阅读器智能化框架沦为攻打者的工具

5月27日信息,安保公司Team Cymru的钻研人员示意,越来越多的要挟介入者正在经常使用收费的阅读器智能化框架作为其攻打优惠的一局部。

钻研人员示意,该框架的技术准入门槛故意坚持在较低水平,以创立一个由内容开发者和奉献者组成的生动社区,同时,公开经济中的介入者也会宣传他们创立的定制工具。钻研人员称:

Cymru团队观察到,与Bumblebee加载程序以及BlackGuard和RedLine窃取程序关系的命令和控制(C2)基础设备和工具存储库Bablosoft的下载子域(downloads.bablosoft[.]com)建设了衔接。

理想上,这并非Bablosoft第一次性被记载在案。早在F5 Labs针对撞库攻打的钻研以及NTT针对GRIM SPIDER黑客组织所用工具包的钻研中就曾经发现了它的踪影。

钻研人员指出,依据已经常使用Bablosoft网站所提供工具的恶意行为者数量,咱们估量BrowserAutomationStudio(简称BAS)将成为要挟介入者工具包中更经常出现的元素。BAS是Bablosoft的智能化工具,它准许用户经常使用阅读器、HTTP客户端、电子邮件客户端和其余库创立运行程序。

F5 Labs在其对于撞库攻打的报告中指出,“咱们以为BAS将在恶意优惠中日益遍及的要素之一是,Bablosoft社区的生动形态以及该软件的散发和开售方式都会减速它的运行。”

钻研人员还发现了一个名为“Bablosoft – BASchat”的非官网Telegram群组,该群组领有1000多名用户,这足以凸显围绕该工具的社区生动水平。值得一提的是,钻研显示,该群组似乎重要由讲俄语的人经常使用,重要用于分享无关新性能、脚本和揭示的降级信息。

技术剖析

钻研人员引见称,BAS工具的性能包含阅读器模拟、模拟用户行为(击键和鼠标)、代理支持、邮箱搜查性能以及从文件/URL/字符串加载数据的才干。目前,这些性能曾经吸引了多个不同的要挟组织的留意,并或许被用于启动恶意优惠。

创立的服务包含BAS的定制脚本,例如与Telegram API交互,或开发“bruters”和“recruiters”。Bruters是一款口头撞库攻打的软件。

在Bumblebee、BlackGuard和RedLine等恶意软的C2基础设备中,钻研人员观察到了与downloads.bablosoft[.]com(解析IP地址为46.101.13.144)的衔接。他们假定要挟介入者正在下载用于恶意优惠的工具。钻研人员称,

钻研人员在剖析BlackGuard和RedLine的C2基础设备时还确定了BAS的几个用例。其中一个为“gmail帐户审核器”,要挟介入者或许会经常使用它来评价被盗凭据的有效性。

钻研人员补充道,

原文链接:

您可能还会对下面的文章感兴趣: