揭秘“敲诈者”的黑色产业链

http://trehoada[.]org/878hf33f34f http://thecodega[.]com/878hf33f34f http://thermo[.]dk/087gbdv4 http://saintsraw[.]com/087gbdv4http://sandat-bali[.]com/087gbdv4http://trehoada[.]org/878hf33f34fhttp://rechoboth[.]com/087gbdv4

这些网址绝大部分都是一个域名下放置一个恶意可执行文件供下载，域名之后部分的资源名称也比较接近。这样的网址有的是同一作者自己申请的一些小网站专门用于分发恶意文件，也有的是作者将木马转卖给了其他人，这些不同的不法分子各自申请了域名并在网站上放置恶意文件。

经过网络搜索查询发现，这些域名基本都由不同的人注册，并且很多域名带了反whois查询，难以从域名注册者这条线索入手继续追踪。这也说明，这些不法分子通常非常注重自身的隐蔽性。

还有一种情况，是正规网站遭到入侵后被黑客用于分发。比如位于上海的网站http://www.ty****er.com/，原本是某生产公司的官网，但是被哈勃分析系统监控到用于分发locky敲诈木马，其资源名称部分也与上面恶意网站的内容极为相似。

四、高度发达的产业链

• 木马交易、邮件传播等环节都已形成成熟的黑色产业
• 逐步发展起来的比特币市场为赎金交付提供了便利渠道

围绕着这类木马，已经形成了包括制作、传播、赎金交付在内的一整套黑色产业链。不同身份的黑客在这个链条中分工合作，互相交换资源和数据，其目的只有一个，那就是从受害者的损失之中分得一部分利益。

以传播木马这个环节为例，既然木马是通过邮件的方式进行广泛传播，那么向谁发送邮件，如何发送邮件，都包含资源或利益的交换。目前已经形成了

收集客户邮箱账户--->客户身份信息分类--->兜售客户邮箱账户--->专业发送邮件

的黑色产业链。只要用邮箱账号在BBS、论坛、聊天室等网站上注册过或者发表过言论，都有可以被黑产从业者使用爬虫工具在网上抓取到，并通过言论行为以及账号信息进行身份分类。被分类号的邮箱账号会出现在各类平台上进行兜售。

比如下图所示的兜售信息，邮箱账号被细分为多个行业类别，一个行业类别的邮箱账号信息的兜售价为9.90元。

购买邮箱账号信息后，如果使用正规邮箱大量发送垃圾邮件，很大概率会被封号，于是出现了“专业发送邮件”的产业环节。据调查，该环节从业者多采取自搭建邮箱服务器的方式，可以做到无限制的发送。比如下图所示是兜售代发邮件服务的信息，不仅提供了代发服务，而且还可以查看到发送总量、打开、点击人数等。

赎金交付是另一个重要的环节，它直接关系着整个黑色链条是否能从受害者那里攫取到足够的利益。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!