,这是可能的。
一些网络犯罪分子还出售所谓的“Steam balance”。根据来源,蒸汽平衡可以是“白色”或“黑色”。白色表示从卖家自己的账户中出售。玩家可能厌倦了游戏并决定出售他们的帐户以及所有相关的游戏内物品,在黑市上提供,因为 Valve 不批准这种交易。此类帐户可用于非法活动,例如欺诈或洗钱,因为它们在 Steam 看来并不可疑。黑平衡意味着 Steam 帐户是非法获得的,例如通过网络钓鱼、社会工程或其他网络犯罪技术。网络犯罪分子尽最大努力通过购买 Steam 卡、游戏内物品、礼物等来取款,然后在支持服务的帮助下,在原始所有者重新控制其财产之前。
一个人正在概述一个在 PUBG 网络钓鱼页面的帮助下窃取帐户的计划
除了购买商品外,暗网论坛访问者还可以购买网络钓鱼工具的访问权限,这是一个不太受欢迎的优惠。正如您在屏幕截图中看到的那样,网络犯罪分子提供了一个名为“Black Mafia”的工具。在接受仅用于教育目的的条件后,甚至可以从 GitHub 下载网络钓鱼工具。
犯罪分子可以使用该工具创建网络钓鱼链接并将其发送给毫无戒心的受害者。这通常遵循久经考验的流程:受害者单击链接并输入他们的凭据,然后最终落入欺诈者手中。
结论
本概述展示了游戏日志和登录窃取业务的结构。随着游戏行业的发展,我们预计这种网络犯罪活动在未来不会减弱——相反,随着针对游戏玩家的工具的不断发展,我们可能会看到更多攻击的领域。BloodyStealer 是网络犯罪分子用来渗透游戏市场的高级工具的一个典型例子。凭借其高效的反检测技术和诱人的价格,它肯定会很快与其他恶意软件系列结合使用。此外,凭借其有趣的功能,例如提取浏览器密码、cookie 和环境信息以及抓取与在线游戏平台相关的信息,BloodyStealer 提供了可以从游戏玩家那里窃取并随后在暗网上出售的数据的价值。暗网论坛上出售的游戏相关商品的概览也证实,这对网络犯罪分子来说是一个有利可图的利基市场。随着在线游戏平台账户持有有价值的游戏内商品和货币,这些成为一个多汁的目标。尽管购买帐户是一场赌博,因为这些帐户可能包含也可能不包含可以出售的商品,但网络犯罪分子愿意下注 - 并且肯定会找到希望节省娱乐费用的客户。
为尽量减少丢失游戏帐户的风险,请遵循以下简单提示:
尽可能使用双重身份验证保护您的帐户。对于其他人,请梳理帐户设置。
一个强大、可靠的安全解决方案将对您有很大帮助,尤其是如果它不会在您玩游戏时降低您的计算机速度。同时,它将保护您免受所有可能的网络威胁。我们推荐卡巴斯基全方位安全软件。它可以与 Steam 和其他游戏服务顺利配合。
只在官方网站上购买游戏并等待销售更安全——这些活动经常发生,通常与万圣节、圣诞节、圣瓦伦丁节等重大节日有关,因此您不会长时间坐在自己的手上。
尽量避免购买第一个弹出的东西。即使在 Steam 的夏季特卖期间,在为一个鲜为人知的标题分叉之前,至少阅读一些关于它的评论。如果某事是可疑的,人们可能已经弄清楚了。
谨防网络钓鱼活动和不熟悉的游戏玩家与您联系。在单击您通过电子邮件收到的网站链接和您将要打开的文件的扩展名之前,最好仔细检查一下。
尽量不要从游戏聊天中点击任何指向外部网站的链接,并仔细检查任何要求您输入用户名和密码的资源的地址:该页面可能是假的。
本文翻译自:https://securelist.com/bloodystealer-and-gaming-assets-for-sale/104319/如若转载,请注明原文地址