免费发布信息
当前位置:APP交易 > 热点资讯 > app交易 >  安全趣闻 | 勒索软件要求受害者提供价值礼品代码

安全趣闻 | 勒索软件要求受害者提供价值礼品代码

发表时间:2021-04-29 09:28:37  来源:红帽社区  浏览:次   【】【】【
红帽社区是一个垂直网络安全社区,融合“红帽先锋”正能量精神,每日分享最新安全资讯,提供安全问答、靶场、众测、漏洞库等功能,是网络安全爱好者学习、交流的优质社区。

与以往的攻击不同的是,NitroRansomware恶意软件向受害者索要的并非是实际的钱,而是Discord Nitro礼品代码。

Discord是一个提供创建社区服务的VoIP、即时通讯和数字传播平台。用户可以通过语音通话、视频通话、文本消息、媒体和文件进行交流。

虽然它是免费的,但用户可以花9.99美元购买升级版的 "Nitro "套餐,进而可以上传更大的高清的视频、更好的表情符号。

NitroRansomware幕后的运营商显然对Nitro订阅非常感兴趣。这个特点最初是由MalwareHunterTeam发现的,其他研究人员调查了该代码的工作原理。

Heimdal Security研究员Cezarina Chirica在周一的帖子中解释说:

勒索软件执行后,它将会加密受害者的文件,并给他们三个小时的时间来提供一个有效的Discord Nitro代码。该恶意软件会将'.givemenitro'扩展名附加到加密文件的文件名上。在加密过程结束后,NitroRansomware会将用户的桌面壁纸改为愤怒的Discord标志。

根据Bleeping Computer的分析,该勒索软件会验证用户所提供的Discord礼品代码是否有效,并使用嵌入式静态解密密钥解密文件。然而,三个小时的限制似乎只是一种吓唬人的手段。如果计时器计时为零,我们发现实际上并没有文件被删除。

该媒体的分析还指出,由于解密密钥是静态的,所以有可能从可执行文件本身提取解密密钥,所以没有必要真的去支付9.99美元。

后续可能发生的攻击

MalwareHunterTeam还指出,该恶意软件还会窃取受害者的Discord令牌,这将使攻击者能够入侵Discord服务器。

Heimdal的Chirica说:

NitroRansomware还实现了后门功能,这允许黑客远程执行命令,然后通过他们的网络将内容发送到攻击者的Discord频道。

Chirica建议感染勒索软件的用户立即更改他们的Discord密码,并进行病毒扫描,检测添加到电脑中的其他恶意程序。还有,用户应该检查Windows中是否有他们之前没有创建的新用户账户,如果发现,应立即将其删除。

礼品卡:网络犯罪者的金矿

为什么犯罪分子选择礼品代码呢?研究员凯文-博蒙特(Kevin Beaumont)指出,因为它们可以被转卖,也可以用于洗钱。

被盗的礼品代码和卡片在地下网络有很大的市场。例如,根据Gemini Advisors的报告,2月份有3010家公司的礼品卡信息出现在了一个俄语的非法论坛上。其中包括Airbnb、亚马逊、美国航空、Chipotle、Dunkin Donuts、万豪、耐克、Subway、Target和沃尔玛的卡片。

Gemini公司指出,这些卡的价值约为38,000美元--但对于这些卡片背后的网络犯罪分子来说,它们的净收入要少一些。被盗礼品卡的起拍价为10,000美元。据该公司称,这些礼品卡在发布出售后不久就被另一名网络犯罪分子买走了。

Gemini公司在4月初的一份报告中说:

通常情况下,在暗网中泄露的礼品卡的售价为卡片原价的10%;但是,这次泄露的895,000张卡的价格大约只为卡片价值的0.05%。它补充说,这种差异可能意味着这些礼品卡的价值可能很低。

据Gemini公司称,当涉及到货币化时,网络犯罪分子基本上有两个选择:购买实际货物并进行转售;或者像上面的例子那样,将卡卖给第三方礼品卡市场。

根据该报告,"在本次攻击计划中,网络犯罪分子将使用被盗的支付卡来购买礼品卡,然后将礼品卡卖给Cardpool(一个发卡市场)。"如果银行可以确定礼品卡是用偷来的支付卡购买的,他们可以与发行礼品卡的商户银行或礼品卡供应商联系,要求他们取消礼品卡。不幸的是,这个过程可能是非常繁琐和耗时的,一般这种情况很少发生,这给网络犯罪分子提供了更多的时间来完成他们的犯罪计划。"

本文转载自嘶吼

参考及来源:https://threatpost.com/nitroransomware-discord-gift-codes/165488/

责任编辑:
声明:本平台发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。

德品

安安

黑糖

1377 678 6470