安全研究员 BushidoToken 最近利用 Shodan 网空搜索引擎,发现了三个新的信息窃密类恶意软件:Titan Stealer、Patriot Stealer 和 Raxnet Stealer。

Shodan

最初是以 http.html:"stealer" 在 Shodan 进行检索,能够发现信息窃密类恶意软件的登录页面。根据 Shodan 的结果,大部分都聚集在德国、巴拿马、美国与俄罗斯四个国家。

仅仅几天,数量已经出现了回落,可能是攻击者进行了规避动作。

信息窃密类恶意软件

发现的登录页面中很多是 Misha Stealer、Collector Stealer 与 Titan Stealer。其中,Titan Stealer 的登录页面是最新的,而且似乎没有被披露过。

Grand Misha/Misha Stealer

  • http.title:"misha" http.component:"UIKit"

  • https://urlscan.io/search/#filename:%22misha.css%22

  • https://urlscan.io/search/#task.tags:%22misha%22

Collector Stealer

  • http.html:"Collector Stealer"

  • http.html:"getmineteam"

  • https://urlscan.io/search/#task.tags:%22collector%22

Titan Stealer

  • http.html:"Titan Stealer"

  • https://urlscan.io/result/daca0fcd-bbc9-48c8-810d-89fee466b639

Patriot Stealer

新发现的恶意软件即服务(MaaS)平台 Patriot Stealer,可以窃取受害者的密码、Cookie、自动填充数据、Telegram 会话等。

从 Telegram 的描述来看,Patriot Stealer 的开发者似乎是讲西班牙语的攻击者。

  • http.favicon.hash:274603478

  • http.html:"patriotstealer"

  • https://urlscan.io/result/43a51776-e283-4522-ab29-ea5c7efc174a/

RAXNET Bitcoin Stealer

RAXNET Bitcoin Stealer 主要针对加密货币用户发起攻击,将目标钱包地址替换为犯罪分子自己的钱包地址。

这种恶意软件的售价从 80 美元与 150 美元不等。

运营人员也对外提供 75 美元的“传播方法”售卖。

  • http.favicon.hash:-1236243965

  • https://urlscan.io/result/c4f7f543-46f5-4051-b3cb-3699d4b99c5c/

总结

BushidoToken 在 GitHub 上列举了近 20 个检索 Tips,包括 PoshC2、PowerSploit 等。

Adversary Infrastructure on Shodan

https://github.com/BushidoUK/OSINT-SearchOperators/blob/main/ShodanAdversaryInfa.md

目前仍然有一些在野活跃的登录页面,各位读者可以通过 Shodan 检索进行查询与验证。读者也可以尝试使用其他网空搜索引擎进行测试,如 ZoomEye、FOFA、Quake 与 Censys 等。

如之前所说,经过多年的探索,网络空间搜索引擎早不局限于当初的识别与发现网联设备的功能,由网空测绘结果数据上进行分析和挖掘产出的花样已经越来越多。相信各厂商能够基于海量的数据,探索更多新的“招式”。

点击查看原文即可查看BushidoToken 博客内容

声明:本文来自威胁棱镜,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。