Demək olar ki, hər birimiz onlayn mağazaların xidmətlərindən istifadə edirik, bu da o deməkdir ki, gec-tez JavaScript snayferlərinin qurbanı olmaq riski ilə üzləşirik - təcavüzkarlar bank kartı məlumatlarını, ünvanlarını, istifadəçi adlarını və parollarını oğurlamaq üçün vebsayta yeritdiyi xüsusi koddur. .
British Airways veb-saytının və mobil tətbiqinin təxminən 400 000 istifadəçisi artıq snayperlərin, eləcə də Britaniyanın idman nəhəngi FILA veb-saytının və ABŞ-ın bilet distribütoru Ticketmaster-in ziyarətçilərinin təsirinə məruz qalıb. PayPal, Chase Paymenttech, USAePay, Moneris - bu və bir çox digər ödəniş sistemləri yoluxmuşdur.
Threat Intelligence Group-IB analitiki Viktor Okorokov snayferlərin veb-sayt koduna necə sızması və ödəniş məlumatlarını oğurlaması, eləcə də hansı CRM-lərə hücum etdikləri barədə danışır.
"Gizli təhlükə"
Elə oldu ki, uzun müddət JS-sniffers antivirus analitiklərinin nəzərindən kənarda qaldı və banklar və ödəniş sistemləri onları ciddi təhlükə kimi görmürdülər. Və tamamilə boş yerə. Group-IB Ekspertləri Ziyarətçiləri - gündə təxminən 2440 milyon insan - kompromis riski altında olan 1,5 yoluxmuş onlayn mağaza. Qurbanlar arasında təkcə istifadəçilər deyil, həm də onlayn mağazalar, ödəniş sistemləri və oğurlanmış kartları buraxan banklar var.
Group-IB, snayferlərin qaranlıq şəbəkə bazarı, onların infrastrukturu və monetizasiya yolları ilə bağlı ilk araşdırma oldu və yaradıcılarına milyonlarla dollar qazandırdı. 38 qoxuçu ailəsi müəyyən etdik, onlardan yalnız 12-si əvvəllər tədqiqatçılara məlum idi.
Tədqiqat zamanı tədqiq edilən dörd qoxuçu ailəsi üzərində ətraflı dayanaq.
ReactGet ailəsi
ReactGet ailəsinin snifferləri onlayn alış-veriş saytlarında bank kartı məlumatlarını oğurlamaq üçün istifadə olunur. Snayfer saytda istifadə olunan çoxlu sayda müxtəlif ödəniş sistemləri ilə işləyə bilər: bir parametr dəyəri bir ödəniş sisteminə uyğundur və snayferin fərdi aşkar edilmiş versiyaları etimadnamələri oğurlamaq, həmçinin bank kartı məlumatlarını oğurlamaq üçün istifadə edilə bilər. universal sniffer kimi bir anda bir neçə ödəniş sisteminin ödəniş formaları. Məlum olub ki, bəzi hallarda təcavüzkarlar saytın administrativ panelinə daxil olmaq üçün onlayn mağaza administratorlarına fişinq hücumları həyata keçirirlər.
Bu snayferlər ailəsindən istifadə kampaniyası 2017-ci ilin may ayında başladı. CMS və Magento, Bigcommerce, Shopify platformaları ilə işləyən saytlar hücuma məruz qaldı.
ReactGet onlayn mağazanın koduna necə daxil edilmişdir
Link vasitəsilə “klassik” skript yeridilməsi ilə yanaşı, ReactGet ailəsinin sniffer operatorları xüsusi texnikadan istifadə edirlər: JavaScript kodundan istifadə edərək, istifadəçinin yerləşdiyi cari ünvanın müəyyən meyarlara cavab verib-vermədiyini yoxlayır. Zərərli kod yalnız cari URL alt sətirdən ibarət olduqda işləyəcək checkout və ya bir addım yoxlayın, bir səhifə/, out/onepag, kassa/bir, skaut/bir. Beləliklə, sniffer kodu istifadəçinin alış-veriş üçün ödəniş etməyə davam etdiyi və ödəniş məlumatını saytdakı forma daxil etdiyi anda yerinə yetiriləcəkdir.
Bu sniffer qeyri-standart texnikadan istifadə edir. Ödəniş və qurbanın şəxsi məlumatları birlikdə toplanaraq kodlaşdırılır base64, və sonra ortaya çıxan sətir zərərli sayta sorğu göndərmək üçün parametr kimi istifadə olunur. Çox vaxt qapıya gedən yol, məsələn, JavaScript faylını təqlid edir resp.js, data.js və s, lakin şəkil fayllarına keçidlər də istifadə olunur, GIF и Jpg. Xüsusiyyət ondan ibarətdir ki, sniffer 1x1 piksel ölçüsündə təsvir obyekti yaradır və parametr kimi əvvəllər əldə edilmiş keçiddən istifadə edir. src Şəkillər. Yəni istifadəçi üçün trafikdə belə bir sorğu adi şəkil üçün sorğu kimi görünəcək. Oxşar texnika ImageID qoxuçular ailəsində istifadə edilmişdir. Bundan əlavə, 1x1 piksel təsvir texnikası bir çox qanuni onlayn analitik skriptlərdə istifadə olunur ki, bu da istifadəçini çaşdıra bilər.
Versiya təhlili
ReactGet sniffer operatorları tərəfindən istifadə edilən aktiv domenlərin təhlili bu snifferlər ailəsinin çoxlu müxtəlif versiyalarını aşkar etdi. Versiyalar çaşqınlığın olması və ya olmaması ilə fərqlənir və əlavə olaraq, hər bir snayfer onlayn mağazalar üçün bank kartı ödənişlərini emal edən xüsusi ödəniş sistemi üçün nəzərdə tutulub. Versiya nömrəsinə uyğun parametrin dəyərini çeşidlədikdən sonra Group-IB mütəxəssisləri mövcud sniffer variasiyalarının tam siyahısını aldılar və hər bir snayferin səhifə kodunda axtardığı forma sahələrinin adları üzrə ödəniş sistemlərini müəyyən etdilər. ki, iyləmə hədəfləridir.
Snayferlərin siyahısı və onlara uyğun ödəniş sistemləri
| Sniffer URL | Ödəniş sistemi |
|---|---|
| Authorize.Net | |
| Cardsave edin | |
| Authorize.Net | |
| Authorize.Net | |
| eWAY Rapid | |
| Authorize.Net | |
| Adyen | |
| USAePay | |
| Authorize.Net | |
| USAePay | |
| Authorize.Net | |
| Moneris | |
| USAePay | |
| PayPal | |
| SagePay | |
| Verisign | |
| PayPal | |
| zolaq | |
| Realex | |
| PayPal | |
| LinkPoint | |
| PayPal | |
| PayPal | |
| datacash | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Moneris | |
| SagePay | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| Authorize.Net | |
| Moneris | |
| SagePay | |
| SagePay | |
| Chase Paymenttech | |
| Authorize.Net | |
| Adyen | |
| PsiGate | |
| Kiber Mənbə | |
| ANZ eGate | |
| Realex | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| Realex | |
| SagePay | |
| PayPal | |
| Verisign | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Kiber Mənbə | |
| Authorize.Net | |
| SagePay | |
| Realex | |
| Kiber Mənbə | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Rapid | |
| SagePay | |
| SagePay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| İlk Data Qlobal Gateway | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| PayPal | |
| Verisign | |
| USAePay | |
| USAePay | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| zolaq | |
| Authorize.Net | |
| eWAY Rapid | |
| SagePay | |
| Authorize.Net | |
| Braintree | |
| Braintree | |
| PayPal | |
| SagePay | |
| SagePay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| zolaq | |
| Authorize.Net | |
| eWAY Rapid | |
| SagePay | |
| Authorize.Net | |
| Braintree | |
| PayPal | |
| SagePay | |
| SagePay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| SagePay | |
| Westpac PayWay | |
| ödəniş | |
| PayPal | |
| Authorize.Net | |
| zolaq | |
| İlk Data Qlobal Gateway | |
| PsiGate | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| SagePay | |
| Verisign | |
| Moneris | |
| PayPal | |
| LinkPoint | |
| Westpac PayWay | |
| Authorize.Net | |
| Moneris | |
| PayPal | |
| Adyen | |
| PayPal | |
| Authorize.Net | |
| USAePay | |
| EBizCharge | |
| Authorize.Net | |
| Verisign | |
| Verisign | |
| Authorize.Net | |
| PayPal | |
| Moneris | |
| Authorize.Net | |
| PayPal | |
| PayPal | |
| Westpac PayWay | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Verisign | |
| Authorize.Net | |
| PayPal | |
| ödəniş | |
| Kiber Mənbə | |
| PayPal Payflow Pro | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| zolaq | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| Authorize.Net | |
| PayPal | |
| Çaxmaqdaşı | |
| PayPal | |
| SagePay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| zolaq | |
| Yağlı Zebra | |
| SagePay | |
| Authorize.Net | |
| İlk Data Qlobal Gateway | |
| Authorize.Net | |
| eWAY Rapid | |
| Adyen | |
| PayPal | |
| QuickBooks Ticarət xidmətləri | |
| Verisign | |
| SagePay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| eWAY Rapid | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Kiber Mənbə | |
| Authorize.Net | |
| SagePay | |
| Realex | |
| Kiber Mənbə | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Rapid | |
| SagePay | |
| SagePay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| İlk Data Qlobal Gateway | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| PayPal |
Parol snayperi
Veb saytın müştəri tərəfində işləyən JavaScript snayferlərinin üstünlüklərindən biri onun çox yönlü olmasıdır: vebsayta daxil edilmiş zərərli kod istənilən növ məlumatı oğurlaya bilər, istər ödəniş məlumatları, istərsə də istifadəçi hesabından giriş və parol. Group-IB mütəxəssisləri sayt istifadəçilərinin e-poçt ünvanlarını və parollarını oğurlamaq üçün nəzərdə tutulmuş ReactGet ailəsinə aid snayfer nümunəsini aşkar ediblər.
ImageID sniffer ilə kəsişmə
Yoluxmuş mağazalardan birinin təhlili zamanı məlum olub ki, onun internet saytı iki dəfə virusa yoluxub: ReactGet ailəsi snayferinin zərərli kodu ilə yanaşı, ImageID ailəsi snayferinin kodu da aşkar edilib. Bu üst-üstə düşmə hər iki snayferin arxasında olan operatorların zərərli kodu yeritmək üçün oxşar üsullardan istifadə etdiklərinə sübut ola bilər.
Universal sniffer
ReactGet sniffer infrastrukturuna aid domen adlarından birinin təhlili zamanı məlum olub ki, eyni istifadəçi daha üç domen adını qeydiyyatdan keçirib. Bu üç domen real həyatda olan saytların domenlərini təqlid edirdi və əvvəllər snifferləri yerləşdirmək üçün istifadə olunurdu. Üç qanuni saytın kodunu təhlil edərkən naməlum sniffer tapıldı və sonrakı təhlillər göstərdi ki, bu, ReactGet sniffer-in təkmilləşdirilmiş versiyasıdır. Bu snayferlər ailəsinin əvvəllər izlənilən bütün versiyaları vahid ödəniş sisteminə yönəlmişdi, yəni hər bir ödəniş sistemi üçün snayferin xüsusi versiyası tələb olunurdu. Bununla belə, bu halda snayferin 15 müxtəlif ödəniş sistemi və elektron ticarət saytlarının onlayn ödənişlər üçün modulları ilə əlaqəli formalardan məlumatları oğurlamağa qadir olan universal versiyası aşkar edilib.
Beləliklə, işin əvvəlində snayfer qurbanın şəxsi məlumatlarını ehtiva edən əsas forma sahələrini axtardı: tam adı, fiziki ünvanı, telefon nömrəsi.
Daha sonra snayfer onlayn ödənişlər üçün müxtəlif ödəniş sistemləri və modullarına uyğun gələn 15-dən çox müxtəlif prefiksi axtarıb.
Sonra, qurbanın şəxsi məlumatları və ödəniş məlumatları birlikdə toplandı və təcavüzkarın nəzarət etdiyi sayta göndərildi: bu vəziyyətdə, ReactGet universal snayferinin iki versiyası sındırılmış iki fərqli saytda tapıldı. Bununla belə, hər iki versiya oğurlanmış məlumatları eyni sındırılmış sayta göndərdi. zoobashop.com.
Snayferin qurbanın ödəniş məlumatını ehtiva edən sahələri tapmaq üçün istifadə etdiyi prefikslərin təhlili müəyyən etdi ki, bu snayfer nümunəsi aşağıdakı ödəniş sistemlərini hədəf alıb:
- Authorize.Net
- Verisign
- İlk məlumatlar
- USAePay
- zolaq
- PayPal
- ANZ eGate
- Braintree
- Data Cash (MasterCard)
- Realex ödənişləri
- PsiGate
- Heartland Ödəniş Sistemləri
Ödəniş məlumatlarını oğurlamaq üçün hansı vasitələrdən istifadə olunur
Təcavüzkarların infrastrukturunun təhlili zamanı aşkar edilən ilk alət bank kartlarının oğurlanmasına görə məsuliyyət daşıyan zərərli skriptləri gizlətməyə xidmət edir. Təcavüzkarların hostlarından birində layihənin CLI-dən istifadə edən bash skripti tapıldı. sniffer kodu gizlədilməsini avtomatlaşdırmaq üçün.
İkinci aşkar edilmiş alət əsas snifferin yüklənməsinə cavabdeh olan kodu yaratmaq üçün nəzərdə tutulmuşdur. Bu alət sətirlər üçün istifadəçinin cari ünvanını axtararaq istifadəçinin ödəniş səhifəsində olub-olmadığını yoxlayan JavaScript kodu yaradır. checkout, araba və s. və əgər nəticə müsbət olarsa, o zaman kod əsas snayferi təcavüzkarın serverindən yükləyir. Zərərli fəaliyyəti gizlətmək üçün bütün sətirlər, o cümlədən ödəniş səhifəsini təyin etmək üçün test xətləri, həmçinin snayferə keçid istifadə edərək kodlaşdırılır. base64.
Fişinq hücumları
Hücum edənlərin şəbəkə infrastrukturunun təhlili zamanı məlum olub ki, cinayətkar qrup hədəf onlayn mağazanın administrativ panelinə daxil olmaq üçün tez-tez fişinqdən istifadə edir. Təcavüzkarlar mağaza domeninə bənzəyən domeni qeydiyyatdan keçirir və sonra saxta Magento admin giriş formasını orada yerləşdirirlər. Uğurlu olarsa, təcavüzkarlar Magento CMS admin panelinə giriş əldə edəcəklər ki, bu da onlara sayt komponentlərini redaktə etmək və kredit kartı məlumatlarını oğurlamaq üçün snayfer tətbiq etmək imkanı verir.
İnfrastruktur
| Domain Adı | Tapılma/görünüş tarixi |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagtracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trusttracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
G-Analytics ailəsi
Bu qoxuçular ailəsi onlayn mağazalardan müştəri kartlarını oğurlamaq üçün istifadə olunur. Qrupun istifadə etdiyi ilk domen adı 2016-cı ilin aprelində qeydə alınıb ki, bu da qrupun 2016-cı ilin ortalarında fəaliyyətə başladığını göstərə bilər.
Hazırkı kampaniyada qrup Google Analytics və jQuery kimi real həyat xidmətlərini təqlid edən domen adlarından istifadə edir, sniffer fəaliyyətini qanuni skriptlər və qanuni görünən domen adları ilə maskalayır. CMS Magento altında işləyən veb-saytlar hücuma məruz qalıb.
G-Analytics onlayn mağaza kodunda necə həyata keçirilir
Bu ailənin fərqli xüsusiyyəti istifadəçi ödəniş məlumatlarını oğurlamaq üçün müxtəlif üsullardan istifadə edilməsidir. Cinayətkar qrup saytın müştəri tərəfinə klassik JavaScript inyeksiyasından əlavə, saytın server tərəfinə kod yeridilməsi texnikasından, yəni istifadəçi daxiletməsini emal edən PHP skriptlərindən də istifadə edib. Bu texnika təhlükəlidir ki, üçüncü tərəf tədqiqatçılarının zərərli kodu aşkarlamasını çətinləşdirir. Group-IB mütəxəssisləri domendən qapı kimi istifadə edərək saytın PHP koduna daxil edilmiş sniffer versiyasını aşkar ediblər. dittm.org.
Oğurlanmış məlumatları toplamaq üçün eyni domendən istifadə edən bir snifferin erkən versiyası da aşkar edilmişdir. dittm.org, lakin bu versiya artıq onlayn mağazanın müştəri tərəfində quraşdırmaq üçün nəzərdə tutulub.
Daha sonra qrup öz taktikasını dəyişərək, zərərli fəaliyyətin gizlədilməsinə və kamuflyajlara daha çox diqqət yetirməyə başlayıb.
2017-ci ilin əvvəlində qrup domendən istifadə etməyə başladı jquery-js.comjQuery üçün CDN kimi maskalanma: zərərli sayta keçərkən istifadəçini qanuni sayta yönləndirir jquery.com.
Və 2018-ci ilin ortalarında qrup bir domen adını qəbul etdi g-analytics.com və snayferin fəaliyyətini qanuni Google Analytics xidməti kimi gizlətməyə başladı.
Versiya təhlili
Sniffer kodunun saxlanması üçün istifadə edilən domenlərin təhlili zamanı məlum olub ki, saytda çaşqınlığın olması, eləcə də diqqəti yayındırmaq üçün fayla əlçatmaz kodun əlavə edilməsi və ya olmaması ilə fərqlənən çoxlu sayda versiyalar var. və zərərli kodu gizlədin.
Saytda cəmi jquery-js.com snifferlərin altı versiyası müəyyən edilmişdir. Bu snayferlər oğurlanmış məlumatları snayferin özü ilə eyni saytda yerləşən ünvana göndərirlər: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Sonradan domen g-analytics.com, qrup tərəfindən 2018-ci ilin ortalarından bəri hücumlarda istifadə olunur, daha çox sniffers üçün anbar kimi xidmət edir. Ümumilikdə snayferin 16 müxtəlif versiyası aşkar edilib. Bu halda, oğurlanmış məlumatların göndərilməsi üçün qapı formatın şəklinə keçid kimi gizləndi. GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Oğurlanmış məlumatların monetizasiyası
Cinayətkar qrup oğurlanmış məlumatları karterlərə xidmət göstərən xüsusi yaradılmış yeraltı mağaza vasitəsilə kartları satmaqla pul qazanır. Təcavüzkarların istifadə etdiyi domenlərin təhlili bunu müəyyən etməyə imkan verib google-analytics.cm domenlə eyni istifadəçi tərəfindən qeydiyyatdan keçmişdir cardz.vc. Domen cardz.vc Cardsurfs (Flysurfs), oğurlanmış bank kartlarını satan mağazaya istinad edir, o, AlphaBay yeraltı bazarında snayferdən istifadə edərək oğurlanmış bank kartlarını satan mağaza kimi populyarlıq qazandı.
Domenin təhlili analytical.is, snayferlərin oğurlanmış məlumatları toplamaq üçün istifadə etdiyi domenlərlə eyni serverdə yerləşən Group-IB mütəxəssisləri, görünür, sonradan tərtibatçı tərəfindən tərk edilmiş, Cookie oğurluğu qeydlərini ehtiva edən bir fayl tapdılar. Jurnaldakı qeydlərdən birində domen var idi iozoz.com, daha əvvəl 2016-cı ildə aktiv olan snayferlərdən birində istifadə edilmişdir. Ehtimal ki, bu domen əvvəllər təcavüzkar tərəfindən snayferdən istifadə edərək oğurlanmış kartları toplamaq üçün istifadə edilib. Bu domen e-poçt ünvanında qeydə alınıb [e-poçt qorunur], bu da domenlərin qeydiyyatı üçün istifadə edilmişdir cardz.su и cardz.vcCardsurfs taraklama mağazası ilə bağlıdır.
Əldə edilən məlumatlara əsasən, ehtimal etmək olar ki, G-Analytics sniffer ailəsi və yeraltı Cardsurfs bank kart mağazası eyni şəxslər tərəfindən idarə olunur və mağaza snayferdən istifadə edərək oğurlanmış bank kartlarının satışı üçün istifadə olunur.
İnfrastruktur
| Domain Adı | Tapılma/görünüş tarixi |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| analitik.to | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| analytical.is | 28.12.2018 |
| googlelc-analytics.cm | 17.01.2019 |
İllum ailəsi
Illum, Magento CMS ilə işləyən onlayn mağazalara hücum etmək üçün istifadə edilən snifferlər ailəsidir. Zərərli kodun tətbiqi ilə yanaşı, bu snayferin operatorları məlumatı təcavüzkarlar tərəfindən idarə olunan qapılara göndərən tam hüquqlu saxta ödəniş formalarının tətbiqindən də istifadə edirlər.
Bu snayferin operatorları tərəfindən istifadə edilən şəbəkə infrastrukturu təhlil edilərkən çoxlu sayda zərərli skriptlər, istismarlar, saxta ödəniş formaları, həmçinin zərərli sniffer rəqibləri ilə nümunələr toplusu qeyd edilib. Qrupun istifadə etdiyi domen adlarının yaranma tarixləri ilə bağlı məlumatlara əsasən, ehtimal etmək olar ki, kampaniyanın başlaması 2016-cı ilin sonuna təsadüf edir.
Illum onlayn mağazanın kodunda necə tətbiq olunur
Snifferin ilk aşkar edilmiş versiyaları birbaşa təhlükəyə məruz qalmış saytın koduna daxil edilmişdir. Oğurlanan məlumatlar ünvanına göndərildi cdn.illum[.]pw/records.php, darvaza istifadə edərək kodlanmışdır base64.
Daha sonra fərqli bir qapıdan istifadə edərək snayferin paketlənmiş versiyası aşkar edildi - records.nstatistics[.]com/records.php.
Uyğun olaraq Willem de Groot, eyni ev sahibinin istifadə edildiyi sniffer üzərində tətbiq edildi , Alman siyasi partiyası CSU-ya məxsusdur.
Hücum saytının təhlili
Group-IB mütəxəssisləri bu cinayətkar qrupun alətləri saxlamaq və oğurlanmış məlumatları toplamaq üçün istifadə etdiyi saytı aşkar edərək təhlil ediblər.
Təcavüzkarın serverində tapılan alətlər arasında Linux ƏS-də imtiyazların artırılması üçün skriptlər və istismarlar tapılıb: məsələn, Mike Czumak tərəfindən hazırlanmış Linux Privilege Escalation Check Script, həmçinin CVE-2009-1185 üçün eksploit.
Təcavüzkarlar onlayn mağazalara hücum etmək üçün birbaşa iki istismardan istifadə ediblər: zərərli kodu daxil edə bilir core_config_data CVE-2016-4010-dan istifadə etməklə, Magento CMS plaginlərində RCE zəifliyindən istifadə edərək, həssas veb serverdə ixtiyari kodun icrasına imkan verir.
Həmçinin, serverin təhlili zamanı hücumçuların sındırılmış saytlardan ödəniş məlumatlarını toplamaq üçün istifadə etdikləri müxtəlif sniffer nümunələri və saxta ödəniş formaları aşkar edilib. Aşağıdakı siyahıdan gördüyünüz kimi, bəzi skriptlər sındırılmış hər bir sayt üçün fərdi olaraq yaradılmışdır, eyni zamanda müəyyən CMS və ödəniş şlüzləri üçün universal həll yolu istifadə edilmişdir. Məsələn, skriptlər segapay_standard.js и segapay_onpage.js Sage Pay ödəniş şlüzindən istifadə edərək saytlara daxil olmaq üçün nəzərdə tutulmuşdur.
Müxtəlif ödəniş şlüzləri üçün skriptlərin siyahısı
| Skript | Ödəniş Gateway |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdirenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standard.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standard.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?ödəniş= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?ödəniş= |
| [.]pw/magento/payment_forminsite.js | //paymentnow[.]tk/?payment= |
Ev sahibi paymentnow[.]tk, bir yazıda qapı kimi istifadə olunur payment_forminsite.js, kimi aşkar edilmişdir SubjectAltName CloudFlare xidməti ilə bağlı bir neçə sertifikatda. Bundan əlavə, skript hostda yerləşirdi evil.js. Skriptin adına əsasən, ondan CVE-2016-4010-dan istifadənin bir hissəsi kimi istifadə oluna bilərdi, bunun sayəsində Magento CMS ilə işləyən saytın altbilgisinə zərərli kodu yeritmək mümkündür. Bu skript ev sahibini qapı kimi istifadə edirdi request.requestnet[.]tk, host ilə eyni sertifikatdan istifadə etməklə paymentnow[.]tk.
Saxta ödəniş formaları
Aşağıdakı şəkildə kart məlumatlarını daxil etmək üçün bir forma nümunəsi göstərilir. Bu forma onlayn mağaza vebsaytına sızmaq və kart məlumatlarını oğurlamaq üçün istifadə edilib.
Aşağıdakı rəqəm təcavüzkarlar tərəfindən bu ödəniş metodundan istifadə edərək saytlara sızmaq üçün istifadə edilən saxta PayPal ödəniş formasının nümunəsidir.
İnfrastruktur
| Domain Adı | Tapılma/görünüş tarixi |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| request.payrightnow.cf | 25/05/2018 |
| paymentnow.tk | 16/07/2017 |
| payment-line.tk | 01/03/2018 |
| paymentpal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
CoffeeMokko ailəsi
Onlayn mağaza istifadəçilərinin bank kartlarını oğurlamaq üçün nəzərdə tutulmuş CoffeMokko snayferlər ailəsi ən azı 2017-ci ilin may ayından istifadə olunur. Ehtimallara görə, 1-cı ildə RiskIQ ekspertləri tərəfindən təsvir edilən 2016-ci qrup cinayətkar qrup bu snayperlər ailəsinin operatorudur. Magento, OpenCart, WordPress, osCommerce, Shopify kimi CMS ilə işləyən veb-saytlar hücuma məruz qalıb.
CoffeMokko onlayn mağazanın koduna necə daxil edilmişdir
Bu ailənin operatorları hər infeksiya üçün unikal snifferlər yaradırlar: sniffer faylı kataloqda yerləşir. src və ya js təcavüzkarın serverində. Sayt koduna tətbiq snayferə birbaşa keçid vasitəsilə həyata keçirilir.
Sniffer kodu məlumat oğurlamaq istədiyiniz forma sahələrinin adlarını sərt şəkildə kodlayır. Sniffer həmçinin istifadəçinin cari ünvanına qarşı açar sözlər siyahısını yoxlayaraq, istifadəçinin yoxlama səhifəsində olub-olmadığını yoxlayır.
Snayferin bəzi aşkar edilmiş versiyaları gizlədilib və əsas resurslar massivini saxlayan şifrələnmiş sətirdən ibarət olub: o, müxtəlif ödəniş sistemləri üçün forma sahələrinin adlarını, həmçinin oğurlanmış məlumatların göndərilməli olduğu qapının ünvanını ehtiva edir.
Oğurlanmış ödəniş məlumatı yol boyu təcavüzkarların serverindəki skriptə göndərilib. /savePayment/index.php və ya /tr/index.php. Ehtimal ki, bu skript bütün snayferlərdən məlumatları birləşdirən əsas serverə məlumatların ötürülməsi üçün istifadə olunur. Göndərilən məlumatları gizlətmək üçün qurbanın bütün ödəniş məlumatları istifadə edərək kodlanır base64və sonra bir neçə simvol əvəzlənməsi baş verir:
- "e" simvolu ":" ilə əvəz edilmişdir.
- "w" simvolu "+" ilə əvəz edilmişdir
- "o" simvolu "%" ilə əvəz edilmişdir
- "d" simvolu "#" ilə əvəz olunur
- "a" simvolu "-" ilə əvəz edilmişdir
- "7" simvolu "^" ilə əvəz edilmişdir
- "h" simvolu "_" ilə əvəz edilmişdir
- "T" simvolu "@" ilə əvəz edilmişdir
- "0" simvolu "/" ilə əvəz olunur
- "Y" simvolu "*" ilə əvəz olunur
ilə kodlanmış simvol əvəzləmələri nəticəsində base64 məlumatlar tərs çevrilmədən deşifrə edilə bilməz.
Sniffer kodunun çaşdırılmamış fraqmenti belə görünür:
İnfrastruktur Təhlili
İlkin kampaniyalarda təcavüzkarlar qanuni onlayn alış-veriş saytlarına oxşar domen adlarını qeydiyyatdan keçirdilər. Onların domeni qanuni olandan bir simvol və ya digər TLD ilə fərqlənə bilər. Qeydiyyatdan keçmiş domenlər sniffer kodunu saxlamaq üçün istifadə edilmişdir, linki mağaza koduna daxil edilmişdir.
Bu qrup həmçinin məşhur jQuery plaginlərini xatırladan domen adlarından istifadə edirdi (slickjs[.]org plaqindən istifadə edən saytlar üçün slick.js), ödəniş şlüzləri (sagecdn[.]org Sage Pay ödəniş sistemindən istifadə edən saytlar üçün).
Daha sonra qrup adlarının nə mağazanın domeni, nə də mağazanın mövzusu ilə heç bir əlaqəsi olmayan domenlər yaratmağa başladı.
Hər bir domen kataloqun yaradıldığı sayta uyğun gəlirdi /js və ya / src. Sniffer skriptləri bu kataloqda saxlanılırdı: hər yeni infeksiya üçün bir sniffer. Snayfer sayt koduna birbaşa keçid vasitəsilə daxil edilib, lakin nadir hallarda təcavüzkarlar saytın fayllarından birini dəyişdirərək ona zərərli kod əlavə ediblər.
Kod təhlili
Birinci çaşqınlıq alqoritmi
Bu ailənin bəzi sniffer nümunələrində kod gizlədilib və snayferin işləməsi üçün zəruri olan şifrələnmiş məlumatları ehtiva edir: xüsusilə, snayferin qapısı ünvanı, ödəniş forması sahələrinin siyahısı və bəzi hallarda saxta ödəniş forması kodu. Funksiya daxilindəki kodda resurslar şifrlənmişdir XOR eyni funksiyaya arqument kimi ötürülən açarla.
Hər bir nümunə üçün unikal olan müvafiq açarla sətri deşifrə etməklə siz ayırıcı simvolla ayrılmış sniffer kodundan bütün sətirləri ehtiva edən sətir əldə edə bilərsiniz.
İkinci çaşqınlıq alqoritmi
Bu qoxuçular ailəsinin sonrakı nümunələrində fərqli çaşqınlıq mexanizmindən istifadə edilib: bu halda məlumatlar öz-özünə yazılmış alqoritmdən istifadə etməklə şifrələnib. Snayferin işləməsi üçün tələb olunan şifrələnmiş məlumatları ehtiva edən sətir şifrənin açılması funksiyasına arqument kimi ötürüldü.
Brauzer konsolundan istifadə edərək, şifrələnmiş məlumatların şifrəsini çıxara və sniffer resurslarını ehtiva edən massiv əldə edə bilərsiniz.
Erkən MageCart hücumlarına keçid
Qrupun oğurlanmış məlumatların toplanması üçün qapı kimi istifadə etdiyi domenlərdən birinin təhlili zamanı məlum olub ki, kredit kartlarının oğurlanması üçün infrastruktur bu domendə yerləşdirilib, ilk qruplardan biri olan Qrup 1-in istifadə etdiyi ilə eynidir. RiskIQ mütəxəssisləri.
CoffeMokko sniffer ailəsinin sahibinin üzərində iki fayl tapıldı:
- mage.js — darvaza ünvanı ilə 1-ci qrup sniffer kodunu ehtiva edən fayl js-cdn.link
- mag.php - Snayfer tərəfindən oğurlanmış məlumatların toplanmasına cavabdeh olan PHP skripti
mage.js faylının məzmunu
CoffeMokko sniffer ailəsinin arxasındakı qrup tərəfindən istifadə edilən ən erkən domenlərin 17 may 2017-ci ildə qeydə alındığı da müəyyən edilmişdir:
- link-js[.]link
- info-js[.]link
- track-js[.]link
- map-js[.]link
- smart-js[.]link
Bu domen adlarının formatı 1-cı il hücumlarında istifadə edilən 2016-ci Qrup domen adları ilə eynidir.
Aşkar edilmiş faktlara əsasən, güman etmək olar ki, CoffeMokko snayfer operatorları ilə 1-ci qrup cinayətkar qrup arasında əlaqə var. Güman ki, CoffeMokko operatorları sələflərindən kartları oğurlamaq üçün alətlər və proqram təminatı götürmüş ola bilərlər. Bununla belə, CoffeMokko ailəsinin snayperlərindən istifadə edən cinayətkar qrupun 1-ci qrup fəaliyyətləri çərçivəsində hücumları həyata keçirən eyni şəxslər olması ehtimalı daha yüksəkdir.Cinayətkar qrupun fəaliyyəti ilə bağlı ilk hesabat dərc edildikdən sonra onların bütün domen adları bloklanmış, alətlər ətraflı öyrənilmiş və təsvir edilmişdir. Qrup hücumlarını davam etdirmək və diqqətdən kənarda qalmaq üçün fasilə verməyə, daxili alətlərini tənzimləməyə və sniffer kodunu yenidən yazmağa məcbur olub.
İnfrastruktur
| Domain Adı | Tapılma/görünüş tarixi |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| təhlükəsizlik-ödəniş.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parks.su | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffetea.org | 31.01.2018 |
| Energycoffe.org | 31.01.2018 |
| Energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| authorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitness.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
Mənbə: www.habr.com