一個(gè)名為“瘋狂邪惡”（Crazy Evil）的俄語網(wǎng)絡(luò)犯罪團(tuán)伙與10多個(gè)活躍的社交媒體詐騙活動(dòng)有關(guān)，這些詐騙活動(dòng)利用各種定制誘餌欺騙受害者，誘使他們安裝StealC、Atomic macOS Stealer（又名AMOS）和Angel Drainer等惡意軟件。

Recorded Future的Insikt Group在一份分析報(bào)告中表示：“瘋狂邪惡團(tuán)伙專門從事身份欺詐、加密貨幣盜竊和信息竊取惡意軟件，他們利用一個(gè)協(xié)調(diào)良好的流量引導(dǎo)網(wǎng)絡(luò)——這些流量引導(dǎo)專家負(fù)責(zé)將合法流量重定向到惡意釣魚頁面?！?/p>

該團(tuán)伙使用多樣化的惡意軟件庫表明，威脅行為者正在針對(duì)Windows和macOS系統(tǒng)的用戶，對(duì)去中心化金融生態(tài)系統(tǒng)構(gòu)成風(fēng)險(xiǎn)。

瘋狂邪惡團(tuán)伙的活動(dòng)與盈利模式

據(jù)評(píng)估，瘋狂邪惡團(tuán)伙至少自2021年以來一直活躍，主要作為一個(gè)流量引導(dǎo)團(tuán)隊(duì)，負(fù)責(zé)將合法流量重定向到其他犯罪團(tuán)伙運(yùn)營的惡意登錄頁面。據(jù)稱，該團(tuán)伙由一個(gè)在Telegram上名為@AbrahamCrazyEvil的威脅行為者運(yùn)營，截至撰寫本文時(shí)，該團(tuán)伙在Telegram上的訂閱者已超過4800人。

法國網(wǎng)絡(luò)安全公司Sekoia在2022年8月的一份關(guān)于流量引導(dǎo)服務(wù)的深度報(bào)告中表示：“他們將流量貨幣化，提供給那些意圖廣泛或針對(duì)特定地區(qū)或操作系統(tǒng)用戶的僵尸網(wǎng)絡(luò)運(yùn)營商。因此，流量引導(dǎo)者面臨的主要挑戰(zhàn)是生成高質(zhì)量的無機(jī)器人流量，這些流量未被安全供應(yīng)商檢測或分析，并最終按流量類型進(jìn)行過濾。換句話說，流量引導(dǎo)者的活動(dòng)是一種潛在客戶生成形式?！?/p>

與其他圍繞建立假冒購物網(wǎng)站以促進(jìn)欺詐交易的騙局不同，瘋狂邪惡團(tuán)伙專注于涉及非同質(zhì)化代幣（NFT）、加密貨幣、支付卡和在線銀行賬戶的數(shù)字資產(chǎn)盜竊。據(jù)估計(jì)，該團(tuán)伙已產(chǎn)生超過500萬美元的非法收入，并入侵了全球數(shù)萬臺(tái)設(shè)備。

瘋狂邪惡團(tuán)伙的攻擊手段與組織結(jié)構(gòu)

在涉及另外兩個(gè)網(wǎng)絡(luò)犯罪團(tuán)伙Markopolo和CryptoLove的退出騙局之后，瘋狂邪惡團(tuán)伙獲得了新的關(guān)注。這兩個(gè)團(tuán)伙此前被Sekoia認(rèn)定為2024年10月使用虛假Google Meet頁面進(jìn)行ClickFix活動(dòng)的責(zé)任方。

Recorded Future表示：“瘋狂邪惡團(tuán)伙明確針對(duì)加密貨幣領(lǐng)域，使用定制的魚叉式釣魚誘餌。瘋狂邪惡的流量引導(dǎo)者有時(shí)會(huì)花費(fèi)數(shù)天或數(shù)周的時(shí)間進(jìn)行偵察，以確定操作范圍、識(shí)別目標(biāo)并啟動(dòng)攻擊?！?/p>

除了策劃傳遞信息竊取器和錢包清空器的攻擊鏈外，該團(tuán)伙的管理員還聲稱為其流量引導(dǎo)者提供操作手冊(cè)和指導(dǎo)，并為惡意負(fù)載提供加密服務(wù)，并吹噓其附屬結(jié)構(gòu)以委派操作。

瘋狂邪惡是繼Telekopye之后近年來被曝光的第二個(gè)網(wǎng)絡(luò)犯罪團(tuán)伙，其運(yùn)營中心圍繞Telegram展開。新招募的附屬成員由一個(gè)威脅行為者控制的Telegram機(jī)器人引導(dǎo)到其他私人頻道：

• Payments：宣布流量引導(dǎo)者的收入
• Logbar：提供信息竊取器攻擊的審計(jì)跟蹤、被盜數(shù)據(jù)的詳細(xì)信息以及目標(biāo)是否為重復(fù)受害者
• Info：為流量引導(dǎo)者提供定期的管理和技術(shù)更新
• Global Chat：作為主要交流空間，討論從工作到表情包的各種話題

該網(wǎng)絡(luò)犯罪團(tuán)伙被發(fā)現(xiàn)由六個(gè)子團(tuán)隊(duì)組成：AVLAND、TYPED、DELAND、ZOOMLAND、DEFI和KEVLAND，每個(gè)團(tuán)隊(duì)都被歸因于特定的騙局，涉及誘騙受害者從虛假網(wǎng)站安裝工具：

• AVLAND（又名AVS | RG或AVENGE）：利用工作機(jī)會(huì)和投資騙局，以名為Voxium的Web3通信工具（“voxiumcalls[.]com”）為幌子傳播StealC和AMOS竊取器
• TYPED：以名為TyperDex的人工智能軟件（“typerdex[.]ai”）為幌子傳播AMOS竊取器
• DELAND：以名為DeMeet的社區(qū)開發(fā)平臺(tái)（“demeet[.]app”）為幌子傳播AMOS竊取器
• ZOOMLAND：利用冒充Zoom和WeChat（“app-whechat[.]com”）的通用騙局傳播AMOS竊取器
• DEFI：以名為Selenium Finance的數(shù)字資產(chǎn)管理平臺(tái)（“selenium[.]fi”）為幌子傳播AMOS竊取器
• KEVLAND：以名為Gatherum的AI增強(qiáng)虛擬會(huì)議軟件（“gatherum[.]ca”）為幌子傳播AMOS竊取器

瘋狂邪惡團(tuán)伙的影響與未來趨勢

Recorded Future表示：“隨著瘋狂邪惡繼續(xù)取得成功，其他網(wǎng)絡(luò)犯罪實(shí)體可能會(huì)效仿其方法，迫使安全團(tuán)隊(duì)保持持續(xù)警惕，以防止加密貨幣、游戲和軟件領(lǐng)域的廣泛破壞和信任侵蝕。”

這一發(fā)展正值網(wǎng)絡(luò)安全公司曝光了一個(gè)名為TAG-124的流量分發(fā)系統(tǒng)（TDS），該系統(tǒng)與已知的活動(dòng)集群LandUpdate808、404 TDS、Kongtuke和Chaya_002重疊。包括與Rhysida勒索軟件、Interlock勒索軟件、TA866/Asylum Ambuscade、SocGholish、D3F@ck Loader和TA582相關(guān)的多個(gè)威脅組織被發(fā)現(xiàn)在其初始感染序列中使用TDS。

該公司表示：“TAG-124包括一個(gè)由受感染的WordPress網(wǎng)站、行為者控制的負(fù)載服務(wù)器、中央服務(wù)器、疑似管理服務(wù)器、附加面板和其他組件組成的網(wǎng)絡(luò)。如果訪問者滿足特定條件，受感染的WordPress網(wǎng)站會(huì)顯示虛假的Google Chrome更新登錄頁面，最終導(dǎo)致惡意軟件感染。”

Recorded Future還指出，TAG-124的共享使用加強(qiáng)了Rhysida和Interlock勒索軟件變種之間的聯(lián)系，并且最近TAG-124活動(dòng)的變種利用了ClickFix技術(shù)，指示訪問者執(zhí)行預(yù)先復(fù)制到剪貼板的命令以啟動(dòng)惡意軟件感染。

作為攻擊的一部分部署的一些負(fù)載包括Remcos RAT和CleanUpLoader（又名Broomstick或Oyster），后者是Rhysida和Interlock勒索軟件的傳播渠道。

超過10,000個(gè)受感染的WordPress網(wǎng)站也被發(fā)現(xiàn)作為AMOS和SocGholish的分發(fā)渠道，作為所謂的客戶端攻擊的一部分。

c/side研究員Himanshu Anand表示：“用戶瀏覽器中加載的JavaScript在iframe中生成虛假頁面。攻擊者使用過時(shí)的WordPress版本和插件，使沒有客戶端監(jiān)控工具的網(wǎng)站更難檢測。”

此外，威脅行為者還利用GitHub等流行平臺(tái)的信任來托管惡意安裝程序，這些安裝程序?qū)е翷umma Stealer和其他負(fù)載（如SectopRAT、Vidar Stealer和Cobalt Strike Beacon）的部署。

趨勢科技的活動(dòng)與被稱為Stargazer Goblin的威脅行為者的戰(zhàn)術(shù)有顯著重疊，該行為者有使用GitHub存儲(chǔ)庫進(jìn)行負(fù)載分發(fā)的記錄。然而，一個(gè)關(guān)鍵區(qū)別是感染鏈從受感染的網(wǎng)站開始，這些網(wǎng)站重定向到惡意的GitHub發(fā)布鏈接。

安全研究人員Buddy Tancio、Fe Cureg和Jovit Samaniego表示：“Lumma Stealer的分發(fā)方法繼續(xù)演變，威脅行為者現(xiàn)在使用GitHub存儲(chǔ)庫來托管惡意軟件。惡意軟件即服務(wù)（MaaS）模型為惡意行為者提供了一種經(jīng)濟(jì)高效且易于訪問的手段，以執(zhí)行復(fù)雜的網(wǎng)絡(luò)攻擊并實(shí)現(xiàn)其惡意目標(biāo)，從而簡化了Lumma Stealer等威脅的分發(fā)?！?/p>