越来越多的网络犯罪集团转向名为 Aurora 的信息窃取恶意软件,该恶意软件基于Go开源编程语言,旨在从浏览器、加密货币钱包和本地系统中获取数据。
网络安全公司Sekoia旗下安全研究团队发现了至少七个恶意行为者,并将其称为“贩运者”,他们已将 Aurora 添加到他们的信息窃取武器库中。在某些情况下,它还与 Redline 或Raccoon信息窃取恶意软件一起使用。
报告称,到目前为止,已有 40 多个加密货币钱包和 Telegram 等应用程序成为该恶意软件的目标,并着重强调了 Aurora 相对未知的地位和难以捉摸的特性作为战术优势。
Aurora 于 7 月首次被该公司发现,并被认为自4月以来在俄语论坛上得到推广,其远程访问功能和高级信息窃取功能受到吹捧。
“在2022年10月和11月,数百个收集到的样本和数十个活跃的C2服务器证实了Sekoia公司之前的评估,即 Aurora 窃取者将成为一个普遍的信息窃取恶意软件,”该公司在报告中 解释称,“随着包括走私团队在内的多个网络犯罪组织将恶意软件添加到他们的武器库中,Aurora Stealer 正在成为一个突出的威胁。”
该报告还指出,网络犯罪组织一直在使用多个感染链传播该恶意软件。从伪装成合法网站的网络钓鱼网站到 YouTube 视频,虚假的“免费软件目录”网站,这些网站应有尽有。
“这些感染链利用网络钓鱼页面冒充合法软件的下载页面,包括加密货币钱包或远程访问工具,以及利用 YouTube 视频和 SEO 准备的虚假破解软件下载网站的信息和数据。”
Sekoia公司的分析还强调,目前在野外传播 Aurora 窃取器存在两个感染链,一个是通过一个模仿 Exodus 钱包的钓鱼网站,另一个是来自被盗帐户的 YouTube 视频,该视频介绍如何免费安装破解软件。
该恶意软件使用简单的文件抓取器配置来收集目录列表以搜索感兴趣的文件。然后它使用端口 8081 和 9865 上的 TCP 连接进行通信,其中 8081 是最广泛开放的端口。然后将泄露的文件以 base64 编码并发送到命令和控制服务器 (C2)。
据研究人员称,收集到的数据在各种市场上以高价提供给网络犯罪分子,这些网络犯罪分子希望开展有利可图的后续活动,即所谓的“大猎杀”行动,追捕大公司和政府部门的目标。
事实上,越来越多的恶意行为者正在使用开放源代码编程语言(如 Go)构建恶意软件和勒索软件,这提供了更高的灵活性。
Go 的跨平台能力使单个代码库可以编译到所有主要操作系统中。这使得网络犯罪组织可以轻松地不断更改并为恶意软件添加新功能以避免被发现。
跨平台 BianLian 勒索软件的运营商实际上在最近几个月增加了他们的 C2 基础设施,表明他们的运营步伐正在加快。
根据黑莓去年的一份报告,不常见的编程语言——包括 Go、Rust、Nim 和 DLang——也正成为寻求绕过安全防御或解决其开发过程中的薄弱环节的恶意软件作者的最爱。