黑灰行业情报周刊是永安在线开设的新栏目。基于永安在线的商业安全情报平台和对黑灰色产品的长期研究,旨在为风控从业者提供最新的行业趋势分析和趋势。
本周热点新闻
1、黑产行为系列:黑产自动化工具的萌猫微信机器人框架。
2、上周腾讯QQ注册攻击次数暴增,注册手机卡96%是海外拦截卡。支持QQ授权登录的平台要警惕。
3、近两周来,国内IP占比一直超过国外IP,两者的差距在逐渐拉大。这意味着国内可供黑色产业使用的IP资源更加丰富,可以从中挑选出更多优质IP进行攻击。
一、黑产和恶意工具风险信息
1、近一周恶意恶意攻击工具新攻击的域名统计排名如下:
图1-1 Top 10产品端口占比
• 拼多多的电商辅助工具总量仍是最大的。京东的新黑产工具主要包括库存监控和优惠券领取,而淘宝则主要包括产品上架和售后审核。
• 抖音新增的黑色制作工具主要是自动抓包(一种抖音虚拟物品),而快手主要是自动开户和做任务的工具.
• 联客生活、爱丽丝交易所(均为区块链软件)、欢泰商城的工具属于自动新注册类型,骗取平台新奖励。
2、黑生产自动化工具的萌猫微信机器人框架
萌猫是早期开发的微信机器人框架工具,可以通过插件实现各种功能,支持多语言(易语言、PHP、Java、C#、C++等)插件开发,近至今已开发300个模型。插入。
图1-2 萌猫跑步演示截图
通过插件,萌猫可以实现自动回复,自动批准好友申请,自动拉群,自动聊天,自动支付,自动转码,淘宝联盟/京东联盟/苏宁联盟/多多金宝推广产品转链,清空下面就朋友圈、清理僵尸粉、活动对接等功能进行介绍。下面介绍微信小程序营销活动作弊场景中使用最多的三个功能。
• 自动付款插件
可以实现自动收微信好友转账功能,无需手动点击收款,是黑产自动化的第一步。
图1-3 自动支付插件Demo截图
• 自动转码插件
您可以在小程序中提取活动邀请码,如下图所示。提取小程序活动邀请码是协议作弊的第一步快手号买卖,有利于后续使用协议工具拼接活动邀请码帮助作弊。
此类插件还可以实现将小程序链接转换为小程序代码的功能快手号买卖,方便在众包平台发布辅助任务。
图1-4 自动转码插件Demo截图
• 主动对接插件
通过这样的插件,黑品可以实现线下/代理开发功能,达到快速拓展客源的目的。
图1-5 对接插件演示截图
二、黑客的手机号码
1、过去一周,被黑手机卡注册攻击前10名产品:
图2-1 黑手机卡注册攻击前10名产品
• 腾讯QQ注册攻击次数激增。除了用于QQ账号提升和微信注册外,也常用于QQ授权直接登录的APP。本周,腾讯QQ手机号访问攻击次数较上周明显增加。这些手机号码大部分属于国外,主要是南非、埃塞俄比亚和孟加拉国。对于这些Q号账号,除开号、微信注册外,黑赞还将用于可以通过QQ授权登录的APP(如京东商城、京西、微博等)。
• 黑产攻击腾讯QQ多以海外拦截卡为攻击材料。从卡的种类来看,对QQ进行攻击的手机卡大部分位于海外,而传统卡的起源地在中国,截取卡和传统卡的比例为96%。4%,两者差距巨大。可以推测,黑赞为了绕过QQ的风控,不得不使用具有真实用户行为的拦截卡;为了获得大规模稳定的拦截卡来源,他们最终选择了南非、埃塞俄比亚、孟加拉等海外国家。
三、黑产是邪恶IP
1、过去一周黑客产生的恶意IP的C段聚合率:
图3-1 恶意IPC段聚合率分布
• IP代理池中可供黑客使用的IP进行了新一轮的替换,大量正常IP将被黑客用作攻击材料。本周聚合率小于等于20%的C段占比较上周增加23.9%,说明IP大规模序列化尚未发生。即第二个拨号/代理网站正在更换其IP代理池中的IP,目前处于更换IP的初始阶段;连续的数字会大面积出现。具体表现为:聚合率小于等于20%的C段占比会逐渐下降,剩余C段的占比会逐渐上升。
2、恶意IP国内外分布比例:
图 3-2 黑客制作的国内外 IP 占比
• 国内制造商始终是黑客攻击的主要目标。黑客可以投入到攻击国内厂商的资源,远远超过攻击国外厂商或者国内厂商的海外软件。近两周来,国产IP占比一直高于国外IP,两者的差距也在逐渐拉大。这意味着国内可供黑色产业使用的IP资源更加丰富,可以从中挑选出更多优质IP进行攻击。
3、过去一周,被抓到的IP在一个月内的存活率:
图3-3 不同生存天数的国内外IP占比
• 本周抓获的恶意IP中有一半以上是存活时间小于3天的IP,国外IP质量明显优于国内IP。国内IP中,存活1~3天的IP占比56.61%;而国外IP占比达到78.44%。这说明大部分国外代理/秒拨网站的IP代理池更新速度要快于国内网站。
四、黑品交易信息
1、京东“春上心”活动启动,京东黑产号买卖订单激增
图 4-1 近一周京东交易订单数量变化
• 本周,由于京东“春上新”活动的启动,京东相关非法账户的买卖订单数量显着增加。3月21日,账户买卖订单数量达到8209笔。此外,本周京东交易账户数达到19万,较上周增加9.68倍;交易量达到44万,较上周增长7.48倍。
• 黑客对京东账号最基本的使用,就是与上面“工具风险情报”模块中的优惠券收集工具配合使用。此外,该账号还可能用于23日开启盲盒,需要用户完成浏览商品会场、浏览商品、帮助好友获取金币等任务,金币可用于提取盲盒。
2、抖音直播间抢福袋再遭黑品袭击
图4-2 3月份“抖音幸运袋”相关话题数量
• 抖音账户商品交易量暴增,直播间抢福袋或成为主要攻击目标。本周抖音账户商品交易量是上周的71倍,账户商品交易规模明显增加。此外,在黑色产线报纸方面,与“抖音幸运袋”相关的话题数量也呈现骤增;而在黑产工具方面,支持抖音抢财包功能的工具或云控也层出不穷。. 综上所述,可以推断,黑产已经将目光转向了抖音直播间的“抢福袋”。
• 对于黑产来说,这是一石二鸟,因为抖音养账号一直是一些黑产团队的主要收入来源,现在他们可以一边养账一边抢福袋,不仅提高了开户的成功率,还可以兑现抢到福袋带来的抖音。
您对哪个模块更感兴趣?你觉得哪个模块最无聊?您还更关心哪些其他信息?请给我们留言ψ(`∇´)ψ。
• 本周热卖的黑灰制作资讯
• 关于黑产邪恶工具的情报
• 黑品手机号信息
• 黑产恶意IP情报
• 黑产品交易情报
永安在线近期热门报道
