GCleaner — 自2019年的垃圾提供商
转售受感染计算机访问权限(又称"载荷转售")已成为网络犯罪产业的重要组成部分。本文我们调查了一个活跃的威胁行为者,该行为者在载荷行业已活跃两年多,每月转售数十万台计算机的访问权限。
当僵尸网络运营商想要开展业务时,他们必须面对不同的挑战。他们需要购买(或构建)恶意软件和后端系统,租用不同的服务器,支付加密器、证书等费用——但最终,一个非常重要的点是如何分发恶意软件。
他们可以自行分发恶意软件(工作量很大),或者付费给第三方,即所谓的"载荷转售商"。垃圾邮件发送者、漏洞利用工具包分发者、按安装付费(PPI)供应商——他们都是载荷转售商。你不是从垃圾邮件发送者那里购买一定数量的垃圾邮件活动,而是购买一定数量的感染——无论这些感染是如何获得的。
尽管载荷业务可能利润丰厚,但它也是一个复杂的行业,面临着许多变化,需要强大的适应能力才能生存。销售载荷不仅关乎你能感染多少人;还关乎你能为客户提供什么质量的感染。
载荷销售者还必须保护他们的客户。在分发有效载荷时,他们必须避免最终被沙箱分析或在社交媒体上被讨论。否则,恶意软件的IOC将被烧毁,他们的客户将不得不购买新的域名或证书以保持在黑名单(如Spamhaus)之外。
当网络犯罪操作试图从银行窃取资金时,操作者需要正在访问其在线银行账户的受害者。这意味着你可以放弃分发假的Roblox破解版,而是需要找到感染会计服务等的方法。
垃圾邮件当然是销售载荷的主要方式之一,你可以制作特定的邮件列表,仅针对公司或特定行业,以获得高质量的机器人,但银行木马管理员有时非常挑剔,只有在受感染的机器人到达webinjects CNC时才会向垃圾邮件发送者付款。这不是一件容易的工作。
当你擅长发送垃圾邮件时,你可以赚很多钱:我们观察到优秀的垃圾邮件发送者在工作顺利时每周能赚取高达60,000美元,但奇怪的是,垃圾邮件发送变得越来越复杂,许多垃圾邮件发送者失去了客户,转而投向其他类型的载荷转售商。
我们观察到垃圾邮件发送者抱怨不同的因素,第一个因素是据他们估计,高达40%发送给受害者的电子邮件是在移动设备上打开的。他们无法轻易感染平板电脑或智能手机,这意味着他们所做的一半工作直接进入了垃圾桶。2020年也没有帮助他们,医疗危机将每个人送回家,各种公司关闭导致垃圾邮件比率大幅下降。
在做了关于载荷销售业务状况的漫长介绍后,我们将向您介绍一个变得非常强大的行为者。
这是一个载荷销售者,主要为勒索软件和密码窃取者行为者服务至少两年,并且开始达到巨大的月感染数量。
垃圾清理器 — 自2019年销售垃圾
2019年初,我们观察到一个新的行为者成为名为Brazzzers的Fast Flux网络的客户。该客户使用Fast Flux托管一个名为G-Cleaner(垃圾清理器)的网站,模仿像CCleaner这样的清理工具。
当时,管理员通过电子邮件推广假冒软件,以便让用户下载他的清理工具,该工具实际上投放了Azorult密码窃取器。
很快我们观察到该网站实施了使用IPLogger的流量导向系统(TDS),根据受害者下载假冒清理器的位置分发不同的恶意软件样本,这些分发的恶意软件样本列表开始增长。
Azorult、PredatorTheThieff和挖矿程序开始被分发,但对于载荷转售商来说,感染率似乎不是很好。问题是你可以从假冒网站下载假冒软件,因此任何AV公司都可以自动检索所有有效载荷并自动将IOC列入黑名单。
就在这时,载荷销售者开始改变他们传播假冒软件的方式。不再有G-cleaner直接下载,分发现在通过各种不同的破解网站完成。
运行其中一个破解程序后,许多不同的恶意软件片段被部署在受害者的计算机上。
根据你的国家,你会收到不同的恶意软件。在2021年1月,我们观察到:
- STOP/DJVU勒索软件
- SmokeLoader
- Redline密码窃取器
- Amadey加载器
- Ficker窃取器
- RacconStealer
还观察到许多其他信息窃取器家族,可以在文章末尾的IOC列表中找到。
基础设施
如前所述,这个载荷销售者似乎试图将其服务器隐藏在Brazzzers Fast Flux后面。我们设法随时间提取后端的真实位置:
- cleaner-g.online — 91.243.83.187
- cleaner-g.site — 91.243.83.187
- gcleaner.info — 91.243.83.187
- g-cleaner.info — 91.243.83.187
- gcleaner.ru — 91.243.83.187
- ggcleaner.top — 91.243.83.187
- ggcleaner.xyz — 91.243.83.187
- sfccleaner.top — 91.243.83.187
- ge-cleaner.tech — 5.182.39.210
- ge-cleaner.xyz — 5.182.39.210
- ggcleaner.space — 5.182.39.203
- ggcleaner.tech — 5.182.39.203
- gcc-partners.in — 5.182.39.44
如我们所见,尽管域名频繁更新,但后端在同一个位置保持了两年,显示了Brazzzer Fast Flux保护其服务器的效率。
统计数据
我们设法获得了2020年12月至2021年1月一个月活动期间的感染统计数据。
在此期间,G-Cleaner网络在全球产生了超过150,000次感染。考虑到12月和1月不是网络犯罪行业的最佳月份,这是一个巨大的数字。
这些感染似乎分给了4个合作伙伴,每个合作伙伴针对特定区域:美国、加拿大、欧盟和混合(常见术语,指每个国家都有一点)。
2021年1月感染最多的前25个国家:
我们可以看到,这个载荷销售者似乎押注于感染数量而非质量。他们感染尽可能多的受害者,不管是否是有趣的受害者。这就是为什么与这个威胁相关的大多数恶意软件是密码窃取器。他们分发大量密码窃取器以收集大量各种服务的凭证,如Netflix、Apple、Google、Spotify,以充实黑市并赚取额外收入。
不幸的是,我们没有找到这个特定载荷销售者的价格表,但如果我们参考实际市场,亚洲和南美的机器人每次感染可以以约0.2美元的价格出售,欧洲高达0.60美元,美国的机器人可以以超过1美元的价格出售。因此,即使专注于数量而非质量,我们也可以看到载荷销售是一个非常有利可图的业务。
近期IOC
- crackedinfo.net
- softkeygenpro.com
- topkeygen.com
- cleaner-g.online
- cleaner-g.site
- gcleaner.info
- g-cleaner.info
- gcleaner.ru
- ggcleaner.top
- ggcleaner.xyz
- sfccleaner.top
- ge-cleaner.tech
- ge-cleaner.xyz
- ggcleaner.space
- ggcleaner.tech
- gcc-partners.in
- covid2023.info
- f241beb45db9a8b7.xyz
- naritouzina.net
- prodocomelo.info
- dream.pics
- landoflegendstore.net
- chrome-booster.com
- 331befdc5416a898.xyz
- noabuseshere.top
- havalpartsch.top
- mmmmonsterpack.info
- radrile.xyz
- telete.in
- topprogress.top
- davincieditor.com
- wheredoyougo.cn
- vjsi.top
相关工作
狩猎愉快!
#Gcleaner #Djvu #Redline #Smokebot #安全研究