广告软件变身按安装付费网络犯罪——InstallCapital恶意软件分析

InstallCapital —— 当广告软件变成按安装付费网络犯罪

流量交换可能是互联网上最古老的灰帽业务之一。不同公司竞相为您的项目购买或出售真实流量。例如,如果您需要在搜索引擎中获得更好的排名(SEO)、在社交网络上获得更多关注者、从广告中赚钱,或者您是漏洞利用工具包操作者,或者需要推广基于比特币的庞氏骗局……每个人都需要流量,而且流量并不便宜。

许多不同的(非常)老牌攻击组织至今仍在活跃。他们使用或多或少具有创意的方式来产生大量流量。发送垃圾邮件通常是显而易见的方式。

您每天收到的大多数垃圾邮件,例如约会网站或伟哥促销,并不十分复杂。大多数电子邮件只包含几个词或句子以及一个链接。这些活动的主要目的是收集流量并转售。

然而,垃圾邮件并不是产生流量的唯一方式。另一种有利可图的方式是使用僵尸网络。如果您找到一种合法的方式让人们在他们的计算机上安装您的软件,您就可以使用该软件在受害者的计算机上显示广告。这通常就是我们所说的广告软件或潜在不受欢迎的应用程序(PUA)。例如,这种商业模式可以帮助开发人员即使软件免费提供也能赚钱,但也可能被滥用。

一些广告软件操作通过允许客户在广告软件受害者的计算机上推送他们想要的任何软件来将其流量货币化。这称为按安装付费(PPI)。

许多“公司”提供在特定计算机组上安装您想要的任何软件以换取金钱。这种业务与Emotet等僵尸网络的非法安装转售市场非常相似,有时只是恶意软件分发操作的前台。

本文介绍了一种著名的PPI产品,称为InstallCapital。无论出于合法还是非法原因,真实流量都是一项巨大的业务,如果您认为垃圾邮件或广告软件是 shady 活动,那么请坐下来阅读有关按安装付费经济的内容。

InstallCapital —— 自1999年以来的业务

InstallCapital是一家名为Wakenet AB的瑞典公司的产品。我们强烈建议您阅读McAfee的Oliver Devane和Charles Crofford在2018年关于Wakenet AB的出色工作,记录了该公司自1999年以来的业务。本文的目的是展示有关InstallCapital的新数据,并提醒人们对相关僵尸网络采取行动的重要性。

如何通过PPI赚钱

InstallCapital是黑帽论坛上知名的服务。您可以轻松找到多个关于如何通过PPI赚钱的教程,这些教程都提到了InstallCapital。

blackhatforums.com

https://mymediads.com/marketing_articles/29189

开放论坛上也有不同的评论,解释哪种产品更有利可图。

在访问了几个论坛后,您可以找到多年来关于通过InstallCapital投放恶意软件而不会被管理员阻止的参考资料。基于此,我们尝试检索利用PPI的软件提供的实际有效负载。

2020年的InstallCapital在哪里?

自2018年以来,InstallCapital没有太大变化。仍然可以每天在The Pirate Bay或任何其他分发虚假破解和密钥生成器的网站上找到新样本。

传播InstallCapital的TPB用户示例

PPI产品还提供了一个WordPress插件,以便轻松部署重定向到InstallCapital样本的下载页面。目前有数千个WordPress网站部署了该插件。

InstallCapital分销商示例

PPI网络的客户可以通过使用所需参数构建新的安装程序来自行传播InstallCapital。

下载这些破解之一后,用户会被邀请安装不同的未知软件包,如TrustedLogos、DotDo、FastDataX等。这是第一步,它允许PPI参与者保持低调。大多数感染来自虚假的warez平台,大多数情况下,在尝试安装非法软件后没有人抱怨被黑客攻击。

InstallCapital安装程序之一

这些未知软件包实际上与PPI客户有关,他们付费给InstallCapital以安装他们的软件。

PPI的基础设施似乎庞大,但同时非常简单。当您运行安装程序时,它会通过从Pastebin检索的域联系可用优惠列表。

InstallCapital流量示例 bon.sonjelly.club 用于检索优惠

如果受害者符合某个优惠的条件,他们将收到第二阶段的有效负载。我们在2017年至2020年间观察到超过500个优惠和近200,000个域,所有这些域都指向同一个IP:54.88.21[.]193。

在2020年1月尝试了InstallCapital推送的不同软件包后,我们检索到的第一个恶意软件是Gluteba —— 通过 hxxps://theatresearch[.]xyz/app/app.exe 投放。

该恶意软件主要用于加密货币挖矿,其特点是通过公共漏洞在LAN上传播自身。

Gluteba IOCs:

  • hxxps://theatresearch[.]xyz/app/app[.]exe
  • hxxps://theatresearch[.]xyz/app/watchdog[.]exe
  • hxxp://mymindmix[.]ru/app/deps[.]zip
  • hxxp://alluniversal[.]info/xme64–262[.]exe
  • hxxp://mymindmix[.]ru/app/vc[.]exe
  • hxxp://alluniversal[.]info/wupvd[.]exe
  • hxxp://1gamescon[.]com/app[.]exe
  • hxxp://mymindmix[.]ru/app/app[.]exe
  • hxxp://alluniversal[.]info/xme32–262-gcc[.]exe
  • hxxp://enemyunknown[.]club/app/app[.]exe
  • hxxp://mymindmix[.]ru/app/watchdog[.]exe
  • hxxp://alluniversal[.]info/xne64–261[.]exe
  • hxxp://nextmusic[.]club/app/app[.]exe
  • hxxp://imaginemix[.]ru/app/app[.]exe
  • hxxp://gamehouse[.]shop/app/app[.]exe

C&C:

  • hxxps://whitecontroller[.]com
  • hxxps://sleepingcontrol[.]com
  • hxxps://venoxcontrol[.]com
  • hxxps://okonewacon[.]com

更令人惊讶的是,我们还收到了银行木马Dreambot(Gozi2+TOR)的样本。InstallCapital配置为通过URL投放第一个加载器(ImpulseLTD):
hxxp://exee[.]space/installer/exee[.]exe /verysilent /sup 021

随后通过 hxxp://34[.]240[.]96[.]52/files/sp/vvvv[.]exe 投放Dreambot

具有讽刺意味的是,Dreambot直接从ImpulseLTD的PPI服务器(hxxp://34[.]240[.]96[.]52/technology)分发,操作员在那里写道:

技术隐私政策
Impulse LTD是一家位于俄罗斯的技术公司,是EXEE信息收集程序的幕后推手,EXEE程序将您的计算机用作代理服务器,不修改计算机上的任何内容,也不造成任何损害。

EXEE将向不同的站点(如google、yandex、facebook等)发送多个请求,以在不同IP地址下从这些站点收集统计信息和信息。

PPI通常与广告软件相关联,因此,它们设法保持低调以部署复杂的恶意软件。在取证案例中,广告软件可能不是最常见的感染类型,但正如我们在这里看到的,银行木马可能来自简单的广告软件或PPI软件。

Dreambot IOCs:

  • AES密钥:dJReCsX8qWlhQ0kv
  • Bot组ID:1000
  • 软件:1
  • Bot版本:2.17.10.7
  • CnC服务器ID:12
  • CnC:hxxp://6vcatkjlim35nscu[.]onion
  • CnC:hxxp://winserver-cdn[.]at(Fluxxy域)

在我们测试的第三天也是最后一天,InstallCapital分发了另一个已知操作的恶意软件:Legion Loader,通过 hxxp://api-update1[.]biz/postback_r[.]exe 用于投放Raccoon Stealer。

Legion IOCs:

  • hxxp://legions17[.]biz/legion17/welcome

Raccoon IOCs:

  • hxxp://35[.]228[.]215[.]155
  • hxxp://api-update2[.]biz/test/us/krahia[.]exe

仅仅三天的测试,我们就检索到了三种不同的恶意有效负载。看来InstallCapital似乎充当恶意软件加载器,向各种网络犯罪分子转售访问权限。为了衡量这种恶意软件分发者的真实危险,我们设法估计了僵尸网络的规模,并发现了一些有趣的统计数据。

僵尸网络的规模?

连续几天监控僵尸网络后,我们了解到InstallCapital是一个由Windows/MacOS和Android用户组成的巨大僵尸网络:

在2020年2月的四天期间,有222,909个活跃机器人。

四天期间的感染地图。

从这些统计数据中,我们可以看到InstallCapital是一个庞大而强大的僵尸网络。感染最多的国家是美国,这对恶意软件有效负载销售业务非常有利,因为基于美国的机器人对信用卡盗用者或密码窃取者来说更有价值。例如,InstallCapital似乎比臭名昭著的Ramnit更大的僵尸网络,但由于它与广告软件相关联,因此受到的恶意软件研究社区关注要少得多。

按国家划分的前10名感染

现在我们了解了僵尸网络的实力,让我们看看财务方面。

这真的是一门好生意吗?

幸运的是,僵尸网络的财务信息在控制面板中完全公开:

2018年9月 — 2020年1月:1,273,437欧元

这些数据使我们了解到:

  • 客户可以通过以下方式购买负载:WebMoney、Paypal或Bitcoins
  • 价格取决于客户,但平均价格为1,200次安装500美元,或3,000次安装1,200美元
  • 在2018年9月至2020年2月期间,PPI的管理员赚了大约120万美元

考虑到Wakenet AB自1999年以来一直从事这项业务,PPI业务确实非常有利可图。

结论

通过本文,我们试图提醒人们注意按安装付费网络。安全行业多年来对PPI一直很宽容,认为它只是与广告软件相关,但现实非常不同,这些网络可能是巨大的恶意软件分发者,经常被各种网络犯罪分子使用。

研究社区的宽容使PPI得以发展,直到成为一项价值数百万美元的业务,与Emotet业务非常相似。就像Emotet或Trickbot恶意软件业务一样,我们担心如果PPI网络开始被APT组织使用,可能会造成什么损害。

为了减少此PPI僵尸网络的攻击面,您可以在本文末尾找到2017年至2020年间使用的193,045个C&C域列表,以及2018年10月至2020年2月可用的515个优惠及其参数。我们强烈建议您扫描网络并清理InstallCapital感染,以避免更严重的问题。

关于PPI业务,我们将让blackhatforum.com用户发言:

InstallCapital IOCs

2017年至2020年的C&C域:https://pastebin.com/LhVBum2q

  • capital[.]go2cloud[.]org
  • 54[.]88[.]21[.]193
  • 52[.]87[.]100[.]16
  • 34[.]225[.]153[.]59
  • hxxps://pastebin[.]com/a7Lymyfg

2018年至2020年的IC优惠:https://pastebin.com/BvK6BKmX
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)

公众号二维码

公众号二维码

posted @ 2025-10-24 06:02  qife  阅读(6)  评论(0)    收藏  举报