【安全资讯】研究人员发现伪装成合法隐私工具网站传播恶意软件的攻击活动

引言

研究人员发现一个看似合法的“Privacy Tools”隐私工具网站，其提供一种类似Zip实用程序加密用户数据的工具，最终目的是为了诱骗用户下载恶意软件。研究人员将初始载荷确定为Smoke Loader下载器，该下载器随后安装了包括Raccoon Stealer和RedLine在内的数据窃取恶意软件。该软件可能会吸引关注数据共享和隐私的用户。且由于最近苹果等主要公司以用户为中心的隐私控制的主流营销，可能会导致更多的用户使用该网站。

简况

“Privacy Tools”隐私工具网站提供企业和个人使用的隐私工具，如下图：

该网站可供下载的压缩可执行文件声称可以保护隐私，但实际上下载了模块化下载器Smoke Loader。Smoke Loader 于 2011 年首次出现，可在犯罪论坛上购买。研究人员观察到，Smoke Loader感染随后会下载后续恶意软件以进行信息收集活动。已识别的第二阶段有效载荷包括 RedLine 和 Raccoon Stealer 恶意软件。Raccoon Stealer 是一种日益流行的恶意软件，于 2019 年首次出现。它采用“恶意软件即服务”模式，可以窃取密码、网站 cookie、信用卡数据、系统信息和比特币钱包内容等凭据。RedLine Stealer 是一种恶意软件，旨在从浏览器中窃取信息，例如登录密码和信用卡。它还收集有关用户及其系统的信息，例如用户名、位置、硬件配置和安装的安全软件。

此活动中确定的一个 IP 地址与 OpenNIC 相关联，OpenNIC 是一项公共服务，用于解析某些类型的域，为非 ICANN 管理的域提供替代方案。在此活动中提供 Smoke Loader 的隐私主题网站由 ssserviceshop1@yandex[.]ru 通过域名注册商 REG[.]ru, LLC 注册。其他多个以隐私为主题的域和 C2 IP 也使用相同的电子邮件地址和注册商进行了注册。 目前，研究人员暂未将该活动归因于特定的威胁组织。