如何利用GitHub进行信息窃取?(part 2:加密货币矿工和信用卡信息窃取)

几天前, 我们报告了 被攻击的Magento 网站利用伪装的 Flash 更新来植入信息窃取恶意软件

在本篇文章中, 我们将揭示一种攻击,其和最近非常热门的话题相关——加密货币和挖矿。

信息窃取分析

我们发现的恶意软件二进制文件中挤满了 Themida, 因此文件分析没有提供很多有用的信息。快速活动分析显示为典型的信息窃取行为。最初的猜测是: 它是一个 Lokibot。

上周阅读了我们的帖子后, 恶意软件研究员 Paul Burbage识别出了一个与 Azorult v2.9具有相似功能的不同的信息窃取恶意软件。

Paul提到, 恶意软件还负责在受感染的计算机上提供加密货币矿工。在 Sucuri, 我们关注网站, 不分析客户端恶意软件, 但是, 我们也发现了这个攻击与加密货币矿工 的联系。

网站分析开始

当来自 MalwareBytes 的同事共享该恶意软件的 PCAP 文件时, 我分析了它对哪些网站所做的连接。

我注意到一个下载此文件的请求:

hxxp://frogloud[.]com/TOP/wp-content/uploads/2016/cmd.bin

VirusTotal 快速识别出了这个恶意软件, 检测率为21/66。

之后, 我立即注意到, frogloud [.]com 站点本身是一个合法但被黑客攻击的网站。除了恶意的 cmd. bin 文件之外, 该站点还有两个来自siteverification[.]online的可疑脚本.

hxxp://siteverification[.]online/lib/status.js 和 hxxp://siteverification[.]online/lib/lib.js 具有相同的内容, 并在隐藏的 iframe 中加载站点的主页:

脚本插入隐藏的 iframe

让我们检查一下那页。它似乎是 Apache 服务器的默认欢迎页面, 它尚未配置成真正的网站。

Apache2 Debian “默认” 页面在 iframe 中

没什么可疑的。如果有任何恶意软件, 它可能已经被删除, 因为这些脚本和 iframes 现在加载一个良性页面。

慢着!别这么快下定论!让我们先检查一下页面的源代码。


在 HTML 代码的底部的CoinHive 脚本

看吧!在 HTML 代码的底部有一个 CoinHive加密货币矿工和站点秘钥 “f63LSXxFY7jdZhns0PTiz67v8tU03If8″。

因此, 这些脚本实际上是在站点访问者的浏览器中注入一个 Monero 加密货币的 iframe。

相关感染

让我们检查其他感染相同恶意软件的网站。“PublicWWW”快速找到了1787个受感染的站点, 它们从siteverification[.]online提供恶意内容.

除了在frogloud[.]com 上发现 的 “status.js” and “lib.js” 文件, 也有一些其他的变种“info.js”, “stat.js”, 甚至一些直接的 iframe 注入。

就像我们在上一篇文章中看到的那样, 受影响的网站大多为 Magento。在扫描它们时, 我经常在同一站点上找到两种感染–来自 bit.wo[.]tc的伪造Flash更新和来自siteverification[.]online的加密货币矿工

虽然这两种感染之间没有直接关系, 然而, 脆弱的站点可能同时受到不同黑客群体的感染。

我们还发现一些其他常见的感染共存于bit.wo[.]tc的伪造Flash更新中-例如, 旧的 Magento 重定向脚本, 或来自hxxps://onlinestatus[.]site/js/status.js (PublicWWW)的信用卡强盗。

Magento 恶意软件中的常见功能

另一方面, 有许多迹象表明, 这些最近的感染可能是相关的, 因为他们有许多共同的特点以及共存在同一地点。

恶意链接中的路径模式

  • 伪造的Flash更新: bit.wo[.]tc/js/lib/js.js
  • 信用卡信息窃取: onlinestatus[.]site/js/status.js.
  • 加密货币矿工: siteverification[.]online/lib/status.js
  • 加密货币矿工: hxxps://camillesanz[.]com/lib/status.js

默认Apache2 Debian页面

如果我们检查onlinestatus[.]site的主页, 我们将看到和siteverification[.]online相同的默认 Apache2 主页-这一次加密货币矿工没有出现。但是在同一台服务器上还有一个域 (185.202.103.37)-onlinestatus[.]stream-其 “默认的 Apache2 欢迎页面” 确实包含带有站点密钥 “ZjAbjZvbYgw68hyYGhrl7xgDEqUK9FiZ” 的注入加密货币矿工, 以及一个模糊的CoinHive JavaScript保存在一个文件中,而地址是一个熟悉的路径模式: onlinestatus[.]stream/lib/status.js

api2.checkingsite.site

让我们回到由伪造Flash更新生成的流量PCAP文件, 我们看到了一系列的 POST 请求 api2.checkingsite[.]site (e.g. POST /2.0/method/checkConnection, POST /2.0/method/error, POST /4.0/method/installSuccess)。

我不会在这里推测这些请求的目的。对于我来说更重要的发现是checkingsite[.]site的IP—37.1.206.48。在加密挖矿攻击中使用的在线网站siteverification[.]online 具有相同的 IP。

这是伪造Flash更新恶意软件和Magento 站点上注入 CoinHive加密货币矿工之间的直接连接, 并且根据上面的信息, 我们也可以将这些攻击与 Magento 信用卡信息窃取联系起来。

Cryptojacking 360º

siteverification[.]online站点和伪造的Flash更新之间还有一个更直接的联系, 我最初忽略了。事实证明, 大多数受感染的站点都有两个注入 siteverification[.]online 脚本 (如lib/info.js and lib/lib.js) 是有原因的。

这些文件不是静态的。当您第一次加载脚本时, 您会得到与前一篇文章中所提供的相同的伪 Flash 更新脚本.——bit.wo[.]tc/js/lib/js.js 。但是, 所有后续请求都返回一个隐藏的 iframe, 其中带有 CoinHive 加密货币矿工或空文件。


Siteverification[.]online 脚本加载伪flash更新特洛伊木马程序

为了总结此攻击的新受害者的工作流, 第一个脚本加载了一个信息窃取特洛伊木马程序的假 Flash 更新Banner, 然后在受害者的计算机上安装加密货币矿工s。几乎同时, 第二个脚本在隐藏的 iframe 中打开基于浏览器的加密货币矿工。

顺便一谈, 这次攻击不仅仅依赖于采矿来获得加密货币。Azorult infostealer 最流行的特点之一是它能够从流行的比特币 (和其他硬币) 钱包中窃取私钥 (例如从 wallet.dat 和 electrum.dat 等文件)。

信用卡窃取向量也是如此。除了劫持 Magento 签出页的脚本之外, 特洛伊木马程序还将尝试从浏览器中窃取付款细节, 当受害者在线支付时。

这不是新的战役

当我调查完这次攻击的 Magento 方面时, 我决定检查 GitHub 的部分, 以进一步洞察。如果 Magento 恶意软件黑客已经存在自2017年中旬, 那么在2018年3月8日创建的 flashplayer31 Repository可能不是他们第一次尝试使用 GitHub 进行攻击。

我很快就发现了这个假说的更多证据。许多安全研究人员发现了这些伪造Flash更新。

恶意软件并不总是伪装成 Flash 更新。去年 10月, 同样的伎俩被用在假的 “字体”下载中——github[.]com/Melicano01/wiwi/raw/master/upd.exe.

快速搜索 UrlQuery 在各种 GitHub Repository中发现了一些类似的假 updaters。

  • Feb 5, 2018: github[.]com/dizovoz/rui2/raw/master/flashUpdate.exe
  • Jan 23, 2018: github[.]com/ikpt/Ex/raw/master/redis/flashupdate.exe
  • Jan 19, 2018:github[.]com/zopihafo/SMPPClient/raw/master/SMPP/SmppClient/flashupdate.exe
  • Jan 14, 2018: github[.]com/lqzo7/dragandrop/raw/master/flashupdate.exe
  • Dec 28, 2017: github[.]com/lumaf/django-registration-templates/raw/master/registration/flashupdate.exe
  • Aug 22, 2017: github[.]com/kul1337/3.0.43.124/raw/master/upd.exe

正如你所看到的, GitHub 从至少2017年8月起就被这种攻击所使用。一旦旧的被禁用,新的帐户和Repository就被定期创建。

正如我们在前一篇博文中推测的那样, 创建新的Repository并开始在现场攻击中使用它并不需要很长时间。在我们的博客帖子中, 到2018年3月15日, flashplayer31 帐户被 GitHub 禁用, 但第二天, 攻击开始使用一个新的 johnplayer32 帐户。

在 Magento 中查找恶意软件

这篇文章表明, 这个黑客集团有很长的历史专注于攻击Magento 网站。
虽然他们的攻击范围广泛, 从信用卡信息窃取、浏览器 (和 Windows)加密货币矿工 到信息窃取木马, 但感染的服务器端部分基本相同。
这些脚本通常被注入到 core_config_data 表中。例如, 在design/head/includes 或者design/footer/absolute_footer 部分。

发表评论