🥇 በመስመር ላይ መደብሮች ውስጥ ተደብቀው የሚገኙ አራት ጃቫስክሪፕት አነፍናፊዎች

ሁላችንም ከሞላ ጎደል የመስመር ላይ መደብሮችን አገልግሎት እንጠቀማለን ይህም ማለት ይዋል ይደር እንጂ የጃቫስክሪፕት አነፍናፊዎች ሰለባ የመሆን ስጋት ውስጥ እንገባለን - አጥቂዎች በድህረ ገጽ ላይ የባንክ ካርድ ውሂብን ፣ አድራሻዎችን ፣ መግቢያዎችን እና የተጠቃሚዎችን የይለፍ ቃል ለመስረቅ የሚተገበሩ ልዩ ኮድ .

ወደ 400 የሚጠጉ የብሪቲሽ ኤርዌይስ ድረ-ገጽ እና የሞባይል አፕሊኬሽን ተጠቃሚዎች በአጭበርባሪዎች ፣እንዲሁም የብሪቲሽ ግዙፉ የስፖርት ድርጅት FILA ድረ-ገጽ እና የአሜሪካ ትኬት አከፋፋይ ቲኬትማስተር ጎብኝዎች ተጎድተዋል። PayPal፣ Chase Paymenttech፣ USAePay፣ Moneris - እነዚህ እና ሌሎች በርካታ የክፍያ ሥርዓቶች ተበክለዋል።

የዛቻ ኢንተለጀንስ ቡድን-IB ተንታኝ ቪክቶር ኦኮሮኮቭ አነፍናፊዎች እንዴት ወደ ድረ-ገጽ ኮድ እንደገቡ እና የክፍያ መረጃን እንደሚሰርቁ እና ምን CRMs እንደሚያጠቁ ይናገራል።

"ስውር ስጋት"

ለረጅም ጊዜ የጄኤስ አነፍናፊዎች ከፀረ-ቫይረስ ተንታኞች እይታ ውጭ ሆነው ባንኮች እና የክፍያ ሥርዓቶች እንደ ከባድ ስጋት አላዩዋቸውም ። እና ሙሉ በሙሉ በከንቱ። የቡድን-IB ባለሙያዎች ተንትኗል 2440 የተጠቁ የመስመር ላይ መደብሮች፣ ጎብኚዎቻቸው - በአጠቃላይ 1,5 ሚሊዮን ሰዎች በቀን - የመስማማት አደጋ ላይ ነበሩ። ከተጎጂዎች መካከል ተጠቃሚዎች ብቻ ሳይሆኑ የመስመር ላይ መደብሮች፣ የክፍያ ሥርዓቶች እና የተጠለፉ ካርዶችን የሰጡ ባንኮችም ይገኙበታል።

ሪፖርት ቡድን-IB ለአነፍናፊዎች ፣ መሠረተ ልማት እና የገቢ መፍጠሪያ ዘዴዎች የጨለማኔት ገበያ የመጀመሪያ ጥናት ሆነ ፣ ይህም ፈጣሪዎቻቸውን በሚሊዮን የሚቆጠር ዶላር ያስገኛል ። 38 የአነፍናፊዎች ቤተሰቦችን ለይተናል፣ ከዚህ ውስጥ 12ቱ ብቻ በተመራማሪዎች ዘንድ ይታወቃሉ።

በጥናቱ ወቅት የተጠኑትን አራቱን የአስኳሾች ቤተሰቦች በዝርዝር እናንሳ።

ReactGet ቤተሰብ

የReactGet ቤተሰብ አነቃቂዎች በመስመር ላይ የግዢ ጣቢያዎች ላይ የባንክ ካርድ መረጃን ለመስረቅ ያገለግላሉ። አነፍናፊው በጣቢያው ላይ ጥቅም ላይ ከሚውሉ ብዙ የተለያዩ የክፍያ ሥርዓቶች ጋር መሥራት ይችላል-አንድ ግቤት እሴት ከአንድ የክፍያ ስርዓት ጋር ይዛመዳል ፣ እና የነጠላው የአነፍናፊው ስሪቶች የምስክር ወረቀቶችን ለመስረቅ እንዲሁም የባንክ ካርድ መረጃን ከክፍያ ለመስረቅ ጥቅም ላይ ሊውል ይችላል። እንደ ሁለንተናዊ አነፍናፊ ተብሎ የሚጠራው በአንድ ጊዜ በርካታ የክፍያ ሥርዓቶች ዓይነቶች። በአንዳንድ አጋጣሚዎች አጥቂዎች ወደ ጣቢያው የአስተዳደር ፓነል ለመድረስ በኦንላይን ማከማቻ አስተዳዳሪዎች ላይ የማስገር ጥቃቶችን እንደሚፈጽሙ ታወቀ።

የዚህ የአፍንጫ መሸፈኛ ቤተሰብ ዘመቻ የተጀመረው በግንቦት 2017 ሲሆን፣ ሲኤምኤስ እና መድረኮችን የሚያስተዳድሩ ድረ ገጾች ጥቃት ደርሶባቸዋል። Magento, ቢግኮሜርስ፣ Shopify።

እንዴት ReactGet በመስመር ላይ መደብር ኮድ ውስጥ እንደሚተገበር

ስክሪፕቱን በአገናኝ በኩል ካለው “ክላሲክ” ትግበራ በተጨማሪ የReactGet ቤተሰብ አነፍናፊዎች ኦፕሬተሮች ልዩ ቴክኒኮችን ይጠቀማሉ፡ ጃቫስክሪፕት ኮድን በመጠቀም ተጠቃሚው የሚገኝበት የአሁኑ አድራሻ የተወሰኑ መስፈርቶችን የሚያሟላ መሆኑን ያረጋግጡ። ተንኮል አዘል ኮድ የሚፈፀመው ንዑስ ሕብረቁምፊው በአሁኑ ዩአርኤል ውስጥ ካለ ብቻ ነው። ጨርሰህ ውጣ ወይም አንድ እርምጃ ቼክ, አንድ ገጽ/, ውጪ/onepag, ተመዝግቦ መውጫ/አንድ, ckout/አንድ. ስለዚህ ተጠቃሚው ለግዢዎች ለመክፈል እና የክፍያ መረጃን በጣቢያው ላይ በሚያስገባበት ቅጽበት የስኒፈር ኮድ በትክክል ይፈጸማል።

ይህ አነፍናፊ መደበኛ ያልሆነ ዘዴ ይጠቀማል። የተጎጂው ክፍያ እና የግል መረጃ በአንድ ላይ ተሰብስበው በኮድ ተቀምጠዋል ቤዝ 64, እና ከዚያ የተገኘው ሕብረቁምፊ ጥያቄን ወደ አጥቂዎቹ ድር ጣቢያ ለመላክ እንደ መለኪያ ይጠቀማል። ብዙውን ጊዜ ወደ በሩ የሚወስደው መንገድ ለምሳሌ የጃቫስክሪፕት ፋይልን ይኮርጃል። resp.js, ዳታ.js እና የመሳሰሉት፣ ነገር ግን ወደ ምስል ፋይሎች የሚወስዱ አገናኞች እንዲሁ ጥቅም ላይ ይውላሉ፣ ኤይ и JPG. ልዩነቱ አነፍናፊው 1 በ 1 ፒክስል የሚለካ የምስል ነገር ፈጠረ እና ከዚህ ቀደም የተቀበለውን አገናኝ እንደ መለኪያ መጠቀሙ ነው። src ምስሎች. ያም ማለት ለተጠቃሚው እንዲህ ያለው ጥያቄ በትራፊክ ውስጥ እንደ ተራ ምስል ጥያቄ ይመስላል. ተመሳሳይ ዘዴ በ ImageID የአስነፍሾች ቤተሰብ ውስጥ ጥቅም ላይ ውሏል። በተጨማሪም፣ 1 በ 1 ፒክስል ምስል የመጠቀም ቴክኒክ በብዙ ህጋዊ የመስመር ላይ የትንታኔ ስክሪፕቶች ውስጥ ጥቅም ላይ ይውላል፣ ይህ ደግሞ ተጠቃሚውን ሊያሳስት ይችላል።

የስሪት ትንተና

በReactGet አነፍናፊ ኦፕሬተሮች ጥቅም ላይ የዋሉ የንቁ ጎራዎች ትንተና የዚህ አነፍናፊዎች ቤተሰብ ብዙ የተለያዩ ስሪቶችን አሳይቷል። ስሪቶች በድብቅ መገኘት እና አለመገኘት ይለያያሉ, እና በተጨማሪ, እያንዳንዱ አነጣጥሮ ተዘጋጅቷል ለተወሰነ የክፍያ ስርዓት የመስመር ላይ መደብሮች የባንክ ካርድ ክፍያዎችን ያስኬዳል. ከስሪት ቁጥሩ ጋር የሚዛመደውን የልኬት ዋጋ በመደርደር የቡድን-አይቢ ስፔሻሊስቶች ሙሉ በሙሉ የሚገኙ የአነፍናፊ ልዩነቶች ዝርዝር ተቀብለዋል እና እያንዳንዱ አነፍናፊ በገጹ ኮድ ውስጥ በሚፈልገው የቅጽ መስኮች ስም የክፍያ ስርዓቶችን ለይተዋል። አነፍናፊው ያለመ መሆኑን።

የአነፍናፊዎች ዝርዝር እና ተዛማጅ የክፍያ ስርዓቶቻቸው

Sniffer URL	የክፍያ ስርዓት
reactjsapi.com/react.js	ፈቀደው.Net
ajaxstatic.com/api.js?v=2.1.1	ካርድን አስቀምጥ
ajaxstatic.com/api.js?v=2.1.2	ፈቀደው.Net
ajaxstatic.com/api.js?v=2.1.3	ፈቀደው.Net
ajaxstatic.com/api.js?v=2.1.4	eWAY ፈጣን
ajaxstatic.com/api.js?v=2.1.5	ፈቀደው.Net
ajaxstatic.com/api.js?v=2.1.6	አድኒ
ajaxstatic.com/api.js?v=2.1.7	USAePay
ajaxstatic.com/api.js?v=2.1.9	ፈቀደው.Net
apitstatus.com/api.js?v=2.1.1	USAePay
apitstatus.com/api.js?v=2.1.2	ፈቀደው.Net
apitstatus.com/api.js?v=2.1.3	ሞኒሪስ
apitstatus.com/api.js?v=2.1.5	USAePay
apitstatus.com/api.js?v=2.1.6	PayPal
apitstatus.com/api.js?v=2.1.7	SagePay
apitstatus.com/api.js?v=2.1.8	Verisign
apitstatus.com/api.js?v=2.1.9	PayPal
apitstatus.com/api.js?v=2.3.0	ሰንበር
apitstatus.com/api.js?v=3.0.2	ሬሌክስ
apitstatus.com/api.js?v=3.0.3	PayPal
apitstatus.com/api.js?v=3.0.4	LinkPoint
apitstatus.com/api.js?v=3.0.5	PayPal
apitstatus.com/api.js?v=3.0.7	PayPal
apitstatus.com/api.js?v=3.0.8	ዳታካሽ
apitstatus.com/api.js?v=3.0.9	PayPal
Asianfoodgracer.com/footer.js	ፈቀደው.Net
billgetstatus.com/api.js?v=1.2	ፈቀደው.Net
billgetstatus.com/api.js?v=1.3	ፈቀደው.Net
billgetstatus.com/api.js?v=1.4	ፈቀደው.Net
billgetstatus.com/api.js?v=1.5	Verisign
billgetstatus.com/api.js?v=1.6	ፈቀደው.Net
billgetstatus.com/api.js?v=1.7	ሞኒሪስ
billgetstatus.com/api.js?v=1.8	SagePay
billgetstatus.com/api.js?v=2.0	USAePay
billgetstatus.com/react.js	ፈቀደው.Net
cloudodesc.com/gtm.js?v=1.2	ፈቀደው.Net
cloudodesc.com/gtm.js?v=1.3	ANZ eGate
cloudodesc.com/gtm.js?v=2.3	ፈቀደው.Net
cloudodesc.com/gtm.js?v=2.4	ሞኒሪስ
cloudodesc.com/gtm.js?v=2.6	SagePay
cloudodesc.com/gtm.js?v=2.7	SagePay
cloudodesc.com/gtm.js?v=2.8	የቼዝ Paymentech
cloudodesc.com/gtm.js?v=2.9	ፈቀደው.Net
cloudodesc.com/gtm.js?v=2.91	አድኒ
cloudodesc.com/gtm.js?v=2.92	PsiGate
cloudodesc.com/gtm.js?v=2.93	ሳይበር ምንጭ
cloudodesc.com/gtm.js?v=2.95	ANZ eGate
cloudodesc.com/gtm.js?v=2.97	ሬሌክስ
geisseie.com/gs.js	USAePay
gtmproc.com/age.js	ፈቀደው.Net
gtmproc.com/gtm.js?v=1.2	ፈቀደው.Net
gtmproc.com/gtm.js?v=1.3	ANZ eGate
gtmproc.com/gtm.js?v=1.5	PayPal
gtmproc.com/gtm.js?v=1.6	PayPal
gtmproc.com/gtm.js?v=1.7	ሬሌክስ
livecheckpay.com/api.js?v=2.0	SagePay
livecheckpay.com/api.js?v=2.1	PayPal
livecheckpay.com/api.js?v=2.2	Verisign
livecheckpay.com/api.js?v=2.3	ፈቀደው.Net
livecheckpay.com/api.js?v=2.4	Verisign
livecheckpay.com/react.js	ፈቀደው.Net
livegetpay.com/pay.js?v=2.1.2	ANZ eGate
livegetpay.com/pay.js?v=2.1.3	PayPal
livegetpay.com/pay.js?v=2.1.5	ሳይበር ምንጭ
livegetpay.com/pay.js?v=2.1.7	ፈቀደው.Net
livegetpay.com/pay.js?v=2.1.8	SagePay
livegetpay.com/pay.js?v=2.1.9	ሬሌክስ
livegetpay.com/pay.js?v=2.2.0	ሳይበር ምንጭ
livegetpay.com/pay.js?v=2.2.1	PayPal
livegetpay.com/pay.js?v=2.2.2	PayPal
livegetpay.com/pay.js?v=2.2.3	PayPal
livegetpay.com/pay.js?v=2.2.4	Verisign
livegetpay.com/pay.js?v=2.2.5	eWAY ፈጣን
livegetpay.com/pay.js?v=2.2.7	SagePay
livegetpay.com/pay.js?v=2.2.8	SagePay
livegetpay.com/pay.js?v=2.2.9	Verisign
livegetpay.com/pay.js?v=2.3.0	ፈቀደው.Net
livegetpay.com/pay.js?v=2.3.1	ፈቀደው.Net
livegetpay.com/pay.js?v=2.3.2	የመጀመሪያ ውሂብ ግሎባል ጌትዌይ
livegetpay.com/pay.js?v=2.3.3	ፈቀደው.Net
livegetpay.com/pay.js?v=2.3.4	ፈቀደው.Net
livegetpay.com/pay.js?v=2.3.5	ሞኒሪስ
livegetpay.com/pay.js?v=2.3.6	ፈቀደው.Net
livegetpay.com/pay.js?v=2.3.8	PayPal
livegetpay.com/pay.js?v=2.4.0	Verisign
maxstatics.com/site.js	USAePay
mediapack.info/track.js?d=funlove.com	USAePay
mediapack.info/track.js?d=qbedding.com	ፈቀደው.Net
mediapack.info/track.js?d=vseyewear.com	Verisign
mxcounter.com/c.js?v=1.2	PayPal
mxcounter.com/c.js?v=1.3	ፈቀደው.Net
mxcounter.com/c.js?v=1.4	ሰንበር
mxcounter.com/c.js?v=1.6	ፈቀደው.Net
mxcounter.com/c.js?v=1.7	eWAY ፈጣን
mxcounter.com/c.js?v=1.8	SagePay
mxcounter.com/c.js?v=2.0	ፈቀደው.Net
mxcounter.com/c.js?v=2.1	Braintree
mxcounter.com/c.js?v=2.10	Braintree
mxcounter.com/c.js?v=2.2	PayPal
mxcounter.com/c.js?v=2.3	SagePay
mxcounter.com/c.js?v=2.31	SagePay
mxcounter.com/c.js?v=2.32	ፈቀደው.Net
mxcounter.com/c.js?v=2.33	PayPal
mxcounter.com/c.js?v=2.34	ፈቀደው.Net
mxcounter.com/c.js?v=2.35	Verisign
mxcounter.com/click.js?v=1.2	PayPal
mxcounter.com/click.js?v=1.3	ፈቀደው.Net
mxcounter.com/click.js?v=1.4	ሰንበር
mxcounter.com/click.js?v=1.6	ፈቀደው.Net
mxcounter.com/click.js?v=1.7	eWAY ፈጣን
mxcounter.com/click.js?v=1.8	SagePay
mxcounter.com/click.js?v=2.0	ፈቀደው.Net
mxcounter.com/click.js?v=2.1	Braintree
mxcounter.com/click.js?v=2.2	PayPal
mxcounter.com/click.js?v=2.3	SagePay
mxcounter.com/click.js?v=2.31	SagePay
mxcounter.com/click.js?v=2.32	ፈቀደው.Net
mxcounter.com/click.js?v=2.33	PayPal
mxcounter.com/click.js?v=2.34	ፈቀደው.Net
mxcounter.com/click.js?v=2.35	Verisign
mxcounter.com/cnt.js	ፈቀደው.Net
mxcounter.com/j.js	ፈቀደው.Net
newrelicnet.com/api.js?v=1.2	ፈቀደው.Net
newrelicnet.com/api.js?v=1.4	ፈቀደው.Net
newrelicnet.com/api.js?v=1.8	SagePay
newrelicnet.com/api.js?v=4.5	SagePay
newrelicnet.com/api.js?v=4.6	Westpac Payway
nr-public.com/api.js?v=2.0	PayFort
nr-public.com/api.js?v=2.1	PayPal
nr-public.com/api.js?v=2.2	ፈቀደው.Net
nr-public.com/api.js?v=2.3	ሰንበር
nr-public.com/api.js?v=2.4	የመጀመሪያ ውሂብ ግሎባል ጌትዌይ
nr-public.com/api.js?v=2.5	PsiGate
nr-public.com/api.js?v=2.6	ፈቀደው.Net
nr-public.com/api.js?v=2.7	ፈቀደው.Net
nr-public.com/api.js?v=2.8	ሞኒሪስ
nr-public.com/api.js?v=2.9	ፈቀደው.Net
nr-public.com/api.js?v=3.1	SagePay
nr-public.com/api.js?v=3.2	Verisign
nr-public.com/api.js?v=3.3	ሞኒሪስ
nr-public.com/api.js?v=3.5	PayPal
nr-public.com/api.js?v=3.6	LinkPoint
nr-public.com/api.js?v=3.7	Westpac Payway
nr-public.com/api.js?v=3.8	ፈቀደው.Net
nr-public.com/api.js?v=4.0	ሞኒሪስ
nr-public.com/api.js?v=4.0.2	PayPal
nr-public.com/api.js?v=4.0.3	አድኒ
nr-public.com/api.js?v=4.0.4	PayPal
nr-public.com/api.js?v=4.0.5	ፈቀደው.Net
nr-public.com/api.js?v=4.0.6	USAePay
nr-public.com/api.js?v=4.0.7	ኢቢዝቻርጅ
nr-public.com/api.js?v=4.0.8	ፈቀደው.Net
nr-public.com/api.js?v=4.0.9	Verisign
nr-public.com/api.js?v=4.1.2	Verisign
ordercheckpays.com/api.js?v=2.11	ፈቀደው.Net
ordercheckpays.com/api.js?v=2.12	PayPal
ordercheckpays.com/api.js?v=2.13	ሞኒሪስ
ordercheckpays.com/api.js?v=2.14	ፈቀደው.Net
ordercheckpays.com/api.js?v=2.15	PayPal
ordercheckpays.com/api.js?v=2.16	PayPal
ordercheckpays.com/api.js?v=2.17	Westpac Payway
ordercheckpays.com/api.js?v=2.18	ፈቀደው.Net
ordercheckpays.com/api.js?v=2.19	ፈቀደው.Net
ordercheckpays.com/api.js?v=2.21	SagePay
ordercheckpays.com/api.js?v=2.22	Verisign
ordercheckpays.com/api.js?v=2.23	ፈቀደው.Net
ordercheckpays.com/api.js?v=2.24	PayPal
ordercheckpays.com/api.js?v=2.25	PayFort
ordercheckpays.com/api.js?v=2.29	ሳይበር ምንጭ
ordercheckpays.com/api.js?v=2.4	የ PayPal የክፍያ Pro
ordercheckpays.com/api.js?v=2.7	ፈቀደው.Net
ordercheckpays.com/api.js?v=2.8	ፈቀደው.Net
ordercheckpays.com/api.js?v=2.9	Verisign
ordercheckpays.com/api.js?v=3.1	ፈቀደው.Net
ordercheckpays.com/api.js?v=3.2	ፈቀደው.Net
ordercheckpays.com/api.js?v=3.3	SagePay
ordercheckpays.com/api.js?v=3.4	ፈቀደው.Net
ordercheckpays.com/api.js?v=3.5	ሰንበር
ordercheckpays.com/api.js?v=3.6	ፈቀደው.Net
ordercheckpays.com/api.js?v=3.7	ፈቀደው.Net
ordercheckpays.com/api.js?v=3.8	Verisign
ordercheckpays.com/api.js?v=3.9	PayPal
ordercheckpays.com/api.js?v=4.0	ፈቀደው.Net
ordercheckpays.com/api.js?v=4.1	ፈቀደው.Net
ordercheckpays.com/api.js?v=4.2	SagePay
ordercheckpays.com/api.js?v=4.3	ፈቀደው.Net
reactjsapi.com/api.js?v=0.1.0	ፈቀደው.Net
reactjsapi.com/api.js?v=0.1.1	PayPal
reactjsapi.com/api.js?v=4.1.2	ባልጩት
reactjsapi.com/api.js?v=4.1.4	PayPal
reactjsapi.com/api.js?v=4.1.5	SagePay
reactjsapi.com/api.js?v=4.1.51	Verisign
reactjsapi.com/api.js?v=4.1.6	ፈቀደው.Net
reactjsapi.com/api.js?v=4.1.7	ፈቀደው.Net
reactjsapi.com/api.js?v=4.1.8	ሰንበር
reactjsapi.com/api.js?v=4.1.9	ወፍራም የሜዳ አህያ
reactjsapi.com/api.js?v=4.2.0	SagePay
reactjsapi.com/api.js?v=4.2.1	ፈቀደው.Net
reactjsapi.com/api.js?v=4.2.2	የመጀመሪያ ውሂብ ግሎባል ጌትዌይ
reactjsapi.com/api.js?v=4.2.3	ፈቀደው.Net
reactjsapi.com/api.js?v=4.2.4	eWAY ፈጣን
reactjsapi.com/api.js?v=4.2.5	አድኒ
reactjsapi.com/api.js?v=4.2.7	PayPal
reactjsapi.com/api.js?v=4.2.8	ፈጣን መጽሐፍት የነጋዴ አገልግሎቶች
reactjsapi.com/api.js?v=4.2.9	Verisign
reactjsapi.com/api.js?v=4.2.91	SagePay
reactjsapi.com/api.js?v=4.2.92	Verisign
reactjsapi.com/api.js?v=4.2.94	ፈቀደው.Net
reactjsapi.com/api.js?v=4.3.97	ፈቀደው.Net
reactjsapi.com/api.js?v=4.5	SagePay
reactjsapi.com/react.js	ፈቀደው.Net
sydneysalonsupplies.com/gtm.js	eWAY ፈጣን
tagsmediaget.com/react.js	ፈቀደው.Net
tagstracking.com/tag.js?v=2.1.2	ANZ eGate
tagstracking.com/tag.js?v=2.1.3	PayPal
tagstracking.com/tag.js?v=2.1.5	ሳይበር ምንጭ
tagstracking.com/tag.js?v=2.1.7	ፈቀደው.Net
tagstracking.com/tag.js?v=2.1.8	SagePay
tagstracking.com/tag.js?v=2.1.9	ሬሌክስ
tagstracking.com/tag.js?v=2.2.0	ሳይበር ምንጭ
tagstracking.com/tag.js?v=2.2.1	PayPal
tagstracking.com/tag.js?v=2.2.2	PayPal
tagstracking.com/tag.js?v=2.2.3	PayPal
tagstracking.com/tag.js?v=2.2.4	Verisign
tagstracking.com/tag.js?v=2.2.5	eWAY ፈጣን
tagstracking.com/tag.js?v=2.2.7	SagePay
tagstracking.com/tag.js?v=2.2.8	SagePay
tagstracking.com/tag.js?v=2.2.9	Verisign
tagstracking.com/tag.js?v=2.3.0	ፈቀደው.Net
tagstracking.com/tag.js?v=2.3.1	ፈቀደው.Net
tagstracking.com/tag.js?v=2.3.2	የመጀመሪያ ውሂብ ግሎባል ጌትዌይ
tagstracking.com/tag.js?v=2.3.3	ፈቀደው.Net
tagstracking.com/tag.js?v=2.3.4	ፈቀደው.Net
tagstracking.com/tag.js?v=2.3.5	ሞኒሪስ
tagstracking.com/tag.js?v=2.3.6	ፈቀደው.Net
tagstracking.com/tag.js?v=2.3.8	PayPal

የይለፍ ቃል አነፍናፊ

የጃቫ ስክሪፕት አነፍናፊዎች በድረ-ገጹ ደንበኛ ላይ የሚሰሩ ካሉት ጥቅሞች አንዱ ሁለገብነት ነው፡ በድረ-ገጽ ላይ የተከተተ ተንኮል አዘል ኮድ ማንኛውንም አይነት ዳታ ማለትም የክፍያ ዳታ ወይም የተጠቃሚ መለያ መግቢያ እና የይለፍ ቃል ሊሰርቅ ይችላል። የቡድን-IB ስፔሻሊስቶች የኢሜል አድራሻዎችን እና የጣቢያ ተጠቃሚዎችን የይለፍ ቃሎች ለመስረቅ የተነደፈውን የReactGet ቤተሰብ የሆነ አነፍናፊ ናሙና አግኝተዋል።

ከImageID አነፍናፊ ጋር መገናኛ

በበሽታው ከተያዙት መደብሮች ውስጥ በአንዱ ላይ በሚመረመርበት ጊዜ ጣቢያው ሁለት ጊዜ ተበክሎ ተገኝቷል-ከ ReactGet ቤተሰብ አነፍናፊ ጎጂ ኮድ በተጨማሪ የ ImageID ቤተሰብ አነፍናፊ ኮድ ተገኝቷል። ይህ መደራረብ ከሁለቱም አነፍናፊዎች ጀርባ ያሉት ኦፕሬተሮች ተንኮል አዘል ኮድ ለማስገባት ተመሳሳይ ዘዴዎችን እንደሚጠቀሙ የሚያሳይ ማስረጃ ሊሆን ይችላል።

ሁለንተናዊ አነፍናፊ

ከReactGet sniffer መሠረተ ልማት ጋር ከተያያዙት የጎራ ስሞች ውስጥ በአንዱ ላይ የተደረገው ትንታኔ ያው ተጠቃሚ ሦስት ሌሎች የጎራ ስሞችን መመዝገቡን ያሳያል። እነዚህ ሶስት ጎራዎች የእውነተኛ ህይወት ድረ-ገጾችን ጎራዎችን አስመስለዋል እና ቀደም ሲል አነፍናፊዎችን ለማስተናገድ ያገለግሉ ነበር። የሶስት ህጋዊ ድረ-ገጾች ኮድ ሲተነተን ያልታወቀ አነፍናፊ ተገኘ እና ተጨማሪ ትንታኔ እንደሚያሳየው የ ReactGet አነፍናፊ የተሻሻለ ስሪት ነው። ሁሉም ከዚህ ቀደም ክትትል የሚደረግባቸው የዚህ አነፍናፊዎች ቤተሰብ ስሪቶች በአንድ የክፍያ ሥርዓት ላይ ያነጣጠሩ ነበሩ፣ ያም ማለት እያንዳንዱ የክፍያ ሥርዓት የአነፍናፊውን ልዩ ስሪት ይፈልጋል። ነገር ግን በዚህ አጋጣሚ በመስመር ላይ ክፍያዎችን ለመፈጸም ከ 15 የተለያዩ የክፍያ ስርዓቶች እና የኢ-ኮሜርስ ጣቢያዎች ሞጁሎች ጋር በተያያዙ ቅጾች መረጃን ለመስረቅ የሚያስችል ሁለንተናዊ የአስነፍሽ ስሪት ተገኝቷል።

ስለዚህ, በስራው መጀመሪያ ላይ, አነፍናፊው የተጎጂውን የግል መረጃ የያዘ መሰረታዊ የቅጽ መስኮችን ፈለገ-ሙሉ ስም, አካላዊ አድራሻ, ስልክ ቁጥር.

አነፍናፊው ከተለያዩ የክፍያ ሥርዓቶች እና የመስመር ላይ ክፍያ ሞጁሎች ጋር የሚዛመዱ ከ15 በላይ የተለያዩ ቅድመ ቅጥያዎችን ፈልጎ ነበር።

በመቀጠል የተጎጂው ግላዊ መረጃ እና የክፍያ መረጃ በአንድ ላይ ተሰብስበው በአጥቂው ቁጥጥር ስር ወዳለው ጣቢያ ተልከዋል፡ በዚህ ጉዳይ ላይ፣ በሁለት የተለያዩ የተጠለፉ ጣቢያዎች ላይ የሚገኙት ሁለንተናዊ ReactGet አነፍናፊ ሁለት ስሪቶች ተገኝተዋል። ሆኖም ሁለቱም ስሪቶች የተሰረቀ ውሂብ ወደተጠለፈበት ጣቢያ ልከዋል። zoobashop.com.

አነፍናፊው የተጎጂውን የክፍያ መረጃ የያዙ መስኮችን ለመፈለግ የተጠቀመባቸው ቅድመ ቅጥያዎች ትንተና ይህ የአስነፍናፊ ናሙና በሚከተሉት የክፍያ ሥርዓቶች ላይ ያነጣጠረ መሆኑን ለማወቅ አስችሎናል።

ፈቀደው.Net
Verisign
የመጀመሪያ ውሂብ
USAePay
ሰንበር
PayPal
ANZ eGate
Braintree
ዳታካሽ (ማስተር ካርድ)
የሪልክስ ክፍያዎች
PsiGate
Heartland የክፍያ ሥርዓቶች

የክፍያ መረጃን ለመስረቅ ምን ዓይነት መሳሪያዎች ጥቅም ላይ ይውላሉ?

በአጥቂዎች መሠረተ ልማት ትንተና ወቅት የተገኘው የመጀመሪያው መሣሪያ የባንክ ካርዶችን ለመስረቅ ተጠያቂ የሆኑትን ተንኮል አዘል ስክሪፕቶች ለመደበቅ ይጠቅማል። የፕሮጀክቱን CLI በመጠቀም የባሽ ስክሪፕት በአጥቂው አስተናጋጅ ላይ ተገኝቷል ጃቫስክሪፕት-obfuscator የአነፍናፊ ኮድ መደበቅን በራስ ሰር ለማድረግ።

ሁለተኛው የተገኘ መሣሪያ ዋናውን አነፍናፊ ለመጫን ኃላፊነት ያለው ኮድ ለመፍጠር የተነደፈ ነው። ይህ መሳሪያ ተጠቃሚው የአሁኑን አድራሻ ለሕብረቁምፊዎች በመፈለግ ተጠቃሚው በክፍያ ገጹ ላይ መሆኑን ወይም አለመሆኑን የሚያረጋግጥ የጃቫ ስክሪፕት ኮድ ያመነጫል። ጨርሰህ ውጣ, ጋሪ እና ወዘተ, እና ውጤቱ አዎንታዊ ከሆነ, ከዚያም ኮዱ ከአጥቂዎቹ አገልጋይ ዋናውን አነፍናፊ ይጭናል. ተንኮል አዘል ድርጊቶችን ለመደበቅ የክፍያ ገጹን ለመወሰን የሙከራ መስመሮችን ጨምሮ ሁሉም መስመሮች እንዲሁም ወደ አነፍናፊው አገናኝ ፣ ቤዝ 64.

የማስገር ጥቃቶች

የአጥቂዎቹ የኔትወርክ መሠረተ ልማት ላይ የተደረገ አንድ ትንታኔ እንደሚያሳየው የወንጀል ቡድኑ ብዙውን ጊዜ ወደ ዒላማው የመስመር ላይ መደብር የአስተዳደር ፓነል ለመድረስ ፊሺንግ ይጠቀማል። አጥቂዎቹ ከመደብሩ ጎራ ጋር በእይታ የሚመሳሰል ጎራ ይመዘግባሉ እና ከዚያም የውሸት የአስተዳደር ፓነል የመግቢያ ቅጽ በላዩ ላይ ያሰማራሉ። Magentoከተሳካ፣ አጥቂዎቹ ወደ CMS አስተዳዳሪ ፓነል መዳረሻ ያገኛሉ። Magento, ይህም የድር ጣቢያ ክፍሎችን የማረም እና የክሬዲት ካርድ ውሂብን ለመስረቅ ስኒፈርን የመተግበር ችሎታ ይሰጣቸዋል።

መሰረተ ልማት

Домен	የተገኘበት/የታየበት ቀን
mediapack.info	04.05.2017
adsgetapi.com	15.06.2017
simcounter.com	14.08.2017
mageanalytics.com	22.12.2017
maxstatics.com	16.01.2018
reactjsapi.com	19.01.2018
mxcounter.com	02.02.2018
apitstatus.com	01.03.2018
orderracker.com	20.04.2018
tagstracking.com	25.06.2018
adsapigate.com	12.07.2018
trust-tracker.com	15.07.2018
fbstatspartner.com	02.10.2018
billgetstatus.com	12.10.2018
www.aldenmilhouse.com	20.10.2018
balletbeautlful.com	20.10.2018
bargalnjunkie.com	20.10.2018
payselector.com	21.10.2018
tagsmediaget.com	02.11.2018
hs-payments.com	16.11.2018
ordercheckpays.com	19.11.2018
geisseie.com	24.11.2018
gtmproc.com	29.11.2018
livegetpay.com	18.12.2018
sydneysalonsupplies.com	18.12.2018
newrelicnet.com	19.12.2018
nr-public.com	03.01.2019
cloudodesc.com	04.01.2019
ajaxstatic.com	11.01.2019
livecheckpay.com	21.01.2019
Asianfoodgracer.com	25.01.2019

G-Analytics ቤተሰብ

ይህ የአነፍናፊዎች ቤተሰብ የደንበኛ ካርዶችን ከመስመር ላይ መደብሮች ለመስረቅ ይጠቅማል። በቡድኑ ጥቅም ላይ የዋለው የመጀመሪያው የጎራ ስም በኤፕሪል 2016 ተመዝግቧል፣ ይህም ቡድኑ በ2016 አጋማሽ ላይ እንቅስቃሴ መጀመሩን ሊያመለክት ይችላል።

በአሁኑ ዘመቻ፣ ቡድኑ እንደ ጉግል አናሌቲክስ እና jQuery ያሉ እውነተኛ አገልግሎቶችን የሚመስሉ የጎራ ስሞችን ይጠቀማል፣ የsniffer እንቅስቃሴን በሕጋዊ ስክሪፕቶች እና ህጋዊ ስሞችን በሚመስሉ የጎራ ስሞች ይሸፍናል። የይዘት አስተዳደር ስርዓት (CMS) የሚያሄዱ ድር ጣቢያዎች ኢላማ ሆነዋል። Magento.

G-Analytics በመስመር ላይ መደብር ኮድ ውስጥ እንዴት እንደሚተገበር

የዚህ ቤተሰብ ልዩ ባህሪ የተጠቃሚ ክፍያ መረጃን ለመስረቅ የተለያዩ ዘዴዎችን መጠቀም ነው። የጃቫ ስክሪፕት ኮድ ከሚታወቀው የገጹ የደንበኛ ክፍል በተጨማሪ የወንጀል ቡድኑ የገጹን አገልጋይ ክፍል ኮድ ማስገቢያ ቴክኒኮችን ማለትም በተጠቃሚ የገባ ውሂብን የሚያስኬዱ ፒኤችፒ ስክሪፕቶችን ተጠቅሟል። ይህ ዘዴ አደገኛ ነው, ምክንያቱም የሶስተኛ ወገን ተመራማሪዎች ተንኮል አዘል ኮድን ለመለየት አስቸጋሪ ያደርገዋል. የቡድን-IB ስፔሻሊስቶች ጎራ እንደ ደጃፍ በመጠቀም በጣቢያው ፒኤችፒ ኮድ ውስጥ የተካተተ የአነፍናፊ ስሪት አግኝተዋል dittm.org.

ተመሳሳዩን ጎራ የሚጠቀም የተሰረቀ መረጃን የሚሰበስብ አነፍናፊ ቀደምት ስሪትም ተገኝቷል dittm.org, ነገር ግን ይህ ስሪት በመስመር ላይ መደብር ደንበኛ ጎን ላይ ለመጫን የታሰበ ነው.

ቡድኑ ከጊዜ በኋላ ስልቱን ቀይሮ ተንኮል-አዘል ድርጊቶችን በመደበቅ እና በመደበቅ ላይ የበለጠ ትኩረት ማድረግ ጀመረ።

በ 2017 መጀመሪያ ላይ ቡድኑ ጎራውን መጠቀም ጀመረ jquery-js.comለ jQuery እንደ CDN ማስመሰል፡ ወደ አጥቂዎች ቦታ ሲሄዱ ተጠቃሚው ወደ ህጋዊ ጣቢያ ይዘዋወራል jquery.com.

እና በ 2018 አጋማሽ ላይ, ቡድኑ የጎራውን ስም ተቀብሏል g-analytics.com እና የአነፍናፊውን እንቅስቃሴ እንደ ህጋዊ የጉግል አናሌቲክስ አገልግሎት መደበቅ ጀመረ።

የስሪት ትንተና

የአነፍናፊ ኮድን ለማከማቸት የሚያገለግሉትን ጎራዎች በሚተነተንበት ጊዜ ጣቢያው ብዙ ቁጥር ያላቸው ስሪቶችን እንደያዘ ተደርሶበታል ይህም በድብቅ ፊት ይለያያል እንዲሁም ትኩረትን ለማዘናጋት በፋይሉ ውስጥ የማይደረስ ኮድ መኖር እና አለመኖር እና ተንኮል አዘል ኮድ ደብቅ.

ድምር በጣቢያው ላይ jquery-js.com ስድስት የስኒፍስ ስሪቶች ተለይተዋል. እነዚህ አነፍናፊዎች የተሰረቀውን መረጃ አነፍናፊው ራሱ ባለበት ድረ-ገጽ ላይ ወዳለው አድራሻ ይልካሉ፡- hxxps://jquery-js[.]com/latest/jquery.min.js:

hxxps://jquery-js[.]com/jquery.min.js
hxxps://jquery-js[.]com/jquery.2.2.4.min.js
hxxps://jquery-js[.]com/jquery.1.8.3.min.js
hxxps://jquery-js[.]com/jquery.1.6.4.min.js
hxxps://jquery-js[.]com/jquery.1.4.4.min.js
hxxps://jquery-js[.]com/jquery.1.12.4.min.js

በኋላ ጎራ g-analytics.com, ቡድኑ ከ 2018 አጋማሽ ጀምሮ በጥቃቶች ውስጥ ጥቅም ላይ የዋለ, ለተጨማሪ አነፍናፊዎች ማከማቻ ሆኖ ያገለግላል. በጠቅላላው 16 የተለያዩ የአስነጣቂው ስሪቶች ተገኝተዋል። በዚህ አጋጣሚ፣ የተሰረቀ ውሂብን የሚላክበት በር ወደ ምስል ቅርጸት ማገናኛ ተመሰለ ኤይ: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:

hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
hxxps://g-analytics[.]com/libs/analytics.js

የተሰረቀ ውሂብ ገቢ መፍጠር

የወንጀል ቡድኑ የተሰረቀውን መረጃ ገቢ የሚፈጥረው ካርዶችን በመሸጥ ልዩ በሆነው የመሬት ውስጥ መደብር ለካርድ ሰጪዎች አገልግሎት ይሰጣል። አጥቂዎቹ የተጠቀሙባቸው ጎራዎች ትንተና ያንን ለመወሰን አስችሎናል። google-analytics.cm እንደ ጎራው በተመሳሳይ ተጠቃሚ ተመዝግቧል cardz.vc. ጎራ cardz.vc በድብቅ የንግድ መድረክ AlphaBay እንቅስቃሴ በነበረበት ዘመን ተወዳጅነትን ያተረፈውን የተሰረቁ የባንክ ካርዶች ካርሰርፍስ (Flysurfs) የሚሸጥ ሱቅን ያመለክታል።

ጎራውን በመተንተን ላይ ትንተናዊ.ነው, በአነፍናፊዎች የተሰረቀ መረጃ ለመሰብሰብ ከሚጠቀሙባቸው ጎራዎች ጋር በተመሳሳይ አገልጋይ ላይ የሚገኝ ፣ የቡድን-IB ስፔሻሊስቶች የኩኪ መዝገቦችን የያዘ ፋይል አግኝተዋል ፣ ይህም በኋላ በገንቢው የተተወ ይመስላል። በምዝግብ ማስታወሻው ውስጥ ካሉት ግቤቶች አንዱ ጎራ ይዟል iozoz.com, ቀደም ሲል በ 2016 ውስጥ ንቁ ከሆኑት አነፍናፊዎች ውስጥ በአንዱ ጥቅም ላይ ውሏል. ምናልባትም ይህ ጎራ ከዚህ ቀደም በአጥቂ ተጠቅሞ የተሰረቁ ካርዶችን አነፍናፊ ተጠቅሞበታል። ይህ ጎራ በኢሜል አድራሻ ተመዝግቧል kts241@gmail.com, እሱም ደግሞ ጎራዎችን ለመመዝገብ ያገለግል ነበር cardz.su и cardz.vc, ከካርዲንግ መደብር Cardsurfs ጋር የተያያዘ.

በተገኘው መረጃ መሰረት የ G-Analytics ቤተሰብ የአነፍናፊዎች እና የመሬት ውስጥ ሱቅ የባንክ ካርዶች ካርድሰርፍ የሚሸጡት በተመሳሳይ ሰዎች የሚተዳደር ሲሆን መደብሩ አነፍናፊውን ተጠቅሞ የተሰረቁ የባንክ ካርዶችን ለመሸጥ ይጠቅማል ተብሎ መገመት ይቻላል።

መሰረተ ልማት

Домен	የተገኘበት/የታየበት ቀን
iozoz.com	08.04.2016
dittm.org	10.09.2016
jquery-js.com	02.01.2017
g-analytics.com	31.05.2018
google-analytics.is	21.11.2018
ትንተናዊ.ወደ	04.12.2018
google-analytics.to	06.12.2018
google-analytics.cm	28.12.2018
ትንተናዊ.ነው	28.12.2018
googlc-analytics.ሴሜ	17.01.2019

የኢሉም ቤተሰብ

ኢሉም የሲኤምኤስ (CMS) የሚያስተዳድሩ የመስመር ላይ መደብሮችን ለማጥቃት የሚያገለግሉ የአናፊዎች ቤተሰብ ነው። Magentoየዚህ ስኒፈር ኦፕሬተሮች ተንኮል አዘል ኮድ ከመስጠት በተጨማሪ መረጃ ወደ አጥቂዎች ቁጥጥር ወደሚደረግባቸው መግቢያዎች የሚልኩ ሙሉ በሙሉ የተጭበረበሩ የውሸት የክፍያ ቅጾችን ያሰማራሉ።

የዚህ አነፍናፊ ኦፕሬተሮች ጥቅም ላይ የዋለውን የአውታረ መረብ መሠረተ ልማት ሲተነተን ብዙ ቁጥር ያላቸው ተንኮል አዘል ስክሪፕቶች፣ ብዝበዛዎች፣ የውሸት የክፍያ ቅጾች፣ እንዲሁም ከተወዳዳሪዎቹ ተንኮል አዘል አነፍናፊዎች ጋር የምሳሌዎች ስብስብ ተስተውሏል። በቡድኑ ጥቅም ላይ የዋሉት የጎራ ስሞች የሚታዩበትን ቀናት በተመለከተ መረጃ ላይ በመመስረት, ዘመቻው በ 2016 መገባደጃ ላይ እንደጀመረ መገመት ይቻላል.

Illum እንዴት በመስመር ላይ መደብር ኮድ ውስጥ እንደሚተገበር

የተገኙት የመጀመሪያዎቹ የአስነፍናፊው ስሪቶች በቀጥታ በተበላሸው ጣቢያ ኮድ ውስጥ ገብተዋል። የተሰረቀው መረጃ ተልኳል። cdn.illum[.]pw/records.php, በሩ ተጠቅሞ ነበር በኮድ ቤዝ 64.

በኋላ፣ የተለየ በር የሚጠቀም የታሸገ የአነፍናፊው ስሪት ተገኘ - records.nstatistics[.]com/records.php.

እንደ ሪፖርት ቪለም ደ ግሩት, ተመሳሳይ አስተናጋጅ በአነፍናፊው ውስጥ ጥቅም ላይ ውሏል, እሱም በተተገበረው የማከማቻ ድር ጣቢያንብረትነቱ በጀርመን CSU የፖለቲካ ፓርቲ ነው።

የአጥቂዎቹ ድረ-ገጽ ትንተና

የቡድን-IB ስፔሻሊስቶች በዚህ የወንጀል ቡድን መሳሪያዎችን ለማከማቸት እና የተሰረቁ መረጃዎችን ለመሰብሰብ የሚጠቀምበትን ድረ-ገጽ አግኝተዋል እና ተንትነዋል።

በአጥቂዎች አገልጋይ ላይ ከተገኙት መሳሪያዎች መካከል በስርዓተ ክወናው ውስጥ ከፍ ያሉ መብቶችን ለማግኘት የሚያስችሉ ስክሪፕቶች እና ብዝበዛዎች ይገኙበታል። Linux: ለምሳሌ፣ Linux በማይክ ዙማክ የተዘጋጀው የፕሪቪልጅ ኤስካሌሽን ቼክ ስክሪፕት፣ እንዲሁም ለCVE-2009-1185 ጥቅም ላይ የዋለ።

አጥቂዎቹ የመስመር ላይ መደብሮችን ለማጥቃት በቀጥታ ሁለት ብዝበዛዎችን ተጠቅመዋል፡- первый ተንኮል አዘል ኮድ ወደ ውስጥ ማስገባት የሚችል የኮር_ውቅር_ውሂብ CVE-2016-4010ን በመጠቀም፣ ሁለተኛው በሲኤምኤስ ተሰኪዎች ውስጥ የRCE ተጋላጭነትን ይጠቀማል Magento, የዘፈቀደ ኮድ ተጋላጭ በሆነ የድር አገልጋይ ላይ እንዲተገበር ያስችላል።

እንዲሁም በአገልጋዩ ትንተና ወቅት በአጥቂዎች ከተጠለፉ ጣቢያዎች የክፍያ መረጃዎችን ለመሰብሰብ የሚጠቀሙባቸው የተለያዩ የአስኳሾች ናሙናዎች እና የውሸት የክፍያ ቅጾች ተገኝተዋል። ከታች ካለው ዝርዝር እንደሚታየው፣ ለእያንዳንዱ ለተጠለፈ ጣቢያ አንዳንድ ስክሪፕቶች ለየብቻ ተፈጥረዋል፣ ሁለንተናዊ መፍትሄ ግን ለተወሰኑ ሲኤምኤስ እና የክፍያ መግቢያዎች ጥቅም ላይ ውሏል። ለምሳሌ, ስክሪፕቶች segapay_standart.js и segapay_በገጽ.js የ Sage Pay ክፍያ መግቢያን በመጠቀም በጣቢያዎች ላይ ለመተግበር የተነደፈ።

ለተለያዩ የክፍያ መግቢያዎች የስክሪፕቶች ዝርዝር

ስክሪፕት	የክፍያ መግቢያ
sr.illum[.] pw/mjs_special/visiondirect.co.uk.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.] pw/mjs_special/topdierenshop.nl.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.] pw/mjs_special/tiendalenovo.es.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.] pw/mjs_special/pro-bolt.com.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.] pw/mjs_special/plae.co.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.] pw/mjs_special/ottolenghi.co.uk.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.] pw/mjs_special/oldtimecandy.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.] pw/mjs_special/mylook.ee.js	//cdn.illum[.]pw/records.php
sr.illum[.] pw/mjs_special/luluandsky.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.] pw/mjs_special/julep.com.js	//cdn.illum[.]pw/records.php
sr.illum[.] pw/mjs_special/gymcompany.es.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.] pw/mjs_special/grotekadoshop.nl.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.] pw/mjs_special/fushi.co.uk.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.] pw/mjs_special/faraastflora.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.] pw/mjs_special/compuindia.com.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.] pw/mjs/segapay_standart.js	//cdn.illum[.]pw/records.php
sr.illum[.] pw/mjs/segapay_በገጽ.js	//cdn.illum[.]pw/records.php
sr.illum[.] pw/mjs/standart.js_ተካ	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.] pw/mjs/ሁሉም_ግቤቶች.js	//cdn.illum[.]pw/records.php
sr.illum[.] pw/mjs/አክል_ግቤቶች_standart.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.] pw/magento/payment_standart.js	//cdn.illum[.]pw/records.php
sr.illum[.] pw/magento/payment_redirect.js	//አሁን ክፍያ[.]cf/?ክፍያ=
sr.illum[.] pw/magento/payment_redcrypt.js	//አሁን ክፍያ[.]cf/?ክፍያ=
sr.illum[.] pw/magento/payment_forminsite.js	//paymentnow[.]tk/?ክፍያ=

አስተናጋጅ ክፍያ አሁን[.] tk፣ በስክሪፕት ውስጥ እንደ በር ሆኖ ያገለግላል ክፍያ_forminsite.js፣ ሆኖ ተገኝቷል ርዕሰ ጉዳይAlt ስም ከCloudFlare አገልግሎት ጋር በተያያዙ በርካታ የምስክር ወረቀቶች ውስጥ። በተጨማሪም, አስተናጋጁ ስክሪፕት ይዟል ክፉ.jsበስክሪፕት ስም ስንገመግም፣ እንደ CVE-2016-4010 ተንኮል አዘል ኮድ ሲኤምኤስን በሚያሄድ ድር ጣቢያ ግርጌ ላይ እንዲገባ የሚያስችል አካል ሆኖ ሊያገለግል ይችል ነበር። Magentoይህ ስክሪፕት አስተናጋጁን እንደ በር ተጠቅሞበታል። ጥያቄ.requestnet[.] tkእንደ አስተናጋጁ ተመሳሳይ የምስክር ወረቀት በመጠቀም ክፍያ አሁን[.] tk.

የውሸት የክፍያ ቅጾች

ከታች ያለው ምስል የካርድ መረጃን ለማስገባት ቅጽ ምሳሌ ያሳያል. ይህ ቅጽ የመስመር ላይ መደብርን ሰርጎ ለመግባት እና የካርድ ውሂብ ለመስረቅ ጥቅም ላይ ውሏል።

የሚከተለው ምስል አጥቂዎች በዚህ የመክፈያ ዘዴ ወደ ድረ-ገጾች ሰርጎ ለመግባት የተጠቀሙበትን የውሸት የፔይፓል ክፍያ ቅጽ ምሳሌ ያሳያል።

መሰረተ ልማት

Домен	የተገኘበት/የታየበት ቀን
cdn.illum.pw	27/11/2016
records.nstatistics.com	06/09/2018
ጥያቄ.አሁን ክፍያ.cf	25/05/2018
ክፍያ አሁን.tk	16/07/2017
ክፍያ-line.tk	01/03/2018
Paypal.cf	04/09/2017
requestnet.tk	28/06/2017

CoffeeMokko ቤተሰብ

የኮፌሞኮ ቤተሰብ፣ የባንክ ካርዶችን ከኦንላይን መደብር ተጠቃሚዎች ለመስረቅ የተነደፈው፣ ቢያንስ ከግንቦት 2017 ጀምሮ አገልግሎት ላይ ውሏል። የዚህ ቤተሰብ አንቀሳቃሾች ቡድን ቡድን 1 የወንጀል ቡድን እንደሆነ ይታመናል፣ በ2016 በRiskIQ ባለሙያዎች ተገልጿል። እንደ CMS ያሉ ድረ-ገጾችን የሚያስተዳድሩ ድረ-ገጾች Magento, OpenCart, WordPress, osCommerce, Shopify.

CoffeMokko በመስመር ላይ መደብር ኮድ ውስጥ እንዴት እንደሚተገበር

የዚህ ቤተሰብ ኦፕሬተሮች ለእያንዳንዱ ኢንፌክሽን ልዩ አነቃቂዎችን ይፈጥራሉ-የማስነሻ ፋይሉ በማውጫው ውስጥ ይገኛል src ወይም js በአጥቂዎች አገልጋይ ላይ. የጣቢያው ኮድ ውስጥ ማስገባት ወደ sniffer ቀጥተኛ አገናኝ በኩል ይካሄዳል.

የአነፍናፊው ኮድ መረጃ መሰረቅ ያለበት የቅጽ መስኮችን ስም ይይዛል። አነፍናፊው በተጨማሪም ተጠቃሚው በክፍያ ገጹ ላይ መሆኑን ወይም አለመሆኑን የሚያጣራው የቁልፍ ቃላት ዝርዝር በተጠቃሚው አድራሻ ነው።

አንዳንድ የተገኙት የስኒፈር ስሪቶች ተደብቀዋል እና ዋናው የሀብት ድርድር የተከማቸበት ኢንክሪፕትድ የተደረገ ሕብረቁምፊ ይዟል፡ ለተለያዩ የክፍያ ሥርዓቶች የቅጽ መስኮች ስም፣ እንዲሁም የተሰረቀው መረጃ የሚላክበት የበር አድራሻ ይዟል።

የተሰረቀው የክፍያ መረጃ በመንገድ ላይ በአጥቂዎች አገልጋይ ላይ ወዳለው ስክሪፕት ተልኳል። /savePayment/index.php ወይም /tr/index.php. የሚገመተው፣ ይህ ስክሪፕት ከበሩ ወደ ዋናው አገልጋይ ለመላክ ይጠቅማል፣ ይህም ከሁሉም አነፍናፊዎች የተገኘውን መረጃ ያጠናክራል። የተላለፈውን መረጃ ለመደበቅ የተጎጂው የክፍያ መረጃ በሙሉ በመጠቀም የተመሰጠረ ነው። ቤዝ 64እና ከዚያ በርካታ የቁምፊዎች ምትክ ይከሰታሉ፡

የ "e" ቁምፊ በ ":" ተተካ.
የ"w" ምልክት በ"+" ተተካ
የ"o" ቁምፊ በ "%" ተተካ
የ "d" ቁምፊ በ "#" ተተክቷል.
"ሀ" የሚለው ቁምፊ በ "-" ተተክቷል.
"7" የሚለው ምልክት በ "^" ተተክቷል.
የ"h" ቁምፊ በ "_" ተተካ
የ"ቲ" ምልክት በ "@" ተተካ
የ "0" ቁምፊ በ "/" ተተክቷል.
የ"Y" ቁምፊ በ"*" ተተካ

በመጠቀም የተመሰጠሩ የቁምፊ መተኪያዎች ውጤት ቤዝ 64 የተገላቢጦሽ ልወጣን ሳያደርጉ ውሂቡ ዲኮድ ማድረግ አይቻልም።

ያልተደበደበ የስኒፈር ኮድ ቁርጥራጭ ይህን ይመስላል።

የመሠረተ ልማት ትንተና

ቀደም ባሉት ዘመቻዎች፣ አጥቂዎች ከህጋዊ የመስመር ላይ ግብይት ጣቢያዎች ጋር ተመሳሳይ የሆኑ የጎራ ስሞችን አስመዝግበዋል። የእነሱ ጎራ ከህጋዊው አንድ በአንድ ምልክት ወይም በሌላ TLD ሊለያይ ይችላል። የተመዘገቡ ጎራዎች የአነፍናፊ ኮድ ለማከማቸት ጥቅም ላይ ውለው ነበር፣ አገናኙ በማከማቻ ኮድ ውስጥ የተካተተ።

ይህ ቡድን ታዋቂ የ jQuery ፕለጊኖችን የሚያስታውሱ የጎራ ስሞችንም ተጠቅሟል።slickjs[.]org ተሰኪውን ለሚጠቀሙ ጣቢያዎች slick.js) ፣ የክፍያ መንገዶች (sagecdn[.]org የ Sage Pay ክፍያ ስርዓትን ለሚጠቀሙ ጣቢያዎች).

በኋላ፣ ቡድኑ ስማቸው ከመደብሩ ጎራ ወይም ከመደብሩ ጭብጥ ጋር ምንም ግንኙነት የሌላቸውን ጎራዎች መፍጠር ጀመረ።

እያንዳንዱ ጎራ ማውጫው ከተፈጠረበት ጣቢያ ጋር ይዛመዳል /js ወይም / src. የስኒፈር ስክሪፕቶች በዚህ ማውጫ ውስጥ ተከማችተዋል፡ ለእያንዳንዱ አዲስ ኢንፌክሽን አንድ አነፍናፊ። አነፍናፊው በድረ-ገጹ ኮድ ውስጥ በቀጥታ ሊንክ ተጭኖ ነበር፣ ነገር ግን አልፎ አልፎ፣ አጥቂዎች ከድረ-ገጹ ፋይሎች ውስጥ አንዱን አሻሽለው ተንኮል አዘል ኮድ ጨመሩበት።

ኮድ ትንተና

የመጀመሪያው የመደበቅ አልጎሪዝም

በአንዳንድ የተገኙ የዚህ ቤተሰብ አነፍናፊዎች ናሙናዎች ኮዱ ተደብቆ ነበር እና ለአስነጣሪው እንዲሰራ አስፈላጊ የሆነውን ኢንክሪፕትድ የተደረጉ መረጃዎችን ይዟል፡ በተለይ የአስነፍጋፊ በር አድራሻ፣ የክፍያ ቅጽ መስኮች ዝርዝር እና በአንዳንድ ሁኔታዎች የሐሰት ኮድ የክፍያ ቅጽ. በተግባሩ ውስጥ ባለው ኮድ ውስጥ ሀብቶቹ በመጠቀም ተመስጥረዋል። XOR ለተመሳሳይ ተግባር እንደ ክርክር በተላለፈው ቁልፍ.

ለእያንዳንዱ ናሙና ልዩ በሆነው ገመዱን አግባብ ባለው ቁልፍ ዲክሪፕት በማድረግ ሁሉንም ሕብረቁምፊዎች የያዘውን ከስኒፈር ኮድ በመለያ ቁምፊ መለየት ይችላሉ።

ሁለተኛ የመደበቅ ስልተ ቀመር

በኋለኞቹ የዚህ ቤተሰብ አነቃቂዎች ናሙናዎች ውስጥ ፣ የተለየ የመደበቂያ ዘዴ ጥቅም ላይ ውሏል-በዚህ ሁኔታ ፣ ውሂቡ በራስ-የተጻፈ ስልተ-ቀመር ተጠቅሟል። አነፍናፊው እንዲሰራ አስፈላጊው ኢንክሪፕትድ የተደረገ ውሂብ የያዘ ሕብረቁምፊ ለዲክሪፕት ተግባሩ እንደ ሙግት ተላልፏል።

የአሳሹን ኮንሶል በመጠቀም ኢንክሪፕት የተደረገውን ውሂብ መፍታት እና የአነፍናፊ መርጃዎችን የያዘ ድርድር ማግኘት ይችላሉ።

ከቀደምት MageCart ጥቃቶች ጋር ግንኙነት

ቡድኑ የተሰረቀ መረጃ ለመሰብሰብ እንደ መግቢያ በር ከሚጠቀምባቸው ጎራዎች መካከል በአንዱ ላይ ሲተነተን፣ ይህ ጎራ ከመጀመሪያዎቹ ቡድኖች አንዱ የሆነው ቡድን 1 ከሚጠቀምበት ጋር ተመሳሳይ የሆነ የብድር ካርድ መስረቅ መሠረተ ልማት እንዳስተናገደ ተደርሶበታል። ተገኘ በ RiskIQ ስፔሻሊስቶች.

በCoffeMokko የአነፍናፊዎች ቤተሰብ አስተናጋጅ ላይ ሁለት ፋይሎች ተገኝተዋል፡-

mage.js - የቡድን 1 አነፍናፊ ኮድ ከበር አድራሻ ጋር የያዘ ፋይል js-cdn.link
mag.php - በአነፍናፊው የተሰረቀ መረጃን የመሰብሰብ ሃላፊነት ያለው ፒኤችፒ ስክሪፕት

የ mage.js ፋይል ይዘቶች
እንዲሁም ከCoffeMokko ቤተሰብ ጀርባ ያለው ቡድን የሚጠቀምባቸው የመጀመሪያዎቹ ጎራዎች በሜይ 17፣ 2017 እንደተመዘገቡ ተወስኗል።

link-js[.] አገናኝ
መረጃ-js[.] አገናኝ
track-js[.] አገናኝ
map-js[.] አገናኝ
smart-js[.] አገናኝ

የእነዚህ የጎራ ስሞች ቅርጸት በ 1 ጥቃቶች ውስጥ ጥቅም ላይ ከዋሉት የቡድን 2016 የጎራ ስሞች ጋር ይዛመዳል።

ከተገኙት እውነታዎች በመነሳት በCoffeMokko sniffers ኦፕሬተሮች እና በወንጀል ቡድን 1 መካከል ግንኙነት እንዳለ መገመት ይቻላል። የኮፍ ሞክኮ ኦፕሬተሮች ካርዶችን ለመስረቅ ከቀደምቶቻቸው መሣሪያዎችን እና ሶፍትዌሮችን መበደር እንደሚችሉ መገመት ይቻላል። ሆኖም የኮፌሞኮ ቤተሰብ አሽማሽ ቡድን ጥቃት ያደረሱት ወንጀለኞች ቡድን 1 ጥቃቱን የፈፀሙት እነዚሁ ሰዎች የመሆኑ እድላቸው ሰፊ ነው ።የወንጀለኛ ቡድኑን እንቅስቃሴ አስመልክቶ የመጀመሪያ ዘገባ መውጣቱን ተከትሎ ሁሉም ስማቸው ተዘርዝሯል። ታግደዋል እና መሳሪያዎቹ በዝርዝር ተጠንተው ተገልጸዋል. ቡድኑ ጥቃቱን ለመቀጠል እና ሳይታወቅ ለመቀጠል እረፍት ለመውሰድ፣ የውስጥ መሳሪያዎቹን ለማጣራት እና የአስቂኝ ኮድ ለመፃፍ ተገዷል።

መሰረተ ልማት

Домен	የተገኘበት/የታየበት ቀን
አገናኝ-js.link	17.05.2017
መረጃ-js.link	17.05.2017
ትራክ-js.link	17.05.2017
ካርታ-js.link	17.05.2017
smart-js.link	17.05.2017
adobeauty.org	03.09.2017
security-payment.ሱ	03.09.2017
braincdn.org	04.09.2017
sagecdn.org	04.09.2017
slickjs.org	04.09.2017
oakandfort.org	10.09.2017
citywlnery.org	15.09.2017
dobell.ሱ	04.10.2017
childrensplayclothing.org	31.10.2017
jewsondirect.com	05.11.2017
shop-rnib.org	15.11.2017
closetlondon.org	16.11.2017
misshaus.org	28.11.2017
ባትሪ-force.org	01.12.2017
kik-vape.org	01.12.2017
greatfurnituretradingco.org	02.12.2017
etradesupply.org	04.12.2017
replacemyremote.org	04.12.2017
ሁሉም-about-sneakers.org	05.12.2017
mage-checkout.org	05.12.2017
nililotan.org	07.12.2017
lamoodbighat.net	08.12.2017
walletgear.org	10.12.2017
dahlie.org	12.12.2017
davidsfootwear.org	20.12.2017
blackriverimaging.org	23.12.2017
exrpesso.org	02.01.2018
ፓርኮች.ሱ	09.01.2018
pmtonline.ሱ	12.01.2018
otocap.org	15.01.2018
christohperward.org	27.01.2018
coffetea.org	31.01.2018
energycoffe.org	31.01.2018
energytea.org	31.01.2018
teacoffe.net	31.01.2018
adaptivecss.org	01.03.2018
coffemokko.com	01.03.2018
londontea.net	01.03.2018
ukcoffe.com	01.03.2018
labbe.biz	20.03.2018
ባትሪnart.com	03.04.2018
btosports.net	09.04.2018
chicksaddlery.net	16.04.2018
paypaypay.org	11.05.2018
ar500arnor.com	26.05.2018
authorizecdn.com	28.05.2018
slickmin.com	28.05.2018
bannerbuzz.info	03.06.2018
kandypens.net	08.06.2018
mylrendyphone.com	15.06.2018
freshchat.info	01.07.2018
3lift.org	02.07.2018
abtasty.net	02.07.2018
mechat.info	02.07.2018
zoplm.com	02.07.2018
zapaljs.com	02.09.2018
foodandcot.com	15.09.2018
freshdepor.com	15.09.2018
swappastore.com	15.09.2018
verywellfitnesse.com	15.09.2018
elegrina.com	18.11.2018
majsurplus.com	19.11.2018
top5value.com	19.11.2018