总部位于加利福尼亚州的网络安全公司Resecurity发现了一个全新的暗网市场“InTheBox”(盒子里),为移动恶意软件开发者和运营者提供服务。
“InTheBox”暗网市场
据Resecurity的网络安全研究人员称,至少自2020年5月初以来,TOR网络上的诈骗者和网络犯罪分子就可以使用名为“InTheBox”的新市场。
从那时起,“InTheBox”背后的参与者就私下为其他网络犯罪分子提供网络注入开发服务,但在获得足够的可信度后,该参与者将其扩展到完全产品化的自动化市场。自动化允许其他不良行为者创建订单来接收最新的网络注入,以便进一步实施到移动恶意软件中。对于那些使用专有(或所谓的“私有”)的人来说,移动恶意软件并未广泛出售或出租,因为“InTheBox”正在提供定制开发解决方案。
该市场已发展成为一个成熟的网络犯罪服务促进者,并已成为暗网上最大的出售此类工具的市场,因为有许多独特的工具和网络注入插件可供出售。网络犯罪分子可以利用这些工具进行网上银行和金融欺诈,包括盗窃。
网络注入可以做什么
网络注入(“Webinjects”)类似于“浏览器中间人”攻击。不同之处在于,这些攻击以前使用SpyEye、Zeus和Gozi等恶意软件在个人电脑上进行,而威胁行为者现在已经学会将相同的方法应用于手机等移动设备。
值得一提的是,几乎所有这些都可以用于拦截受害者在使用除网上银行之外的移动设备时可能尝试访问的任何服务的凭证。然后,恶意行为者可能将从所述设备窃取的数据用于任何恶意目的。为了促进成功的凭据拦截,恶意行为者使用所谓的“Webinjects”——恶意软件中使用的自定义模块或数据包,通常会在内容呈现在Web浏览器上之前将HTML或JavaScript代码注入到内容中。因此,webinject可以改变用户在他/她的浏览器上看到的内容,而不是服务器实际上发送的内容。
通常,恶意软件开发人员使用这种方法设计代码来拦截受害者的凭据,这种方法实际上在视觉上看起来完全不可见,因为webinject将解释来自流行服务的合法页面的相同设计。从技术上讲,银行盗窃的成功率取决于网络注入的质量和移动恶意软件的稳定性。在过去的几年里,手机银行恶意软件市场变得非常成熟,大多数暗网参与者不再出售它,而是转而潜在地出租或私下使用它。
由于数字支付与移动应用程序相互关联,网络注入程序可成功提取敏感的金融数据。网络注入可以集成到移动恶意软件中,以拦截银行凭证、社交媒体登录详细信息、支付系统、电子邮件凭证等。
这还不是全部。这些工具还可以收集敏感数据,如信用卡信息、电话号码、个人身份信息和地址。
“InTheBox”暗网市场的严重危害
目前,该暗网市场上有超过1849个恶意工具可供销售,专门针对至少45个国家/地区的主要电子商务和金融机构、支付系统、社交媒体公司和在线零售商。
其中包括英国、美国、巴西、加拿大、哥伦比亚、沙特阿拉伯、墨西哥、巴林、新加坡和土耳其。网络犯罪分子已经将花旗银行、亚马逊、美国银行、PayPal、星展银行、富国银行等知名机构作为目标。2022年11月,他们对该网络注入程序进行了144次更新,以提高其效率和视觉效果。
毫无疑问,“InTheBox”暗网市场可能被称为暗网市场中最大的,也可能是唯一一个为流行类型的移动支付软件提供高质量网络注入的恶意软件的市场。
“InTheBox”背后的团队以每月100美元的超低价格提供网络注入程序,并提供“Unlim”专业级别,允许购买者以2475美元和5888美元的价格生成无限数量的网络注入程序,具体价格取决于其支持的木马。
该市场为各种移动恶意软件系列提供了不同的网络注入模板,这些模板可以单独使用或组合使用以成功执行数据盗窃:
- 模板“授权数据”
- 模板“仅询问 PIN”
- 模板“带有信用卡数据”
- 模板“包含信用卡数据 + ATM PIN 码”
- 模板“询问完整数据”
“InTheBox”暗网市场背后的运营者
市场运营者与主要移动恶意软件系列的开发者有着密切的联系,例如Ermac、Cerberus、Octopus aka Octo、Hydra、MetaDroid和Alien等主要移动恶意软件。运营“InTheBox”的威胁行为者拥有按地域分类的网络注入程序,不良行为者可以购买这些程序发动攻击。
Resecurity研究人员在他们的博客文章中写道:“自动化允许其他不良行为者创建订单,接收最新的网络注入程序,以便进一步实施到移动恶意软件中。”
“InTheBox”暗网市场的管理员的Telegram:@inthebox7,目前的签名是其推广“InTheBox”的明网地址:InTheBox Links。
“InTheBox”暗网市场的新旧地址
“暗网下/AWX”经过对暗网的全局搜索,发现“InTheBox”暗网市场的以下2个暗网V3洋葱域名,是不是诈骗尚不清楚,请勿使用以下网址进行支付购买,请勿用于犯罪用途。
“InTheBox”暗网市场之前的暗网地址:
http://*******************************************************************.onion/
“InTheBox”暗网市场新的暗网地址:
http://*******************************************************************.onion/
“InTheBox”暗网市场的明网镜像地址:
https://injs.me/
以上网址仅用于网络犯罪研究与调查,请勿用于非法用途,否则必将受到全球法律制裁。
更多暗网新闻动态,请关注“暗网下/AWX”。