剖析sextortion騙局
自今年7月以來,越來越多的sextortion攻擊在網際網路上傳播。過去幾個月,思科Talos一直在調查這些活動。大多情況下,垃圾郵件傳送者從公開洩露的資料中獲取電子郵件地址和密碼,然後使用這些資料來促進sextortion攻擊。雖然攻擊者實際上並沒有任何視訊來暴露受害者,但他們通過郵件聲稱:如果受害者在一定時間內沒有支付勒索款項,那麼他們將傳播視訊。雖然這些攻擊已持續數月,但Talos還是希望仔細研究下其中的一些活動,以瞭解為什麼攻擊者的威脅看似很薄弱,但還是有使用者被欺騙,且向攻擊者傳送了大量比特幣。通過詳細研究sextortion垃圾郵件活動,研究人員可以深入瞭解這些犯罪分子的運作方式。
sextortion電子郵件的示例,其中包含對郵件正文措辭的輕微改動
一、SEXTORTION分析
為更深入的瞭解sextortion騙局,Talos提取並分析了兩個非常相似的sextortion垃圾郵件活動相關的訊息。我們分析的第一個垃圾郵件活動始於2018年8月30日,第二個活動開始於2018年10月5日。在撰寫此部落格時,這兩個攻擊仍處於活躍狀態。
Talos從這兩個sextortion攻擊活動中提取了SpamCop收到的所有郵件,從2018年8月30日到2018年10月26日,共計58天的垃圾郵件。作為這兩個sextortion活動的一部分,傳送的每條訊息都包含一個From:頭部與以下兩個正則表示式之一匹配:
From =~ /Aaron\d{3}Smith@yahoo\.jp/
From =~ /Aaron@Smith\d{3}\.edu/
1.郵件總數
總的來說,SpamCop收到了233,236封與“Aaron Smith” sextortion活動相關的電子郵件。訊息是從137,606個獨立的IP地址傳送的。此活動中的絕大多數傳送方IP,120,659個(87.7%),傳送了兩條或更少的訊息。
SpamCop收到的Sextortion電子郵件數量
發件人IP分佈在多個國家,但大約50%的資訊僅來自五個國家:越南(15.9%),俄羅斯(15.7%),印度(8.5%),印度尼西亞(4.9%)和哈薩克(4.7%)。如果其中一些國家看起來很熟悉,那是因為印度和越南之前被認為擁有大量被Necurs殭屍網路感染的機器,Necurs是一個惡意軟體分發商。
按國家/地區統計發件人IP地址
儘管在這些攻擊中傳送了超過233,000封電子郵件,但單獨收件人的數量實際上相當低。 Talos僅發現15,826個不同的受害電子郵件地址。這意味著攻擊者向每個收件人平均傳送近15個sextortion垃圾郵件。令人吃驚的是,在我們蒐集的資料中,其中一位不幸的受害者被髮送了354次。
2.支付
每個sextortion垃圾郵件都包含付款要求。攻擊者請求的付款根據具體的攻擊而有所不同,但在本例中,它是一個隨機生成的數字,由1到7之間的整數後跟三個零($ 1,000 – $ 7,000)組成。這幾種不同的支付金額在整個電子郵件集中的頻率幾乎相同,這表明攻擊者並沒有為每個受害者量身定製付款要求。
3.錢包
除了支付需求之外,每個sextortion訊息還包含比特幣(BTC)錢包地址以便從受害者接收付款。總的來說,Talos確定了與這兩個垃圾郵件活動相關的58,611個獨特比特幣錢包地址。每個比特幣錢包平均對應四條訊息。在大約58,000個比特幣錢包中,只有83個錢包擁有正餘額。然而,這83個錢包的餘額加起來為23.3653711比特幣,相當於146,380.31美元。不算太糟糕的訊息是,攻擊者只分發了大約60天這種特殊的騙局,而且實際上並沒有任何有關受害者的材料。
如果看一下獨立比特幣錢包的數量和獨立受害者電子郵件地址的時間,可以發現攻擊者定期向正在進行的攻擊注入新鮮資料。獨立的比特幣錢包的數量趨於達到峰值,然後隨著時間的推移逐漸減少,直到另一批新的攻擊者生成的比特幣錢包它再次達到峰值。新錢包地址的最後一次注入發生在10月9日。隨著時間的推移,對於獨立的郵件接收者也可以看到相同的情況,大約在10月9日左右也出現了大量新的收件人。
獨立/重複的比特幣錢包和收件人電子郵件地址
不幸的是,當進一步挖掘具有正餘額的個別比特幣錢包時,我們注意到了錢包支付金額的一些奇怪之處。幾個錢包收到了遠遠低於此特定攻擊活動所要求的最低1,000美元付款的轉賬。付款金額很低,不屬於比特幣價格波動可以解釋的範圍。
在Aaron Smith sextortion垃圾郵件中發現的比特幣錢包包含遠低於1000美元轉帳的最低需求
研究人員發現,這次攻擊中使用的一些錢包也被用於其他攻擊。攻擊者在不同的垃圾郵件活動中重複使用一些比特幣錢包地址。鑑於攻擊者的比特幣錢包重用,Talos決定擴大研究,包括所有提到“比特幣”的垃圾郵件,同時郵件正文還擁有一串26-35個字元類似於比特幣錢包地址。
二、攻擊者使用個人資訊
在第一個sextortion活動中發現的一個案例中,使用了受害者的電話號碼而不是洩露資料中的密碼。雖然電話號碼不像使用者密碼那樣私密,但它仍然是使用者隱私。攻擊者希望他們能夠說服收件人,他們可以通過把受害者的電話號碼展現在郵件內,使收件人相信他們的騙局是真的。
使用受害者電話號碼的sextortion攻擊
如果仔細閱讀文字,就會注意到此電子郵件中的大部分文字與Talos之前分析的“Aaron Smith”活動中包含的文字幾乎相同,尤其是結尾段落中的文字。
事實上,在搜尋SpamCop時,我們發現了一個電子郵件,郵件中攻擊者似乎錯誤的披露了自己的模板,其中包含選擇自定義風格的文字,以生成各種郵件正文作為其傳播垃圾郵件的一部分。
攻擊者錯誤地通過電子郵件傳送的sextortion模板訊息
三、國際化的SEXTORTION
IBM X-Force的安全研究人員最近發現了一個於2018年9月底通過Necurs殭屍網路基礎設施傳送的sextortion活動。利用IBM提供的20個比特幣錢包(IoC),Talos確定了近1,000個不同的傳送方IP地址參與傳送“Aaron Smith”垃圾郵件,以及與Necurs殭屍網路相關的國際sextortion垃圾郵件。傳送方IP基礎設施的重疊表明,相同的垃圾郵件傳送者都支援這兩個攻擊活動。除了X-Force部落格中確定的7種不同語言(ENG,GER,FRE,ITA,JPN,KOR,ARA)之外,Talos還確定了捷克語,西班牙語,挪威語,瑞典語以及芬蘭語中類似的sextortion活動的其他變體。
西班牙語的sextortion
四、其它攻擊變種
還有其他類似的sextortion垃圾郵件源自一些相同的Necurs殭屍網路基礎設施。下面是看起來像支援票證的sextortion垃圾郵件的示例。為更加真實,該訊息甚至包括正文頂部附近的文字:“相機就緒,通知:<日期>”。
一個偽裝成“票證”的sextortion電子郵件的例子
攻擊者在完全不同型別的比特幣相關電子郵件騙局中使用了相同的比特幣錢包。位於上面“票證”示例中的BTC錢包1HJbQG3NsDGqqnnF1cU2c1Cgj1BT65TYRy也出現在視訊詐騙中。在黃色視訊詐騙中,攻擊者冒充俄羅斯聯邦的一名年輕女孩,並承諾傳送一個自己的視訊,換取100美元存入攻擊者的比特幣錢包。
包含重複的比特幣錢包的sextortion詐騙視訊訊息的示例
Talos發現了其他重複的比特幣錢包,這也顯示了同樣的垃圾郵件傳送者也可能進行其他攻擊。例如,比特幣錢包1NAXPRTdVdR5t7wfR1C4ggr9rwFCxqBZD7不僅出現在上面詳述的“票證”型別的sextortion詐騙訊息中,而且它還出現在另一個不同的方案中,用於從其他重要收件人身上敲詐比特幣。垃圾郵件傳送者聲稱一直關注受害者,由此獲得了收件人“不忠”(欺騙伴侶)照片的證據。
非法關係勒索
五、其它攻擊變種( 無關的? )
檢視來自SpamCop的其他與比特幣相關的垃圾郵件時,我們看到了其他幾種旨在獲取比特幣的社交工程攻擊。在上面詳述的“I-know-you-are-cheatin”勒索案例中,攻擊者聲稱有證據證明受害人的伴侶實際上在欺騙他們。雖然訊息中的文字措辭有點熟悉,但它與其他勒索攻擊(例如,通過包含附加的QR程式碼)不同,它實際上可能是完全不同的攻擊組織所為。
勒索攻擊的變體之一—向受害者提供伴侶不忠的證據
Talos還發現了更為可怕和暴力的敲詐勒索相關的資訊。在這些訊息中,攻擊者聲稱已經付費找人幹掉(殺死)收件人。攻擊者聲稱已經安排了交通工具,但由於改變了主意,他們現在願意將僱主的資訊出售給潛在的受害者。同樣,訊息和措辭聽起來與我們在多個sextortion電子郵件中看到的文字非常相似。雖然懷疑它,但Talos不能肯定這些暴力勒索電子郵件實際上是同一攻擊者所為。
暴力勒索訊息
六、社會工程的部分案例
我們注意到有一些與比特幣相關的垃圾郵件活動,雖然很少能將它們與通過Necurs殭屍網路傳送的垃圾郵件聯絡起來,但他們代表了通過社會工程強迫一些受害者的創造性嘗試。
首先,針對攻擊有快速致富計劃傾向的受害者。在此方案中,鼓勵收件人將比特幣傳送到指定錢包地址,他們的比特幣將在三小時內神奇的翻倍。這個比特幣“倍增器”聲稱利用了一個未公開的“系統中的錯誤”。雖然普通使用者可能會快速發現這是一個騙局,但是一些沒有受過比特幣概念教育的使用者,很可能受到這種型別垃圾郵件的影響。
比特幣倍增器電子郵件
其他與比特幣相關的垃圾郵件針對那些可能傾向於捐贈給慈善機構的人。雖然減輕受到軍事侵略影響兒童的痛苦是一個最令人欽佩的原因,但我們在這個資訊中找不到任何跡象表明這是一個合法的慈善組織。
可疑的“慈善兒童基金會”電子郵件
我們還發現了一則聲稱是“正面垃圾郵件”的垃圾郵件。訊息正文中寫著:“你知道那些不斷流傳的電子郵件試圖勒索你的比特幣,聲稱他們已經破壞了你電腦中的相機,並且他們計劃與你的朋友和家人分享一些令人尷尬的視訊和照片嗎?
比特幣彩票垃圾郵件
在這封電子郵件底部附近的問答部分,垃圾郵件傳送者寫道:“問:我們怎麼知道這是合法的?答:沒有。我們實際上不能在暴露自己和贏家的情況下發布證據。我們道歉但是這是我們能做到的極限。”如果你對整個10月4日的比特幣抽獎結果感到好奇,請注意垃圾郵件中提到的比特幣錢包只有一筆交易 。這筆交易發生在9月28日,金額為4美元。
七、總結
大多數反垃圾郵件解決方案都會過濾掉明顯的sextortion ,就像我們在本文中強調的那樣。然而,這不是全部。當這些型別的垃圾郵件活動進入使用者的收件箱時,相信其中許多人可能沒有受到足夠的教育,無法確定這是一個旨在勒索比特幣的騙局。不幸的是,從大量比特幣被騙的案例中可以清楚的看出,潛在受害者還有很長的路要走。