ATM 惡意軟體在地下市場出售

任何罪犯只要投資 1,000 美元,就可以立即開始攻擊 ATM

違法賣家正在地下市場兜售可用來駭入銀行的現成 ATM 惡意軟體。趨勢科技在 2015 年開始分析樣本時,自動櫃員機 (ATM) 惡意軟體並不常見。南美洲和俄羅斯的一些犯罪集團已研究這些機器的運作原理,並製造特殊軟體來攻擊它們,這項事實在當時相當驚人。ATM 機器與常見的 Windows 環境不同,因此攻擊者需要瞭解一套特殊的應用程式設計介面 (API),以及介面如何與特定銀行應用程式互動。

任何罪犯只要投資 1,000 美元,就可以立即開始攻擊 ATM

自從趨勢科技首次與歐洲刑警組織 (Europol) 的歐洲網路犯罪中心 (EC3) 合作,並說明了以 ATM 為目標的不同網路威脅開始,我們觀察到 ATM 惡意軟體現況正逐步發展為以網路攻擊為主。我們發表了第二篇論文,詳細說明這項進展,以及這些年來出現的 ATM 惡意軟體系列。

[閱讀研究報告:利用 ATM 惡意軟體牟利:全面檢視各種攻擊類型]

我們已看到 ATM 惡意軟體領域的多種變化,但最重要的變化並非技術層面:ATM 惡意軟體已變成網路犯罪地下市場的共同特徵,現正成為攻擊者竊取現金裝備的一部分。ATM 惡意軟體已成為商品,任何罪犯只要投資 1,000 美元,就可以立即開始攻擊 ATM。

值得注意的是這些違法產品來自說俄語的地下犯罪組織。這並不是表示南美集團已停止攻擊當地的 ATM,而是表示俄羅斯的地下犯罪市場更活躍、更繁榮,更有可能發生各種違法交易。

[相關文章:再訪俄羅斯網路犯罪地下市場]

地下賣家提供疑難排解等線上協助

網路犯罪產品包含的內容通常不只惡意軟體。這些地下賣家經常會提供指示、實際的建議和疑難排解指南。

舉例來說,廣告打最兇的 ATM 惡意軟體產品之一「Cutlet Maker」,具有成功執行搶劫所需硬體的具體描述,以及使用該程式的詳細逐步指示。

https://documents.trendmicro.com/images/TEx/articles/fig-1-atm-malware-underground-cutlet-maker-description.png


Cutlet Maker 套件的組成部分:要鎖定的 ATM 廠牌和機型的說明,以及攻擊它需要的設備

繼續閱讀

勒索病毒成為一般商品!只要 50 美元,就能取得 WannaCry 勒索病毒的終生授權

任何人,據稱只要 50 美元,就能取得WannaCry(想哭)勒索病毒的終生授權,而且可以無限升級。今年 5 月 14 日,我們在阿拉伯文地下網站上看到這則廣告,就在 WannaCry 勒索病毒大爆發之後的兩天。這項在全球造成慘重災情的威脅,搖身一變成了一般性商品,只要有心,任何人都能拿它來建立自己的網路犯罪事業。

WannaCry 勒索病毒在地下市場上販售

此外,WannaCry 的價格也相對低廉,這反映出中東與北非地下市場重視兄弟情誼的獨特一面。有別於俄羅斯北美地下市場上的犯罪分子大多以賺錢為主要目的,中東與北非的地下市場是一個文化、意識形態及網路犯罪的大融合。各式各樣的惡意程式在這裡幾乎是免費贈送,例如:遠端存取木馬程式 (RAT)、鍵盤側錄程式、SQL 資料隱碼攻擊工具、垃圾郵件散發工具等等。而且,這種兄弟情誼也表現在成員之間共同策畫及執行分散式阻斷服務 (DDoS) 攻擊與網站入侵詆毀行動當中。


圖 1:WannaCry 勒索病毒在中東與北非地下市場上的廣告。

該市場當然也販售著其他勒索病毒。事實上,我們曾在土耳其地下市場上看到一個化名為「Fizik」的俄羅斯網路犯罪分子在兜售 CTB-Locker 勒索病毒 (亦稱為 Critroni 或 Curve-Tor-Bitcoin)。值得注意的是,同一廣告也曾出現在 Fizik 自 2006 年起就相當活躍的俄羅斯地下市場上。 繼續閱讀

當駭客們互駭 – 在法國地下世界上演的戲碼

趨勢科技曾發表了一篇新非法賭博系統的文章-「法國黑暗投注站(FDB)」。FDB運行在法國最大的地下市場 – 法國黑暗網路(FDN)。這個投注系統完全使用比特幣(Bitcoin,BTC)運作,讓網路犯罪份子可以輕易地透過這平台注資或籌資。

這之後的幾個禮拜發生一連串的事件引起我們的注意:FDN和FDB在幾天內關閉又開啟,宣稱自己受到駭客入侵,錢也都被偷走了。在被駭之後,FDN回復上線還變動了部分功能。

縱觀這些事件,我們發現不對勁的地方,不禁令人懷疑到底發生了什麼事,這所謂的駭客事件到底是不是起自導自演的戲碼,好讓某些人賺飽自己的口袋。我們就來看看在法國地下世界發生的事件,以及法國網路犯罪社群內有出現什麼動靜和線索。

比特幣系統如何在FDN/FDB運作?

FDN/FDB市場和投注系統具備獨立處理金融交易的功能。這表示許多金錢來源直接注入FDN。

  • 客戶的資金到供應商:
    要在FDN上買東西,比特幣必須存進FDN比特幣錢包。一旦轉入金額,系統讓買方可以用來向供應商買商品。供應商直接從FDN比特幣錢包得到等值於該商品的比特幣。基本上,FDN系統就類似賣買雙方間的仲介商。
  • 下注的錢:
    要賭些什麼時,賭徒先存入比特幣到FDN比特幣錢包。如果他贏得賭注,獲取的金額會從FDN錢包轉到賭徒的比特幣錢包。
  • 禮品及贈與:
    FDN接受禮品/贈與。
  • 籌資:
    聽起來很不可思議,但FDB提出幫助有需要的人或組織(對抗癌症等)的想法,並允許利用它們的比特幣錢包籌資。

 

駭客事件

FDN管理員大力地推銷新的FDB系統,在YouTube上張貼影片來吸引更多平常不會去黑暗網路(dark web)的客戶。在影片推出後,我們注意到FDN在2016年7月13日離線了幾個小時。它在7月14日回復,聲稱受到駭客入侵。他們還在這平台推出一些變動。

被駭的公告十分簡短,而且FDN幾乎沒有提出任何解釋。他們告知FDN論壇自己遭受駭客入侵,不過FDN/FDB資料庫還是安全的,沒有被駭客入侵。

只有FDN比特幣錢包遭受駭客攻擊,導致FDN/FDB客戶所有的錢都不見了。每當發生這類駭客事件,論壇管理員大多會表達出自己的憤恨,並提供相關的技術細節來支持自己的說詞 – 一些能夠說服社群相信的重要資訊。但是這起案例並沒有披露任何駭客事件相關細節。

被稱為Zulu的主要管理者在之後提供了後續資訊:

圖1、FDN管理員貼在論壇的發文

 

總結其內容,FDN基本上是整個打掉重練,所有交易都被取消,所有比特幣都消失了。FDN還實施了新規則,變成了私人論壇和市場。

FDN被駭之後發生什麼事?

在FDN網站回復後不久,FDN決定限制FDN論壇的使用。 繼續閱讀

16-21歲中國青年做起行動勒索軟體生意,上千變種地下市場流傳

一群新生代網路犯罪集團正在中國崛起,他們比經驗老道的前輩們更膽大包天、更肆無忌憚。這些人都是 90 年之後出生,這群青年完全不怕被抓,不怕在網路上留下可被追查的聯絡資訊。他們會互相搜尋並分享現成的程式碼,然後再製作出屬於自己的惡意程式。正因為這一批人,中國地下市場一下子突然充斥著各種行動勒索軟體 Ransomware

 

鎖定Android 用戶的勒索軟體會在手機等行動裝置鎖定時將自己的程式畫面蓋在鎖定畫面上方,使用者將無法利用正常方式將它解除安裝。。。。(當心手滑小提醒:該勒索軟體經由「video」(視訊) 和「porn」(色情) 等字眼的網域散播…)

Posted by 趨勢科技 Trend Micro

行動勒索軟體版圖年輕化,千隻變種在地下市場散播

這群年輕的網路犯罪份子之所以敢大膽地踏入原本陌生的網路犯罪領域,或許是因為當地執法寬鬆,當然更可能的是因為年輕人無知的膽量。

趨勢科技第一次注意到這群網路犯罪新生代是在監控 Android 勒索軟體 Ransomware ANDROIDOS_JIANMO.HAT 的時候。此變種會將使用者的裝置螢幕鎖定,讓使用者完全無法進行任何操作。《推薦閱讀》勒索軟體轉戰行動領域

 

我們在地下市場搜尋了一下發現,此惡意程式大約有一千多個變種。其中約有 250 個含有惡意程式作者的相關資料,包括聯絡資訊,這些人的年齡從 16 至 21 歲不等。


圖 1:惡意程式作者的 QQ (中國流行的即時通訊軟體) 帳號個人檔案,其中也包含了年齡資料 (最後一行)。

在仔細研究過這些變種之後可以明顯看出,它們全都來自同一份原始碼,而這份原始碼在地下市場流通相當廣泛。下圖顯示兩種版本的勒索軟體鎖定畫面。左邊原始版本的畫面文字欄位當中含有一些開玩笑的話。右邊修改過的版本則是含有歹徒提供給受害者的聯絡資訊。此處歹徒留下了其 QQ 群帳號。


圖 2:右側惡意程式含有一段訊息:「想破解吧?千萬別扣我qq448 (紅色部分)」。

有可能原始版本只是個雛型,因為畫面上並未提供任何付款的資訊。但當這份原始碼在地下市場流傳時,就成了勒索軟體 Ransomware變種的範本。這些年輕的網路犯罪份子只需要將自己的聯絡資訊加入程式碼當中即可。

目前,這些網路犯罪份子所要求的贖金大約在 5-10 美元左右。相較於其他勒索軟體 Ransomware來說,這價錢看似一筆小錢,但歹徒未來很可能會獅子大開口,當然也有可能是他們的受害對象很多,因此不需要求太高的金額。

感染散布方式: 「師傅」吸收「學徒」,傳授詐騙教學;學徒以幫忙散布方式來繳「學費」

正如我們先前指出,中國網路犯罪地下市場提供了各種網路犯罪教學服務。一些所謂的「師傅」會吸收一些有興趣的「學徒」,然後傳授他們一些駭客知識和技巧等等。而這群年輕人也如法泡製。他們除了從事勒索軟體 Ransomware詐騙之外,也提供了這類教學服務。


圖 3:網路聊天室上張貼的惡意程式教學廣告。 繼續閱讀