標題：攻擊者利用Kopeechka創建大量賬戶發起大規模攻擊

近年來，攻擊者變得越來越專業，他們鑽研技能，以求犯更少的關鍵錯誤，並創建了各種即插即用業務，幫助低技能的攻擊者發起詐騙和攻擊。

目前存在不同類型的攻擊服務，包括惡意軟件即服務，攻擊者開發並向其他攻擊者出售惡意軟件服務，該服務還包括在被攻擊的主機上創建和傳播勒索軟件等惡意軟件類型。同時，其他服務需要使用多個社交媒體帳戶才能成功進行，例如虛假信息、垃圾郵件和惡意軟件傳播。

事實上，攻擊者在社交媒體平台上使用數千個賬戶發送數千條垃圾郵件並不罕見。但是他們是如何做到自動化的呢？

最近，Kopeechka服務出現，促進了依賴大規模社交媒體垃圾郵件的攻擊活動。在俄語中，“kopeechka”的意思是“便士”。

該服務自2019年初以來一直活躍，為流行的社交媒體平台提供簡單的賬戶註冊服務，包括Instagram、Telegram、Facebook和X(以前的Twitter)。我們還注意到，針對未成年人的聊天網站可以通過Kopeechka進行註冊。

本文介紹了Kopeechka服務，並對該服務的特性和功能進行了詳細的技術分析，以及它如何幫助攻擊者實現其目標。

社交媒體平台如何確保賬戶創建過程的安全大多數社交媒體平台都採取了積極措施來加強賬戶創建的安全性。由於許多攻擊者在社交媒體平台上創建賬戶用於非法活動，社交媒體公司為了將攻擊者在其平台上的風險降至最低，故選擇從賬戶創建過程開始。

有不同的安全措施來保護平台，防止欺詐賬戶的創建，例如：

1.電子郵件地址驗證。註冊時，用戶需要證明所提供的電子郵件地址是否存在，這通常是通過代碼確認完成的，其中用戶通過電子郵件接收唯一的URL或代碼。一旦他們選擇這個鏈接或輸入代碼，他們的帳戶就會被驗證。

2.電話號碼驗證。這裡的目標是迫使用戶提供一個可以由社交媒體平台驗證的真實電話號碼，通常是通過發送一條帶有用戶需要在平台上輸入的代碼的文本消息。

3.驗證碼保護。儘管存在不同類型的captcha，但目標始終是相同的：驗證用戶是真人而不是機器人。通常情況下，用戶需要回答自動解決程序無法回答的問題。

4.IP地址信譽。這裡的目標是確定用戶的IP地址是否乾淨，並且不是來自代理、虛擬專用網絡(VPN)或任何其他匿名解決方案。

根據目標社交平台的不同，攻擊者需要唯一的電子郵件地址、唯一的電話號碼和無可疑的IP地址才能成功創建自己的賬戶。

雖然一些社交媒體平台使用驗證碼來阻止自動註冊，但這並沒有給攻擊者帶來很大的障礙，因為現在存在不同的服務，允許攻擊者以自動方式繞過驗證碼。 IP地址檢查服務也是如此，因為攻擊者可以使用住宅代理繞過這些措施。

因此，攻擊者可以使用自動腳本繞過驗證碼和IP地址信譽檢查工具。但是，他們仍然需要一個有效的電子郵件，可能還需要為他們想要創建的每個帳戶提供一個電話號碼，這就需要用到Kopeechka了。

Kopeechka運行過程Kopeechka不提供電子郵件收件箱的訪問權限，但它可以訪問從社交媒體平台收到的電子郵件。該服務的設計使郵箱帳戶仍然由Kopeechka控制，而不是由任何第三方用戶控制。

Kopeechka提供兩種不同類型的電子郵件：使用自己域名的電子郵件地址，以及託管在更受歡迎的電子郵件託管服務上的電子郵件地址。

Kopeechka表示它當前庫存的有效電子郵件數量，如表1所示：

截至2023年5月底，Kopeechka庫存的有效電子郵件地址數量

目前，這些電子郵件地址要么是由Kopeechka使用者自己創建的，要么可能是被攻擊的電子郵件收件箱。 Kopeechka還購買電子郵件帳戶，如下圖所示：

Kopeechka購買電子郵件地址可能用於非法用途

在撰寫本文時，該服務還提供了託管在其擁有的39個域名中的幾個電子郵件地址。

Kopeechka的電子郵件域名

Kopeechka(圖2)與流行域名(表1)的定價不同，後者比前者更昂貴(在撰寫本文時，Kopeechka域名的成本為0.05盧布或0.0005美元，一些流行域名的成本高達盧布1或0.01美元)。

Kopeechka是如何工作的？ Kopeechka為其客戶提供web界面和API

Kopeechka的網絡界面，如Kopeechka的宣傳視頻所示

如上圖所示，web界面允許用戶使用購買的電子郵件地址輕鬆創建社交媒體帳戶，而API使用戶更容易自動創建多個社交媒體帳戶。

對於Kopeechka目前還無法搜索的社交媒體平台，用戶可以使用Kopeechka的API。

用戶如何通過使用Kopeechka API在新的社交媒體平台上獲得一個有效的帳戶

下載所有這些過程都可以完全自動化，這可以讓攻擊者在幾秒鐘內創建數百個甚至更多的賬戶，只要他們的Kopeechka賬戶裡有足夠的錢。

無法訪問實際的郵箱Kopeechka實際上不提供訪問實際郵箱的權限。當用戶請求郵箱創建社交媒體帳戶時，他們只能獲得電子郵件地址參考和包含確認碼或URL的特定電子郵件。這對於Kopeechka服務至關重要，因為它允許Kopeechka使用者使用一個電子郵件地址在不同的社交媒體平台上進行多次註冊，如下圖所示：

在不同的社交媒體平台上多個用戶可以使用一個唯一的電子郵件地址創建賬戶

短信的作用某些社交媒體平台還包括一個帳戶驗證步驟，需要一個電話號碼，他們將使用該電話號碼發送包含唯一代碼的短信，用戶需要在平台上輸入代碼才能成功註冊。

為了解決這個問題，Kopeechka允許用戶從16種不同的在線短信服務中進行選擇。與它的所有服務一樣，Kopeechka提供了視頻教程，以及每種服務的描述及其工作原理。

Kopeechka與16種不同的在線短信服務合作

Kopeechka的市場營銷和客戶服務除了宣傳其服務外，Kopeechka還通過不斷與用戶溝通和提供服務發生的任何事情(包括網絡問題和bug通知)的透明度來培養客戶忠誠度。 Kopeechka提供提示，完整的教程，甚至補償它的客戶。

Kopeechka使用者與他們的客戶就最近修復的漏洞進行了溝通，並為客戶的損失提供了賠償。

總而言之，Kopeechka似乎在處理客戶溝通方面採取了專業的方法，它使用了一種名為Bitrix24的客戶關係管理(CRM)工具來滿足其銷售、營銷和項目管理需求。 Kopeechka使用該軟件的原因可能是，Bitrix24每個客戶使用了一個子域，我們發現了一個現有的“kopeechkstore . Bitrix24 .ru”子域，該子域至少自2019年以來一直活躍。

Kopeechka還提供在線視頻、常見問題解答(FAQ)和描述該服務如何工作的專用頁面。客戶可以在該平台的客戶培訓中心這裡測試自己的賬戶創建和日誌記錄技能這讓用戶可以免費試用這項服務。

培訓中心主頁的英文截圖

Kopeechka還提供了一個正則表達式測試平台，它可以更好地匹配電子郵件中的文本，以防用戶訂閱特殊的服務。

與其他俄羅斯在線服務合作對於那些想要自動化賬戶註冊過程，但又不熟練使用API的用戶，Kopeechka鼓勵他們使用第三方俄羅斯服務ZennoPoster，該服務自2011年以來一直很活躍。

Kopeechka鼓勵用戶使用ZennoLab，並將給他們5%的退款，ZennoPoster是ZennoLab的產品。

ZennoPoster允許用戶通過像腳本一樣在瀏覽器上執行多次操作來自動執行瀏覽器操作，Kopeechka用戶可以使用ZennoPoster作為自動註冊系統。

ZennoPoster工具用於自動瀏覽操作的屏幕截圖

幾個在線話題解釋瞭如何使用ZennoPoster和Kopeechka在不同的社交媒體平台上註冊帳戶，其中一個示例是使用ZennoPoster和Kopeechka在俄羅斯約會網站“mylove.ru”上創建一個帳戶。

Kopeechka提供了使用ZennoPoster註冊mylove.ru帳戶的支持

ZennoPoster的開發者ZennoLab銷售數十種與社交媒體平台和其他在線網站互動相關的自動化任務。其中一個自動化任務是X(以前的Twitter)的腳本，它將通過X帳戶並向其所有關注者發送消息。因此，這個帳戶可以用來發送垃圾郵件。

ZennoLab還提供其他可能被攻擊者濫用的產品

ZennoLab也有CAPTCHA識別和代理搜索或檢查服務。

值得注意的是，Kopeechka鼓勵用戶使用ruCaptcha驗證碼解決服務，並提供5%的退款。

Kopeechka通過提供5%的退款來推廣RuCaptcha服務

Kopeechka還為開發者和用戶提供了一個協作計劃。雖然在軟件中使用Kopeechka API的開發者可以獲得銷售額的10%，但通過附屬鏈接說服更多人使用Kopeechka的用戶可以獲得每個新用戶在Kopeechka上消費金額的10%。

上傳二手郵件的用戶也將獲得郵件銷售額的一定提成。

Kopeechka的附屬項目

Kopeechka在地下論壇的活動在地下論壇宣傳這項服務自2019年2月成立以來，Kopeechka一直在宣傳自己的服務，每次更新後，Kopeechka都會定期更新其在攻擊者論壇上的廣告線索。

攻擊論壇上Kopeechka更新的帖子

目前，Kopeechka的俄語Telegram頻道有大約1000名訂戶，英語Telegram頻道有440名訂戶。

尋找漏洞除了在攻擊者的地下論壇上做廣告外，Koppechka的使用者似乎也對尋找漏洞很感興趣。可以在不同的論壇上看到很多使用Kopeechka這個名字的人，他們對利用漏洞進行攻擊很感興趣。在許多論壇上，攻擊者只與那些回復相關主題的人分享內容，這使得識別Kopeechka使用者感興趣的內容變得容易。此外，Kopeechka使用者有時也會就這些論壇上宣傳的產品或服務提出問題。

2022年6月，一名用戶在論壇上發布了一則廣告，介紹了一個據稱可以繞過Gmail的漏洞。一位名為kopeechka的用戶在2023年3月回復了關於這個漏洞的問題，並詢問它是否仍然是最新的。

在另一個論壇上，一位名叫Kopeechka的用戶回復了關於如何破解包括Spotify、Netflix、Steam在內的社交媒體賬戶的帖子，以及關於使用Black Bullet和一款名為OpenBullet的免費網絡測試軟件的帖子。

2020年，Kopeechka使用者還在一個論壇上發帖，請求幫助製作“一批不廣泛使用的文件，其保護與文憑大致相同”。雖然不知道他們想要提供什麼樣的文件，但這個請求很可疑，因為它背後的目的可能是提交虛假文件，以滿足各種服務提供商或管理部門的要求。

Kopeechka的用途Kopeechka幾乎可以用於任何需要處理帳戶註冊的服務。

在調查最近的一次大規模加密貨幣騙局時，我們報告了對Mastodon社交網絡的濫用，突然發現數百個新賬戶被創建，向Mastodon用戶推廣虛假加密貨幣網站。 Brian Krebs在今年早些時候討論了Kopeechka服務是如何被用來大規模註冊Mastodon賬戶的。

Mastodon是一個免費的開源社交網絡程序，一個商業平台的替代方案，避免了單個公司壟斷你溝通的風險。選擇你信任的服務器，無論選擇的是哪個，你都可以與其他人進行互動。

機器人還使用Kopeechka來輕鬆創建帳戶。目前已經可以看到通過Kopeechka API創建社交媒體帳戶的代碼，包括Discord, Telegram和Roblox帳戶的腳本。

在線提供一個Discord帳戶生成器代碼

Kopeechka上的一個自動kick.com帳戶生成器

一名攻擊者以每月50美元的價格出售在Kopeechka創建的Reddit賬戶

出售使用Kopeechka創建的coinmarketcap（加密貨幣市場網站）賬戶，售價150美元

此外，發現的可用於創建VirusTotal帳戶的Python腳本，表明一些用戶可能會註冊這些帳戶以測試惡意軟件檢測。

根據觀察，Kopeechka越來越受攻擊歡迎，在其上面買賣更有保障。

官方的Kopeechka API本身是大規模提供的，允許它集成到任何類型的代碼中。它存在於大多數開發人員的平台上，包括Python包索引（PyPI）、NuGet、GitHub和npm。

總結Kopeechka的服務可以提供一種簡單而實惠的方式來大規模創建在線賬戶，這對攻擊者很有幫助。 Kopeechka的客戶使用這項服務可以輕鬆創建大量賬戶，而無需短信和電子郵件驗證。

雖然Kopeechka主要用於創建多個賬戶，但攻擊者也可以使用它來為自己的活動增加一定程度的匿名性，因為他們不需要使用自己的電子郵件地址在社交媒體平台上創建賬戶。

為此，只有電子郵件服務提供商共同協作，加強他們的註冊流程，才能解決Kopeechka問題。不過，這一努力可能通過人工智能來實現，人工智能可以提供檢測自動賬戶註冊的方法。