traffer威胁：隐形的窃贼

网络犯罪有多种不同的形式，大部分以牟利为目的。网络钓鱼者、诈骗者和恶意软件运营商是最明显的几类不法分子，不过网络犯罪经济领域还有另一个群体扮演着低调却又重要的角色，那就是traffer。

Sekoia公司的一份新报告披露了traffer的活动，详见https://blog.sekoia.io/traffers-a-deep-dive-into-the-information-stealer-ecosystem/。

traffer源自俄语单词Траффер，又被称为“worker”，指这类网络犯罪分子：负责将互联网用户的网络流量重定向至他们操纵的恶意内容，这类内容十有八九是恶意软件。

traffer通常是有组织的团队，攻击网络，以吸引流量并将访问者引到恶意内容。他们也可能建立出于同样目的的网站。正如密切关注俄文网络犯罪论坛的Sekoia研究人员披露，traffer生态系统由新手和技能娴熟的老手组成，使其成为适合网络犯罪初学者的入口点。

尤其是“lolz Guru”地下论坛显示了traffer团队层出不穷的现状，2022年每个月都会出现5到22个新的traffer团队（图见 1）。

图1. 每个月在俄文网络犯罪论坛Lolz Guru上新创建的traffer团队的数量（来源：Sekoia）

一旦创建，traffer团队可能会发展和重组，与其他团队合并或从头开始，因而很难评估traffer团队的寿命。有个traffer团队的一位管理员表示，在出售之前创建一个600人组成的traffer团队花了他3000美元。2022年5月，一个名为“Moon Team”的traffer团队明码标价为2300美元。

这种团队的典型组织非常简单：一个或几个团队管理员领导traffer，但他们还处理恶意软件许可证以及分析和出售traffer收集的日志（见图2）。

图2. 典型的traffer团队组织（图片来源：Sekoia）

traffer的最主要活动包括将互联网用户重定向到恶意软件，其中90%的恶意软件是窃取信息的程序。恶意软件窃取的信息可以是在线服务、邮箱、加密货币钱包的有效凭据或信用卡信息。这一切统称为日志。

团队管理员确实将这些日志出售给其他利用这些数据牟利的网络犯罪分子。

管理员还负责处理自己需要的恶意软件，向恶意软件开发者购买许可证，并将其分发给团队。

管理员还为其团队成员提供含有不同资源的工具包：

不断更新的恶意软件文件（又称为“恶意软件构建文件”），随时可供使用。

加密或混淆恶意软件文件所必需的加密服务或工具。

面向traffer的手册和指南。

一种搜索引擎优化服务，用于提高其可见性和通向其基础架构的连接的数量。

Telegram频道，便于团队成员之间轻松沟通。

用于自动执行诸多任务的Telegram机器人程序，比如共享新的恶意软件文件和创建统计数据。

专门的日志分析服务，确保管理员出售的日志是有效的。

一旦被招募进来，traffer就能够获取恶意软件文件，并通过来自受感染网站的重定向进行分发。traffer的报酬与从他们部署的恶意软件收集的信息的质量和数量挂钩。

traffer常常被鼓励参加由管理员组织的比赛。获胜者将获得额外的现金，并获得专业版的会员资格。这种访问权限让他们可以使用第二个恶意软件系列，获得更好的服务和奖金。

只要符合团队要求，每个traffer都可以使用自己的传递链。

据Sekoia声称，常见的传递方法包括网站伪装成博客或软件安装页面，并且传递受密码保护的存档文件，以免被发现。经验丰富的traffer对广告平台似乎了如指掌，设法通过这些服务加大推广其网站的力度。对于攻击者来说，这种传递方法的缺点是通常攻击许多受害者，因此比其他传递方法更快地被检测到。

Sekoia密切关注的traffer团队大多数实际上在地下论坛利用一种名为“911”的方法。

它包括使用窃取的YouTube帐户来分发由traffer控制的恶意软件的链接。traffer使用该帐户上传视频，诱使访问者下载文件、禁用Windows Defender并执行它。在大多数情况下，视频是关于破解软件的。视频解释如何继续下一步，并提供了安装破解软件、生成许可证密钥或在不同视频游戏中作弊的工具的链接。一旦执行，这些文件就会用恶意软件感染计算机。

恶意软件通常存储在合法的文件服务平台上，比如Mega、Mediafire、OneDrive、Discord或GitHub。在大多数情况下，它是受密码保护的存档文件，该文件含有窃取信息的恶意软件（见图 3）。

图3. traffer使用的911感染链（来源：Sekoia）

Sekoia观察到，traffer使用的最常用的信息窃取恶意软件有Redline、Meta、Raccoon、Vidar和Private Stealer。

Redline恶意软件被认为是最有效的信息窃取软件，因为它能够访问来自Web浏览器、加密货币钱包、本地系统数据和多个应用程序的凭据。

Redline还让管理员可以关联traffer分发的样本中独特的僵尸网络名称，从而轻松跟踪traffer活动。使用Redline获得的被盗数据在多个市场上出售。Meta是一种新的恶意软件，号称是Redline的更新版，已成为一些traffer团队的首选恶意软件。

这种威胁与恶意软件高度相关，可能既针对公司，也针对个人。应该在公司的所有端点和服务器上部署安全解决方案和防病毒解决方案。操作系统和所有软件也应保持版本最新并打上补丁，防止它们因常见漏洞被利用而受到感染。

用户应该接受相应的培训，以检测网络钓鱼威胁，并在任何情况下避免使用破解的软件或工具。应该尽量使用多因素身份验证。如果被盗凭据没有第二个身份验渠道就没法使用，检查凭据有效性的traffer就可能会放弃攻击目标。

参考及来源：https://www.techrepublic.com/article/traffers-threat/