基于Baby Golang的僵尸网络为运营商带来了3000美元月收入

研究人员报告，基于有一个新的尸网商带、仍在开发的运营月收、基于Golang的美元僵尸网络，名为Kraken，基于其强大程度完全不像是尸网商带一个新生的僵尸网络：它使用SmokeLoader恶意软件加载程序，正像野火一样传播，运营月收并且已经为其运营商赚取了3,美元000美元/月的可观收入。

ZeroFox威胁研究员Stephan Simon在周三的基于一篇文章中写道，虽然它的尸网商带名字听起来很熟悉，但Kraken与2008年的运营月收同名僵尸网络几乎没有关系。

根据西蒙的美元帖子，Kraken利用SmokeLoader在目标机器上安装更多恶意软件，基于每次部署新的尸网商带命令和控制(C2)服务器时，都会收集数百个新机器人。运营月收

ZeroFox于2021年10月下旬发现了之前未知的僵尸网络，该僵尸网络仍在积极发展中。ZeroFox说，尽管它仍在开发中，但它已经能够从Windows主机中窃取敏感数据，能够下载和执行辅助有效负载，运行shell命令并截取受害者系统的云服务器屏幕截图。

ZeroFox分享了Kraken面板初始版本的屏幕截图——如下所示，C2被命名为“Kraken面板”——功能很精简。它提供了基本统计数据、下载有效负载的链接、上传新有效负载的选项以及与特定数量的机器人交互的方式。

西蒙指出：“这个版本似乎不允许运营商选择与哪些受攻击者互动。”

但是，如下所示，Kraken的C2面板的当前版本已经完全重新设计并重命名为Anubis。“Anubis面板为操作员提供的信息比原来的Kraken面板要多得多，”西蒙说，“除了之前提供的统计数据外，现在还可以查看命令历史记录和有关受害者的信息。”

Kraken的作者一直在修补、添加和删除功能。此时，Kraken可以保持持久性，收集主机信息，下载和执行文件，网站模板运行shell命令，截图，窃取各种加密货币钱包，包括Zcash、Armory、Atomic、Bytecoin、Electrum、Ethereum、Exodus、Guarda和Jaxx Liberty。

后来的迭代变得更加丰富，作者增加了对命令目标的选择性选择(单独或按组，而早期版本只允许机器人操作员选择他们要瞄准的受害者数量)、任务和命令历史、任务ID、正在发送的命令、命令应该发送给多少受害者、目标地理位置以及任务启动时间的时间戳。

起初，从2021年10月到2021年12月，每次Kraken袭击时，RedLine信息窃取程序都会对受害者的机器造成影响。RedLine是一种日益流行的信息窃取程序，它从浏览器中窃取数据，b2b信息网例如保存的凭据、自动完成数据和信用卡信息。

然而，该恶意软件已经展开了它的触角，不仅添加了其他中间人，还让它的经营者赚了一大笔钱。西蒙的文章称：“随着Kraken背后的运营商继续扩张并收集更多受害者，ZeroFox开始观察到正在部署的其他通用信息窃取者和加密货币矿工。”

截至周三，僵尸网络每月的收入约为3,000美元，如下面的屏幕截图所示。

我们目前尚不清楚运营商计划如何处理新机器人及其信息窃取者正在收集的所有数据，ZeroFox研究人员总结道：“目前尚不清楚运营商打算如何处理收集到的被盗凭据，或者创建这个新僵尸网络的最终目标是什么。”

ZeroFox传递了这些建议，以防止Kraken扰乱您的系统：

本文翻译自：https://threatpost.com/golang-botnet-pulling-in-3k-month/178509/如若转载，请注明原文地址。

最新评论