يستخدم كل واحد منا تقريبًا خدمات المتاجر عبر الإنترنت ، مما يعني أنه عاجلاً أم آجلاً ، فإننا نخاطر بأن نصبح ضحية لمتشممي جافا سكريبت - وهو رمز خاص يدخله المهاجمون في موقع ويب لسرقة بيانات البطاقة المصرفية والعناوين وأسماء المستخدمين وكلمات المرور .
وقد تأثر بالفعل ما يقرب من 400 ألف مستخدم لموقع ويب الخطوط الجوية البريطانية وتطبيق الهاتف المحمول من قبل المتشممون ، بالإضافة إلى زوار موقع FILA الرياضي البريطاني العملاق وموزع التذاكر الأمريكي Ticketmaster. PayPal و Chase Paymenttech و USAePay و Moneris - تم إصابة هذه الأنظمة والعديد من أنظمة الدفع الأخرى.
يتحدث فيكتور أوكوروكوف ، المحلل في مجموعة Threat Intelligence Group-IB ، عن كيفية تسلل المتشممون إلى رمز موقع الويب وسرقة معلومات الدفع ، بالإضافة إلى إدارة علاقات العملاء التي يهاجمونها.
"تهديد خفي"
لقد حدث أن متشممي JS ظلوا بعيدًا عن أنظار محللي مكافحة الفيروسات لفترة طويلة ، ولم تعتبرهم البنوك وأنظمة الدفع تهديدًا خطيرًا. وعبثا على الاطلاق. مجموعة خبراء البكالوريا الدولية 2440 متجرًا مصابًا عبر الإنترنت ، كان زوارها - ما مجموعه 1,5 مليون شخص يوميًا - معرضين لخطر التسوية. من بين الضحايا ليس المستخدمون فقط ، ولكن أيضًا المتاجر عبر الإنترنت وأنظمة الدفع والمصارف التي أصدرت بطاقات مخترقة.
أصبحت Group-IB أول دراسة لسوق Darknet من المتشممون ، وبنيتهم التحتية وطرق تسييلهم ، مما يوفر ملايين الدولارات لمنشئيهم. حددنا 38 عائلة شمسية ، 12 منها فقط كانت معروفة للباحثين سابقًا.
دعونا نتناول بالتفصيل عائلات الشمّين الأربعة الذين تمت دراستهم أثناء الدراسة.
عائلة ReactGet
يتم استخدام المتشممون من عائلة ReactGet لسرقة بيانات البطاقة المصرفية على مواقع التسوق عبر الإنترنت. يمكن أن يعمل المتشمم مع عدد كبير من أنظمة الدفع المختلفة المستخدمة في الموقع: قيمة معلمة واحدة تتوافق مع نظام دفع واحد ، ويمكن استخدام الإصدارات الفردية المكتشفة من المتشمم لسرقة بيانات الاعتماد ، وكذلك لسرقة بيانات البطاقة المصرفية من طرق الدفع للعديد من أنظمة الدفع في وقت واحد ، مثل ما يسمى بنظام الشم الشامل. وجد أنه في بعض الحالات ، ينفذ المهاجمون هجمات تصيد على مسؤولي المتاجر عبر الإنترنت من أجل الوصول إلى اللوحة الإدارية الخاصة بالموقع.
بدأت الحملة باستخدام هذه العائلة من المتشممون في مايو 2017. تعرضت المواقع التي تشغل CMS ومنصات Magento و Bigcommerce و Shopify للهجوم.
كيف يتم تضمين ReactGet في كود متجر على الإنترنت
بالإضافة إلى حقن البرنامج النصي "الكلاسيكي" عن طريق الرابط ، يستخدم مشغلو المتشممون من عائلة ReactGet تقنية خاصة: باستخدام كود JavaScript ، يتحقق ما إذا كان العنوان الحالي حيث يوجد المستخدم يفي بمعايير معينة. سيتم تشغيل التعليمات البرمجية الضارة فقط إذا كان عنوان URL الحالي يحتوي على سلسلة فرعية الخروج أو خطوة واحدة تحقق, صفحة واحدة/, خارج / onepag, الخروج / واحد, ckout / واحد. وبالتالي ، سيتم تنفيذ كود الشم بالضبط في الوقت الذي يشرع فيه المستخدم في دفع ثمن المشتريات ويدخل معلومات الدفع في النموذج الموجود على الموقع.
يستخدم هذا الشم تقنية غير قياسية. يتم جمع بيانات الدفع والبيانات الشخصية للضحية معًا وترميزها باستخدام base64، ثم يتم استخدام السلسلة الناتجة كمعامل لإرسال طلب إلى الموقع الضار. في أغلب الأحيان ، يحاكي المسار إلى البوابة ملف JavaScript ، على سبيل المثال Resp.js, data.js وما إلى ذلك ، ولكن يتم أيضًا استخدام الروابط إلى ملفات الصور ، GIF и JPG. تكمن الميزة في أن المتشمم ينشئ كائن صورة بحجم 1 × 1 بكسل ويستخدم الرابط الذي تم الحصول عليه مسبقًا كمعامل SRC الصور. أي بالنسبة للمستخدم ، سيبدو هذا الطلب في حركة المرور وكأنه طلب للحصول على صورة عادية. تم استخدام تقنية مماثلة في عائلة ImageID من المتشممون. بالإضافة إلى ذلك ، تُستخدم تقنية الصورة 1 × 1 بكسل في العديد من نصوص التحليلات المشروعة عبر الإنترنت ، مما قد يؤدي أيضًا إلى تضليل المستخدم.
تحليل الإصدار
كشف تحليل المجالات النشطة المستخدمة من قبل مشغلي ReactGet عن العديد من الإصدارات المختلفة لهذه العائلة من المتشممون. تختلف الإصدارات في وجود أو عدم وجود التعتيم ، وبالإضافة إلى ذلك ، تم تصميم كل متشمم لنظام دفع محدد يعالج مدفوعات البطاقات المصرفية للمتاجر عبر الإنترنت. بعد الفرز من خلال قيمة المعلمة المقابلة لرقم الإصدار ، تلقى متخصصو Group-IB قائمة كاملة بأشكال الشم المتاحة ، وبحسب أسماء حقول النموذج التي يبحث عنها كل متشمم في كود الصفحة ، حددوا أنظمة الدفع التي يستهدفها الشم.
قائمة المتشممون وأنظمة الدفع الخاصة بهم
| الشم URL | نظام الدفع |
|---|---|
| Authorize.Net | |
| كاردساف | |
| Authorize.Net | |
| Authorize.Net | |
| سريع eWAY | |
| Authorize.Net | |
| Adyen | |
| USAePay | |
| Authorize.Net | |
| USAePay | |
| Authorize.Net | |
| مونيريس | |
| USAePay | |
| PayPal | |
| سيج سيج | |
| فيريساين | |
| PayPal | |
| شريط | |
| Realex | |
| PayPal | |
| لينك بوينت | |
| PayPal | |
| PayPal | |
| مجموعة داتا كاش | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| فيريساين | |
| Authorize.Net | |
| مونيريس | |
| سيج سيج | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| بوابة ANZ الإلكترونية | |
| Authorize.Net | |
| مونيريس | |
| سيج سيج | |
| سيج سيج | |
| مطاردة Paymentech | |
| Authorize.Net | |
| Adyen | |
| PsiGate | |
| CyberSource | |
| بوابة ANZ الإلكترونية | |
| Realex | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| بوابة ANZ الإلكترونية | |
| PayPal | |
| PayPal | |
| Realex | |
| سيج سيج | |
| PayPal | |
| فيريساين | |
| Authorize.Net | |
| فيريساين | |
| Authorize.Net | |
| بوابة ANZ الإلكترونية | |
| PayPal | |
| CyberSource | |
| Authorize.Net | |
| سيج سيج | |
| Realex | |
| CyberSource | |
| PayPal | |
| PayPal | |
| PayPal | |
| فيريساين | |
| سريع eWAY | |
| سيج سيج | |
| سيج سيج | |
| فيريساين | |
| Authorize.Net | |
| Authorize.Net | |
| بوابة البيانات العالمية الأولى | |
| Authorize.Net | |
| Authorize.Net | |
| مونيريس | |
| Authorize.Net | |
| PayPal | |
| فيريساين | |
| USAePay | |
| USAePay | |
| Authorize.Net | |
| فيريساين | |
| PayPal | |
| Authorize.Net | |
| شريط | |
| Authorize.Net | |
| سريع eWAY | |
| سيج سيج | |
| Authorize.Net | |
| برينتري | |
| برينتري | |
| PayPal | |
| سيج سيج | |
| سيج سيج | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| فيريساين | |
| PayPal | |
| Authorize.Net | |
| شريط | |
| Authorize.Net | |
| سريع eWAY | |
| سيج سيج | |
| Authorize.Net | |
| برينتري | |
| PayPal | |
| سيج سيج | |
| سيج سيج | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| فيريساين | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| سيج سيج | |
| سيج سيج | |
| وستباك باي واي | |
| PayFort | |
| PayPal | |
| Authorize.Net | |
| شريط | |
| بوابة البيانات العالمية الأولى | |
| PsiGate | |
| Authorize.Net | |
| Authorize.Net | |
| مونيريس | |
| Authorize.Net | |
| سيج سيج | |
| فيريساين | |
| مونيريس | |
| PayPal | |
| لينك بوينت | |
| وستباك باي واي | |
| Authorize.Net | |
| مونيريس | |
| PayPal | |
| Adyen | |
| PayPal | |
| Authorize.Net | |
| USAePay | |
| EBizCharge | |
| Authorize.Net | |
| فيريساين | |
| فيريساين | |
| Authorize.Net | |
| PayPal | |
| مونيريس | |
| Authorize.Net | |
| PayPal | |
| PayPal | |
| وستباك باي واي | |
| Authorize.Net | |
| Authorize.Net | |
| سيج سيج | |
| فيريساين | |
| Authorize.Net | |
| PayPal | |
| PayFort | |
| CyberSource | |
| PayPal PayflowPro | |
| Authorize.Net | |
| Authorize.Net | |
| فيريساين | |
| Authorize.Net | |
| Authorize.Net | |
| سيج سيج | |
| Authorize.Net | |
| شريط | |
| Authorize.Net | |
| Authorize.Net | |
| فيريساين | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| سيج سيج | |
| Authorize.Net | |
| Authorize.Net | |
| PayPal | |
| صوان | |
| PayPal | |
| سيج سيج | |
| فيريساين | |
| Authorize.Net | |
| Authorize.Net | |
| شريط | |
| دهن زيبرا | |
| سيج سيج | |
| Authorize.Net | |
| بوابة البيانات العالمية الأولى | |
| Authorize.Net | |
| سريع eWAY | |
| Adyen | |
| PayPal | |
| خدمات تاجر QuickBooks | |
| فيريساين | |
| سيج سيج | |
| فيريساين | |
| Authorize.Net | |
| Authorize.Net | |
| سيج سيج | |
| Authorize.Net | |
| سريع eWAY | |
| Authorize.Net | |
| بوابة ANZ الإلكترونية | |
| PayPal | |
| CyberSource | |
| Authorize.Net | |
| سيج سيج | |
| Realex | |
| CyberSource | |
| PayPal | |
| PayPal | |
| PayPal | |
| فيريساين | |
| سريع eWAY | |
| سيج سيج | |
| سيج سيج | |
| فيريساين | |
| Authorize.Net | |
| Authorize.Net | |
| بوابة البيانات العالمية الأولى | |
| Authorize.Net | |
| Authorize.Net | |
| مونيريس | |
| Authorize.Net | |
| PayPal |
شم كلمة المرور
تتمثل إحدى مزايا متشمم جافا سكريبت التي تعمل على جانب العميل في موقع الويب في تعدد استخداماته: يمكن للرمز الخبيث المضمن في موقع ويب سرقة أي نوع من البيانات ، سواء كانت معلومات دفع أو تسجيل دخول وكلمة مرور من حساب مستخدم. اكتشف المتخصصون في Group-IB عينة من متلصص تنتمي إلى عائلة ReactGet ، مصممة لسرقة عناوين البريد الإلكتروني وكلمات المرور لمستخدمي الموقع.
تقاطع مع ImageID الشم
أثناء تحليل أحد المتاجر المصابة ، تبين أن موقعه على الويب أصيب مرتين: بالإضافة إلى الشفرة الخبيثة لعائلة ReactGet ، تم العثور على كود ImageID Family sniffer. يمكن أن يكون هذا التداخل دليلاً على أن المشغلين الذين يقفون وراء كل من المتشمِّمين يستخدمون تقنيات مماثلة لحقن شفرة ضارة.
الشم العالمي
أثناء تحليل أحد أسماء النطاقات المتعلقة بالبنية التحتية المتشمية لـ ReactGet ، وجد أن المستخدم نفسه سجل ثلاثة أسماء نطاقات أخرى. قلدت هذه المجالات الثلاثة مجالات مواقع الحياة الواقعية وكانت تُستخدم سابقًا لاستضافة المتشمّمين. عند تحليل رمز ثلاثة مواقع شرعية ، تم العثور على متشمم غير معروف ، وأظهر التحليل الإضافي أن هذه نسخة محسنة من ReactGet sniffer. تم استهداف جميع الإصدارات المتعقبة سابقًا من هذه العائلة من المتشممون في نظام دفع واحد ، أي أن إصدارًا خاصًا من المتشمم كان مطلوبًا لكل نظام دفع. ومع ذلك ، في هذه الحالة ، تم اكتشاف نسخة عالمية من المتشمم ، قادرة على سرقة المعلومات من النماذج المتعلقة بـ 15 نظام دفع مختلف ووحدات مواقع التجارة الإلكترونية للمدفوعات عبر الإنترنت.
لذلك ، في بداية العمل ، بحث المتشمم عن حقول النموذج الأساسية التي تحتوي على المعلومات الشخصية للضحية: الاسم الكامل والعنوان الفعلي ورقم الهاتف.
ثم بحث المتشمم في أكثر من 15 بادئة مختلفة تتوافق مع أنظمة ووحدات دفع مختلفة للمدفوعات عبر الإنترنت.
بعد ذلك ، تم جمع البيانات الشخصية للضحية ومعلومات الدفع معًا وإرسالها إلى موقع يتحكم فيه المهاجم: في هذه الحالة بالذات ، تم العثور على نسختين من ReactGet global sniffer على موقعين مختلفين تم الاستيلاء عليهما. ومع ذلك ، أرسل كلا الإصدارين البيانات المسروقة إلى نفس الموقع المخترق. Zoobashop.com.
حدد تحليل البادئات التي استخدمها المتشمم للعثور على الحقول التي تحتوي على معلومات الدفع الخاصة بالضحية أن عينة الشم هذه استهدفت أنظمة الدفع التالية:
- Authorize.Net
- فيريساين
- البيانات الأولى
- USAePay
- شريط
- PayPal
- بوابة ANZ الإلكترونية
- برينتري
- داتا كاش (ماستركارد)
- مدفوعات ريلكس
- PsiGate
- نظم الدفع في قلب الأرض
ما هي الأدوات المستخدمة لسرقة معلومات الدفع
الأداة الأولى التي تم اكتشافها أثناء تحليل البنية التحتية للمهاجمين تعمل على التعتيم على النصوص الخبيثة المسؤولة عن سرقة البطاقات المصرفية. تم العثور على نص bash باستخدام CLI الخاص بالمشروع على أحد مضيفي المهاجمين. لأتمتة تشويش كود الشم.
تم تصميم الأداة الثانية المكتشفة لإنشاء الشفرة المسؤولة عن تحميل المتشمم الرئيسي. تقوم هذه الأداة بإنشاء كود JavaScript للتحقق مما إذا كان المستخدم موجودًا في صفحة الدفع من خلال البحث في عنوان المستخدم الحالي عن السلاسل الخروج, العربة وهكذا ، وإذا كانت النتيجة إيجابية ، فإن الكود يقوم بتحميل المتشمم الرئيسي من خادم الدخيل. لإخفاء نشاط ضار ، يتم ترميز جميع الأسطر ، بما في ذلك سطور الاختبار لتحديد صفحة الدفع ، بالإضافة إلى ارتباط إلى المتشمم باستخدام base64.
هجمات التصيد
أثناء تحليل البنية التحتية لشبكة المهاجمين ، وجد أن الجماعة الإجرامية غالبًا ما تستخدم التصيد الاحتيالي للوصول إلى اللوحة الإدارية الخاصة بالمتجر المستهدف عبر الإنترنت. يسجل المهاجمون مجالًا يشبه نطاق متجر ، ثم ينشرون نموذج تسجيل دخول مشرف Magento وهمي عليه. إذا نجح المهاجمون ، فسيحصلون على حق الوصول إلى لوحة إدارة Magento CMS ، والتي تمنحهم القدرة على تحرير مكونات الموقع وتنفيذ أداة شم لسرقة بيانات بطاقة الائتمان.
بنية التحتية
| اسم النطاق | تاريخ الاكتشاف / الظهور |
|---|---|
| mediapack.info | 04.05.2017 |
| Adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| رد فعل | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagtracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trusttracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| العلاماتmediaget.com | 02.11.2018 |
| hs-المدفوعات.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| Livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| Livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
عائلة G-Analytics
تُستخدم عائلة المتشممون لسرقة بطاقات العملاء من المتاجر عبر الإنترنت. تم تسجيل أول اسم نطاق تستخدمه المجموعة في أبريل 2016 ، مما قد يشير إلى بداية نشاط المجموعة في منتصف عام 2016.
في الحملة الحالية ، تستخدم المجموعة أسماء نطاقات تحاكي خدمات الحياة الواقعية مثل Google Analytics و jQuery ، وتخفي نشاط الشم بنصوص شرعية وأسماء نطاقات ذات مظهر شرعي. تعرضت المواقع التي تشغل CMS Magento للهجوم.
كيف يتم تنفيذ G-Analytics في كود المتجر عبر الإنترنت
السمة المميزة لهذه العائلة هي استخدام طرق مختلفة لسرقة معلومات الدفع الخاصة بالمستخدم. بالإضافة إلى إدخال JavaScript الكلاسيكي في جانب العميل في الموقع ، استخدمت المجموعة الإجرامية أيضًا تقنية حقن التعليمات البرمجية في جانب الخادم من الموقع ، وهي نصوص PHP التي تعالج مدخلات المستخدم. هذه التقنية خطيرة لأنها تجعل من الصعب على الباحثين الخارجيين اكتشاف التعليمات البرمجية الضارة. اكتشف متخصصو Group-IB نسخة من برنامج الشم مدمج في كود PHP للموقع ، باستخدام المجال كبوابة dittm.org.
تم اكتشاف نسخة مبكرة من برنامج الشم يستخدم نفس المجال لجمع البيانات المسروقة. dittm.org، ولكن هذا الإصدار مخصص بالفعل للتثبيت من جانب العميل في المتجر عبر الإنترنت.
في وقت لاحق ، غيرت المجموعة تكتيكاتها وبدأت في إيلاء المزيد من الاهتمام لإخفاء النشاط الخبيث والتمويه.
في أوائل عام 2017 ، بدأت المجموعة في استخدام المجال jquery-js.comالتنكر في شكل CDN لـ jQuery: يعيد توجيه المستخدم إلى موقع شرعي عند الانتقال إلى موقع ضار jquery.com.
وفي منتصف عام 2018 ، تبنت المجموعة اسم مجال g-analytics.com وبدأت في إخفاء نشاط المتشمم كخدمة Google Analytics شرعية.
تحليل الإصدار
أثناء تحليل المجالات المستخدمة لتخزين كود الشم ، وجد أن الموقع يحتوي على عدد كبير من الإصدارات التي تختلف في وجود التعتيم ، بالإضافة إلى وجود أو عدم وجود كود لا يمكن الوصول إليه مضاف إلى الملف لصرف الانتباه. وإخفاء التعليمات البرمجية الخبيثة.
المجموع على الموقع jquery-js.com تم تحديد ستة نسخ من المتشممون. يرسل هؤلاء المتشممون البيانات المسروقة إلى عنوان موجود على نفس الموقع مثل المتشمم نفسه: hxxps: // jquery-js [.] com / latest / jquery.min.js:
- hxxps: // jquery-js [.] com / jquery.min.js
- hxxps: // jquery-js [.] com / jquery.2.2.4.min.js
- hxxps: // jquery-js [.] com / jquery.1.8.3.min.js
- hxxps: // jquery-js [.] com / jquery.1.6.4.min.js
- hxxps: // jquery-js [.] com / jquery.1.4.4.min.js
- hxxps: // jquery-js [.] com / jquery.1.12.4.min.js
المجال اللاحق g-analytics.com، التي استخدمتها الجماعة في الهجمات منذ منتصف عام 2018 ، تعمل كمستودع لمزيد من المتشمّشين. في المجموع ، تم اكتشاف 16 نسخة مختلفة من المتشمم. في هذه الحالة ، تم إخفاء بوابة إرسال البيانات المسروقة كرابط لصورة بالتنسيق GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps: // g-analytics [.] com / libs / 1.0.1 / analytics.js
- hxxps: // g-analytics [.] com / libs / 1.0.10 / analytics.js
- hxxps: // g-analytics [.] com / libs / 1.0.11 / analytics.js
- hxxps: // g-analytics [.] com / libs / 1.0.12 / analytics.js
- hxxps: // g-analytics [.] com / libs / 1.0.13 / analytics.js
- hxxps: // g-analytics [.] com / libs / 1.0.14 / analytics.js
- hxxps: // g-analytics [.] com / libs / 1.0.15 / analytics.js
- hxxps: // g-analytics [.] com / libs / 1.0.16 / analytics.js
- hxxps: // g-analytics [.] com / libs / 1.0.3 / analytics.js
- hxxps: // g-analytics [.] com / libs / 1.0.4 / analytics.js
- hxxps: // g-analytics [.] com / libs / 1.0.5 / analytics.js
- hxxps: // g-analytics [.] com / libs / 1.0.6 / analytics.js
- hxxps: // g-analytics [.] com / libs / 1.0.7 / analytics.js
- hxxps: // g-analytics [.] com / libs / 1.0.8 / analytics.js
- hxxps: // g-analytics [.] com / libs / 1.0.9 / analytics.js
- hxxps: // g-analytics [.] com / libs / analytics.js
تسييل البيانات المسروقة
تقوم المجموعة الإجرامية بتحويل البيانات المسروقة إلى نقود من خلال بيع البطاقات من خلال متجر تحت الأرض تم إنشاؤه خصيصًا لتوفير الخدمات للاعبي البطاقات. أتاح تحليل المجالات التي يستخدمها المهاجمون تحديد ذلك جوجل-analytics.cm تم تسجيله من قبل نفس المستخدم مثل المجال Cardz.vc. اِختِصاص Cardz.vc يشير إلى Cardsurfs (Flysurfs) ، وهو متجر يبيع البطاقات المصرفية المسروقة ، والذي اكتسب شعبية خلال سوق AlphaBay تحت الأرض كمتجر يبيع البطاقات المصرفية المسروقة باستخدام جهاز شم.
تحليل المجال أناليتيك، الموجود على نفس الخادم مثل المجالات التي يستخدمها المتشممون لجمع البيانات المسروقة ، وجد متخصصو Group-IB ملفًا يحتوي على سجلات ملفات تعريف الارتباط ، والتي يبدو أن المطور قد تخلى عنها لاحقًا. احتوى أحد الإدخالات في السجل على مجال iozoz.comوالذي تم استخدامه سابقا في أحد المتشمّمين النشطين في عام 2016. من المفترض أن هذا المجال قد استخدمه مهاجم سابقًا لجمع البطاقات المسروقة باستخدام المتشمم. تم تسجيل هذا المجال إلى عنوان بريد إلكتروني [البريد الإلكتروني محمي]، والذي تم استخدامه أيضًا لتسجيل المجالات Cardz.su и Cardz.vcذات الصلة بمتجر Cardurfs لبيع البطاقات.
بناءً على البيانات التي تم الحصول عليها ، يمكن افتراض أن عائلة G-Analytics المتشمم ومتجر البطاقات المصرفية Cardsurfs تحت الأرض يديرهما نفس الأشخاص ، ويتم استخدام المتجر لبيع البطاقات المصرفية المسروقة باستخدام جهاز الشم.
بنية التحتية
| اسم النطاق | تاريخ الاكتشاف / الظهور |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| تحليلي.to | 04.12.2018 |
| جوجل-analytics.to | 06.12.2018 |
| جوجل-analytics.cm | 28.12.2018 |
| أناليتيك | 28.12.2018 |
| googlelc-analytics.cm | 17.01.2019 |
عائلة Illum
Illum هي عائلة من المتشممون الذين يستخدمون لمهاجمة المتاجر عبر الإنترنت التي تشغل Magento CMS. بالإضافة إلى إدخال التعليمات البرمجية الخبيثة ، يستخدم مشغلو جهاز الشم هذا أيضًا إدخال نماذج دفع مزيفة كاملة ترسل البيانات إلى البوابات التي يسيطر عليها المهاجمون.
عند تحليل البنية التحتية للشبكة التي يستخدمها مشغلو هذا المشمم ، لوحظ عدد كبير من النصوص الخبيثة ، وعمليات الاستغلال ، ونماذج الدفع المزيفة ، بالإضافة إلى مجموعة من الأمثلة مع المنافسين المتطفلين. بناءً على المعلومات حول تواريخ ظهور أسماء النطاقات التي تستخدمها المجموعة ، يمكن افتراض أن بداية الحملة تقع في نهاية عام 2016.
كيف يتم تنفيذ Illum في كود متجر على الإنترنت
تم تضمين الإصدارات الأولى المكتشفة من برنامج الشم مباشرة في كود الموقع المخترق. تم إرسال البيانات المسروقة إلى cdn.illum [.] pw / records.php، تم تشفير البوابة باستخدام base64.
في وقت لاحق ، تم اكتشاف نسخة مغلفة من المشم باستخدام بوابة مختلفة - records.nstatistics [.] com / records.php.
وفق Willem de Groot ، تم استخدام نفس المضيف في الشم الذي تم تنفيذه على ، التي يملكها الحزب السياسي الألماني CSU.
تحليل موقع الهجوم
اكتشف متخصصو Group-IB وحللوا الموقع الذي تستخدمه هذه المجموعة الإجرامية لتخزين الأدوات وجمع المعلومات المسروقة.
من بين الأدوات الموجودة على خادم المهاجم ، تم العثور على نصوص برمجية واستغلال لتصعيد الامتيازات في نظام التشغيل Linux: على سبيل المثال ، Linux Privilege Escalation Check Script ، الذي طوره Mike Czumak ، بالإضافة إلى استغلال لـ CVE-2009-1185.
استخدم المهاجمون ثغراتين مباشرة لمهاجمة المتاجر عبر الإنترنت: قادرة على حقن تعليمات برمجية ضارة في ملفات core_config_data من خلال استغلال CVE-2016-4010 ، يستغل ثغرة RCE في مكونات Magento CMS الإضافية ، مما يسمح بتنفيذ تعليمات برمجية عشوائية على خادم ويب ضعيف.
أيضًا ، أثناء تحليل الخادم ، تم العثور على عينات مختلفة من المتشممون ونماذج دفع مزيفة ، استخدمها المهاجمون لجمع معلومات الدفع من المواقع التي تم اختراقها. كما ترى من القائمة أدناه ، تم إنشاء بعض البرامج النصية بشكل فردي لكل موقع تم الاستيلاء عليه ، بينما تم استخدام حل شامل لأنظمة إدارة المحتوى وبوابات الدفع. على سبيل المثال ، البرامج النصية segapay_standard.js и segapay_onpage.js تم تصميمه ليتم تضمينه في المواقع باستخدام بوابة الدفع Sage Pay.
قائمة البرامج النصية لبوابات الدفع المختلفة
| سيناريو | بوابة الدفع |
|---|---|
| [.] pw / mjs_special / visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpay.php |
| [.] pw / mjs_special / topdirenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.] pw / mjs_special / tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.] pw / mjs_special / pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.] pw / mjs_special / plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.] pw / mjs_special / ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.] pw / mjs_special / oldtimecandy.com.js | //request.payrightnow[.]cf/checkpay.php |
| [.] pw / mjs_special / mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.] pw / mjs_special / luluandsky.com.js | //request.payrightnow[.]cf/checkpay.php |
| [.] pw / mjs_special / julep.com.js | //cdn.illum[.]pw/records.php |
| [.] pw / mjs_special / gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.] pw / mjs_special / grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.] pw / mjs_special / fushi.co.uk.js | //request.payrightnow[.]cf/checkpay.php |
| [.] pw / mjs_special / fareastflora.com.js | //request.payrightnow[.]cf/checkpay.php |
| [.] pw / mjs_special / compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.] pw / mjs / segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.] pw / mjs / segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.] pw / mjs / replace_standard.js | //request.payrightnow[.]cf/checkpay.php |
| [.] pw / mjs / all_inputs.js | //cdn.illum[.]pw/records.php |
| [.] pw / mjs / add_inputs_standart.js | //request.payrightnow[.]cf/checkpay.php |
| [.] pw / magento / payment_standard.js | //cdn.illum[.]pw/records.php |
| [.] pw / magento / payment_redirect.js | //payrightnow[.]cf/؟payment= |
| [.] pw / magento / payment_redcrypt.js | //payrightnow[.]cf/؟payment= |
| [.] pw / magento / payment_forminsite.js | //paymentnow [.]tk/؟payment= |
يستضيف paymentnow [.] tk، تستخدم كبوابة في البرنامج النصي Payment_forminsite.js، تم اكتشافه كـ subjectAltName في العديد من الشهادات المتعلقة بخدمة CloudFlare. بالإضافة إلى ذلك ، كان النص موجودًا على المضيف evil.js. استنادًا إلى اسم البرنامج النصي ، كان من الممكن استخدامه كجزء من استغلال CVE-2016-4010 ، وبفضل ذلك يمكن إدخال شفرة ضارة في تذييل موقع يقوم بتشغيل Magento CMS. استخدم هذا البرنامج النصي المضيف كبوابة request.requestnet [.] tk، باستخدام نفس شهادة المضيف paymentnow [.] tk.
نماذج دفع مزورة
يوضح الشكل أدناه مثالاً على نموذج لإدخال بيانات البطاقة. تم استخدام هذا النموذج للتسلل إلى موقع ويب لمتجر على الإنترنت وسرقة بيانات البطاقة.
الشكل التالي هو مثال على نموذج دفع PayPal مزيف استخدمه المهاجمون لاختراق المواقع باستخدام طريقة الدفع هذه.
بنية التحتية
| اسم النطاق | تاريخ الاكتشاف / الظهور |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| Records.nstatistics.com | 06/09/2018 |
| request.payrightnow.cf | 25/05/2018 |
| الدفع الآن | 16/07/2017 |
| الدفع - line.tk | 01/03/2018 |
| الدفع | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
عائلة CoffeeMokko
تم استخدام عائلة CoffeMokko من المتشممون المصممون لسرقة البطاقات المصرفية لمستخدمي المتاجر عبر الإنترنت منذ مايو 2017 على الأقل. من المفترض أن المجموعة الإجرامية من المجموعة 1 التي وصفها خبراء RiskIQ في عام 2016 هي المشغل لهذه العائلة من المتشممون. تعرضت مواقع الويب التي تعمل بنظام إدارة المحتوى مثل Magento و OpenCart و WordPress و osCommerce و Shopify للهجوم.
كيف يتم تضمين CoffeMokko في كود متجر على الإنترنت
يقوم مشغلو هذه العائلة بإنشاء أدوات شم فريدة لكل إصابة: يوجد ملف المتشمم في الدليل SRC أو js على خادم المهاجم. يتم التنفيذ في كود الموقع عن طريق رابط مباشر إلى المتشمم.
يقوم برنامج الشم بتشفير أسماء حقول النموذج التي تريد سرقة البيانات منها. يتحقق المتشمم أيضًا مما إذا كان المستخدم موجودًا في صفحة الخروج عن طريق التحقق من قائمة الكلمات الرئيسية مقابل عنوان المستخدم الحالي.
تم التعتيم على بعض الإصدارات المكتشفة من برنامج الشم واحتوت على سلسلة مشفرة تخزن المجموعة الرئيسية من الموارد: احتوت على أسماء حقول النموذج لأنظمة الدفع المختلفة ، بالإضافة إلى عنوان البوابة التي يجب إرسال البيانات المسروقة إليها.
تم إرسال معلومات الدفع المسروقة إلى برنامج نصي على خادم المهاجمين على طول الطريق. /savePayment/index.php أو /tr/index.php. من المفترض أن يتم استخدام هذا البرنامج النصي لإرسال البيانات من البوابة إلى الخادم الرئيسي ، والذي يقوم بدمج البيانات من جميع المتشممون. لإخفاء البيانات المرسلة ، يتم تشفير جميع معلومات الدفع للضحية باستخدام base64، وبعد ذلك تحدث عدة استبدالات للشخصية:
- يتم استبدال الحرف "e" بـ ":"
- تم استبدال الرمز "w" بـ "+"
- تم استبدال الحرف "o" بـ "٪"
- تم استبدال الحرف "d" بـ "#"
- تم استبدال الحرف "a" بـ "-"
- تم استبدال الرمز "7" بـ "^"
- تم استبدال الحرف "h" بـ "_"
- تم استبدال الرمز "T" بـ "@"
- تم استبدال الحرف "0" بـ "/"
- تم استبدال الحرف "Y" بـ "*"
نتيجة استبدال الأحرف المشفرة بـ base64 لا يمكن فك تشفير البيانات بدون تحويل عكسي.
هذه هي الطريقة التي يبدو بها جزء من كود الشم الذي لم يتم تشويشه:
تحليل البنية التحتية
في الحملات المبكرة ، سجل المهاجمون أسماء نطاقات مشابهة لتلك الخاصة بمواقع التسوق المشروعة عبر الإنترنت. قد يختلف مجالهم عن المجال الشرعي بحرف واحد أو TLD آخر. تم استخدام المجالات المسجلة لتخزين رمز الشم ، الرابط الذي تم تضمينه في رمز المتجر.
استخدمت هذه المجموعة أيضًا أسماء النطاقات التي تذكرنا بإضافات jQuery الشائعة (slickjs [.] org للمواقع التي تستخدم البرنامج المساعد slick.js) ، بوابات الدفع (sagecdn [.] org للمواقع التي تستخدم نظام الدفع Sage Pay).
في وقت لاحق ، بدأت المجموعة في إنشاء مجالات لا علاقة لاسمها بنطاق المتجر أو موضوع المتجر.
يتوافق كل مجال مع الموقع الذي تم إنشاء الدليل عليه / شبيبة أو / src. تم تخزين البرامج النصية المتشمية في هذا الدليل: متشمم واحد لكل إصابة جديدة. تم إدخال برنامج الشم في كود الموقع عبر رابط مباشر ، ولكن في حالات نادرة ، قام المهاجمون بتعديل أحد ملفات الموقع وإضافة شفرة ضارة إليه.
تحليل الكود
خوارزمية التشويش الأولى
في بعض عينات الشم لهذه العائلة ، تم إخفاء الرمز واحتوائه على بيانات مشفرة ضرورية لعمل المتشمم: على وجه الخصوص ، عنوان بوابة المتشمم ، وقائمة حقول نموذج الدفع ، وفي بعض الحالات ، رمز نموذج دفع مزيف. في الكود الموجود داخل الوظيفة ، تم تشفير الموارد باستخدام XOR بواسطة المفتاح الذي تم تمريره كوسيطة لنفس الوظيفة.
من خلال فك تشفير السلسلة بالمفتاح المقابل ، الفريد لكل عينة ، يمكنك الحصول على سلسلة تحتوي على جميع الأسطر من كود الشم مفصولة بحرف محدد.
خوارزمية التشويش الثانية
في عينات لاحقة من هذه العائلة من المتشممون ، تم استخدام آلية تشويش مختلفة: في هذه الحالة ، تم تشفير البيانات باستخدام خوارزمية مكتوبة ذاتيًا. تم تمرير سلسلة تحتوي على بيانات مشفرة مطلوبة لعمل المتشمم كوسيطة لوظيفة فك التشفير.
باستخدام وحدة تحكم المتصفح ، يمكنك فك تشفير البيانات المشفرة والحصول على مصفوفة تحتوي على موارد الشم.
رابط لهجمات MageCart المبكرة
في تحليل أحد المجالات التي استخدمتها المجموعة كبوابة لجمع البيانات المسروقة ، وجد أن البنية التحتية لسرقة بطاقات الائتمان منتشرة في هذا المجال ، مماثلة لتلك المستخدمة من قبل المجموعة 1 ، إحدى المجموعات الأولى ، متخصصو RiskIQ.
تم العثور على ملفين على مضيف عائلة CoffeMokko sniffer:
- mage.js - ملف يحتوي على كود الشم من المجموعة 1 مع عنوان البوابة js-cdn.link
- mag.php - سكربت PHP المسؤول عن جمع البيانات التي سرقها المتشمم
محتويات ملف mage.js
كما تم تحديد أن أقدم المجالات التي استخدمتها المجموعة وراء عائلة CoffeMokko sniffer تم تسجيلها في 17 مايو 2017:
- رابط js [.]
- رابط info-js [.]
- رابط المسار js [.]
- رابط map-js [.]
- رابط smart-js [.]
تنسيق أسماء النطاقات هذه هو نفسه أسماء نطاقات المجموعة 1 التي تم استخدامها في هجمات 2016.
بناءً على الحقائق المكتشفة ، يمكن الافتراض أن هناك صلة بين مشغلي CoffeMokko والمجموعة الإجرامية المجموعة 1. من المفترض أن مشغلي CoffeMokko ربما استعاروا أدوات وبرامج لسرقة البطاقات من أسلافهم. ومع ذلك ، فمن المرجح أن تكون المجموعة الإجرامية التي تقف وراء استخدام متشممي عائلة CoffeMokko هم نفس الأشخاص الذين نفذوا الهجمات كجزء من أنشطة المجموعة 1. وبعد نشر التقرير الأول عن أنشطة المجموعة الإجرامية ، كلهم تم حظر أسماء النطاقات ، وتمت دراسة الأدوات بالتفصيل ووصفها. أُجبرت المجموعة على أخذ قسط من الراحة وضبط أدواتها الداخلية وإعادة كتابة كود الشم من أجل مواصلة هجماتها والبقاء دون أن يلاحظها أحد.
بنية التحتية
| اسم النطاق | تاريخ الاكتشاف / الظهور |
|---|---|
| link-js.link | 17.05.2017 |
| معلومات-js.link | 17.05.2017 |
| المسار- js.link | 17.05.2017 |
| خريطة js.link | 17.05.2017 |
| Smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| Security-Payment.su | 03.09.2017 |
| Braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| closeetlondon.org | 16.11.2017 |
| Misshaus.org | 28.11.2017 |
| بطارية Force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| استبدالmyremote.org | 04.12.2017 |
| كل شيء عن أحذية رياضية.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| Walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parks.su | 09.01.2018 |
| pmtonline.com | 12.01.2018 |
| موقع ottocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffetea.org | 31.01.2018 |
| Energycoffe.org | 31.01.2018 |
| Energytea.org | 31.01.2018 |
| Teacoffe.net | 31.01.2018 |
| Adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| Batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| www.chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| Authorizecdn.com | 28.05.2018 |
| موقع slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| Freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| Freshdepor.com | 15.09.2018 |
| Swapastore.com | 15.09.2018 |
| verywellfitness.com | 15.09.2018 |
| ايليجرينا.كوم | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
المصدر: www.habr.com