freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

一个平平无奇的网络罪犯,靠“买买买”各种黑产服务,至少获利10万美金
2020-04-08 21:44:32

 大家好,我是 零日情报局

本文首发于公众号 零日情报局,微信ID:lingriqingbaoju 


黑客世界生存法则,历来凭技术分高下,不以形式论长短。不过有时见得多了,难免有例外。

 

据Checkpoint详细报告,就算是平平无奇的网络罪犯,也可以通过购买隐私数据、购买恶意软件、甚至购买开发者帮你写特制RAT……一路靠“买买买”各种网络诈骗工具,不断完成犯罪业务,7年纯赚10万美元。

 

网络犯罪门槛远比想象的低。今天,零日就跟大家聊聊,三流技术、二流头脑、一流自信的尼日利亚网络罪犯Dton,是怎么在地下产业链摸爬滚打,非法淘金。

 

 

(一)起步:黑产商店大量采购被盗用卡

 

技术不够金钱来凑,网络犯罪业务员Dton用氪金方式,开启自己的网络诈骗事业。

 

Dton是Ferrum商店的固定客户,这是一家很“棒”的商店,因为店内库存超过2500万张被盗的***凭证。

 

image001.pngDton利用被盗***欺诈550美元)

 

2013-2020年期间,Dton在这里花掉13000美元,购买近1000张被盗***凭证。每张卡采购成本4-16美元不等。购买后,Dton会以盗刷的方式,非法获取200,000尼日利亚奈拉(NAN),约合550美元。虽然不是每一次都成功,但以少积多,“投资”1000张被盗***,让Dton获得至少10万美元非法收益。

 



(二)进阶:恶意软件供应商购买工具包

 

***欺诈虽好,但总受制于黑产商店。有买被盗***的钱,何不自己盗?

 

所以不再满足于仅仅购买受害者数据并从中获利的Dton,开始第一轮业务升级,用黑客技术瞄准“潜在客户”,窃取他们的电子邮件。

 

image003.png

 

Dton从Ferrum shop出来,直奔恶意软件商店。打包程序、加密程序,信息窃取程序、键盘记录程序、漏洞利用程序和远程VM……统统加入购物车。

 

例如购买了键盘记录程序AspireLogger:

 

image005.png

 

远程管理工具Nanocore:

 

image007.png

 

以及同是远程管理工具的OriginLogger:

 

image009.png

 

以上还都只是一部分,Dton一边买一边用,很快就靠着金手指,拥有了一个完整的垃圾邮件工具包。

 

image011.png

 

通过发送垃圾邮件,受害目标用户各种数据都可以黑到手。恶意软件就像是Dton的外挂,他甚至可以通过VPN连接到匿名虚拟机,并在虚拟机上利用打包程序,对目标用户的设备远程运行恶意软件。

 

image013.png

 

他将买来的各种工具,打包成一个极具吸引力的恶意文档,并精心编辑一个更具诱导性的邮件主题和内容,发送给众多潜在目标。

 

image015.png

 

很快有人中招,Dton顺利拿到了大批受害者的凭据信息。

 

image017.png

 

(三)遇挫:恶意软件供应商压榨

 

正所谓,掌握核心技术才有主动权。没技术实力的Dton,再次在恶意软件供应商面前,败下阵来。

 

就拿和Dton联系的恶意软件销售经理A来说,A上面有经理,A上面的经理还有经理,依此类推总共八个经理,“八层经理”上面还有个铁血老板,九层剥削一个Dton。

 

image019.pngimage021.png


恶意软件定价,销售经理说了算。打包3个二进制文件,要价800美金。嫌贵?Dton编辑大段文字想讨价还价,分分钟被已读不回。不仅如此,经理A还定期给Dton发任务,窃取数据获得收益,达不到预期甚至会被幕后老板来个“技术铁拳”。

 

image023.png

 

因为,Dton与恶意软件供应商之间有个霸王条款。Dton自己的设备上,也安装了供应商控制的远程控制程序(RAT),幕后老板不仅随时可以查看Dton的操作,做些意想不到的攻击,自然也就是分分钟的事情。

 

image025.png

 

上图,标记为“HP-PC”的文件,就是Dton自己机器的监控数据。在某种意义上来说,Dton只是另一个受害者。

 


(四)升级:雇用开发者编写自定义RAT

 

为了再次摆脱黑产供应商束缚,Dton意图开发自己的RAT程序。不会代码的Dton再次氪金。这回,他在网上找到了一个名叫“ RAT&exploits”的技术专家,花钱雇他给自己开发自定义恶意软件。

 

image027.png

 

技术专家RATs&exploits的服务很贴心,不仅动手演示如何使用RAT,还提供一对一的技术支持。Dton却学会了恶意软件经理的手段,暗中利用RAT工具,入侵了RATs&exploits的计算机,以便监视专家的工作。

 

image029.png

 

技术专家的加持,让Dton的恶意工具包升级到全新水平,既有定制RAT,还有个性化的Web端。有了这些他也可以监视受害者动向了。

 

image031.png

 

Dton就像曾经的恶意软件销售经理一样,解锁了远程查看最新屏幕截图的能力,用RAT感染的无辜目标越来越多。

 

image033.png

 

(五)巅峰:贼喊捉贼,找国际刑警“**”

 

恶意软件服务商作为专业的黑产,要是太讲诚信,那就很不专业了。所以当Dton因为恶意软件打包费用过高,再次准备寻找技术供应商时,Dton最终没能拿到自己想要的东西。

 

image035.pngimage037.pngimage039.png

Dton花了36.50美元,买了一个45天使用套餐,但是从产品、效果与服务上,Dton非常不满意。这次,Dton直接通过黑客地下论坛,与售卖打包软件的黑客争论起了价格问题。至于结果,得罪了真黑客的Dton当然没能得到自己想要的工具。

 

image041.pngimage043.png

Dton自然不能忍受他人占他便宜,并阻碍他完成业务的牟利之路,所以遇到真正难缠的问题时,“艺高人胆大”的Dton向国际刑警组织寻求**。

 

Dton一般会先用RAT程序攻击对方,以便收集证据自保,当实际发生纠纷时,他就可以借助国际刑警组织解决问题。只能说,作为一名网络罪犯,特别是技术一般的Dton,活出了常规黑客难以到达的人生高度。



零日反思

 

 “网络犯罪即服务”的模式下,网络犯罪门槛,真的远比我们想象的低。

 

 零日情报局作品

微信公众号:lingriqingbaoju

如需转载,请后台留言

欢迎分享朋友圈

 

 

参考资料:

[1] CHECKPOINT《六位数尼日利亚欺诈活动的内部独家新闻》

 

image044.gif

# SaaS # 网络犯罪门槛 # 网络罪犯
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者