新的恶意软件活动利用 OpenBullet 配置瞄准缺乏经验的网络犯罪分子

据观察，一种新的恶意软件活动利用恶意 OpenBullet 配置文件来针对缺乏经验的网络犯罪分子，其目标是提供能够窃取敏感信息的远程访问木马 (RAT)。

机器人缓解公司 Kasada 表示，该活动旨在“利用可信的犯罪网络”，并将其描述为高级威胁行为者“捕食初学者黑客”的一个例子。

OpenBullet 是一个合法的开源笔测试工具，用于自动进行撞库攻击。 它接收针对特定网站定制的配置文件，并可以将其与通过其他方式获取的密码列表结合起来，以记录成功的尝试。

该公司表示：“OpenBullet 可以与 Puppeteer 一起使用，Puppeteer 是一种无头浏览器，可用于自动化网络交互。” “这使得发起撞库攻击变得非常容易，而无需处理浏览器窗口的弹出。”

这些配置本质上是一段可执行代码，用于针对目标网站或 Web 应用程序生成 HTTP 请求，它们也在犯罪社区内进行交易或出售，从而降低了犯罪活动的门槛，并使脚本小子能够发起自己的攻击。

以色列网络安全公司 Cybersixgill 在 2021 年 9 月指出：“例如，对购买配置的兴趣可能表明 OpenBullet 的用户相对不成熟。”

“但这也可能是暗网高效分工的另一个例子。也就是说，威胁行为者宣称他们想要购买配置，因为他们不知道如何编写脚本，但因为它更容易、更快。”

这种灵活性也可能是一把双刃剑，因为它开辟了一条新的攻击途径，只是它针对的是在黑客论坛上积极寻找此类配置文件的其他犯罪分子。

Kasada 发现的活动利用 Telegram 频道上共享的恶意配置来访问 GitHub 存储库，以检索名为 Ocean 的基于 Rust 的 dropper，该释放器旨在从同一存储库获取下一阶段的有效负载。

该可执行文件是一种名为 Patent 的基于 Python 的恶意软件，最终启动一个远程访问木马，该木马利用 Telegram 作为命令和控制 (C2) 机制，并执行指令来捕获屏幕截图、列出目录内容、终止任务、窃取加密钱包 信息，并从基于 Chromium 的网络浏览器窃取密码和 cookie。

目标浏览器和加密钱包包括 Brave、Google Chrome、Microsoft Edge、Opera、Opera GX、Opera Crypto、Yandex Browser、Atomic、Dash Core、Electron Cash、Electrum、Electrum-LTC、Ethereum Wallet、Exodus、Jaxx Liberty、Litecoin Wallet、 和敏币。

该木马还充当剪辑器，监视剪贴板中的加密货币钱包地址，并用攻击者控制的地址替换与预定义正则表达式匹配的内容，从而导致未经授权的资金转移。

对手操作的两个比特币钱包地址在过去两个月中总共收到了 1,703.15 美元，随后使用名为“Fixed Float”的匿名加密货币交易所进行了洗钱。

研究人员表示：“Telegram 中恶意 OpenBullet 配置的分发是一种新型感染媒介，由于这些犯罪群体经常使用加密货币，很可能针对这些犯罪群体。”

“这为攻击者提供了一个机会，将他们的收藏品塑造成特定的目标群体，并获取其他成员的资金、账户或访问权限。正如老话所说，狼狈为奸。”