Четири JavaScript снифера, които ви чакат в онлайн магазините

Почти всеки от нас използва услугите на онлайн магазини, което означава, че рано или късно рискуваме да станем жертва на JavaScript sniffers - специален код, който атакуващите инжектират в уебсайт, за да откраднат данни за банкови карти, адреси, потребителски имена и пароли .

Близо 400 000 потребители на уебсайта и мобилното приложение на British Airways вече са били засегнати от снифъри, както и посетителите на уебсайта на британския спортен гигант FILA и американския дистрибутор на билети Ticketmaster. PayPal, Chase Paymenttech, USAePay, Moneris - тези и много други платежни системи са били заразени.

Анализаторът на Threat Intelligence Group-IB Виктор Окороков говори за това как снифърите проникват в кода на уебсайта и крадат информация за плащане, както и кои CRM атакуват.

"скрита заплаха"

Случи се така, че дълго време JS-снифърите останаха извън полезрението на антивирусните анализатори, а банките и платежните системи не ги видяха като сериозна заплаха. И абсолютно напразно. Експерти на Group-IB анализирани 2440 заразени онлайн магазина, чиито посетители - общо около 1,5 милиона души на ден - бяха изложени на риск от компрометиране. Сред жертвите са не само потребители, но и онлайн магазини, платежни системи и банки, издали компрометирани карти.

Доклад Group-IB стана първото проучване на пазара на даркнет на снифъри, тяхната инфраструктура и начини за монетизация, носейки на създателите им милиони долари. Ние идентифицирахме 38 семейства снифери, от които само 12 бяха известни преди това на изследователите.

Нека се спрем подробно на четирите семейства снифери, изследвани в хода на изследването.

Семейство ReactGet

Сниферите от семейството ReactGet се използват за кражба на данни от банкови карти в сайтове за онлайн пазаруване. Снифърът може да работи с голям брой различни платежни системи, използвани на сайта: една стойност на параметъра съответства на една платежна система и отделни открити версии на снифъра могат да се използват за кражба на идентификационни данни, както и за кражба на данни от банкови карти от платежни форми на няколко платежни системи наведнъж, като така наречения универсален снифър. Установено е, че в някои случаи нападателите извършват фишинг атаки срещу администратори на онлайн магазини, за да получат достъп до административния панел на сайта.

Кампанията, използваща това семейство снифъри, започна през май 2017 г. Сайтове, работещи с CMS и платформи Magento, Bigcommerce, Shopify, бяха атакувани.

Как ReactGet се вгражда в кода на онлайн магазин

В допълнение към „класическото“ инжектиране на скрипт чрез връзка, операторите за снифър на семейството ReactGet използват специална техника: използвайки JavaScript код, той проверява дали текущият адрес, на който се намира потребителят, отговаря на определени критерии. Зловреден код ще се изпълнява само ако текущият URL адрес съдържа подниз Поръчка или проверка на една стъпка, една страница/, out/onepag, каса/един, ckout/един. По този начин снифър кодът ще бъде изпълнен точно в момента, в който потребителят премине към плащане за покупки и въведе информация за плащане във формуляра на сайта.

Този снифър използва нестандартна техника. Плащането и личните данни на жертвата се събират заедно, кодирани с помощта на base64, а след това полученият низ се използва като параметър за изпращане на заявка до злонамерения сайт. Най-често пътят до портала имитира например JavaScript файл съотв.js, data.js и т.н., но се използват и връзки към файлове с изображения, GIF и JPG. Особеността е, че снифърът създава обект на изображение с размер 1 на 1 пиксел и използва предварително получената връзка като параметър SRC Изображения. Тоест за потребителя такава заявка в трафика ще изглежда като заявка за обикновена снимка. Подобна техника е използвана в семейството на сниферите ImageID. В допълнение, техниката на изображението 1x1 пиксел се използва в много легитимни онлайн скриптове за анализ, което също може да подведе потребителя.

Анализ на версиите

Анализ на активните домейни, използвани от операторите на снифери на ReactGet, разкри много различни версии на това семейство снифери. Версиите се различават по наличието или отсъствието на обфускация и освен това всеки снифър е предназначен за конкретна платежна система, която обработва плащания с банкови карти за онлайн магазини. След сортиране на стойността на параметъра, съответстващ на номера на версията, специалистите на Group-IB получиха пълен списък на наличните варианти на снифър и по имената на полетата на формуляра, които всеки снифър търси в кода на страницата, те определиха платежните системи които снифърът цели.

Списък на снифъри и съответните им платежни системи

URL адрес на снифър	Платежна система
reactjsapi.com/react.js	Authorize.Net
ajaxstatic.com/api.js?v=2.1.1	Запазване на карти
ajaxstatic.com/api.js?v=2.1.2	Authorize.Net
ajaxstatic.com/api.js?v=2.1.3	Authorize.Net
ajaxstatic.com/api.js?v=2.1.4	eWAY Rapid
ajaxstatic.com/api.js?v=2.1.5	Authorize.Net
ajaxstatic.com/api.js?v=2.1.6	Adyen
ajaxstatic.com/api.js?v=2.1.7	USAePay
ajaxstatic.com/api.js?v=2.1.9	Authorize.Net
apitstatus.com/api.js?v=2.1.1	USAePay
apitstatus.com/api.js?v=2.1.2	Authorize.Net
apitstatus.com/api.js?v=2.1.3	Монерис
apitstatus.com/api.js?v=2.1.5	USAePay
apitstatus.com/api.js?v=2.1.6	PayPal
apitstatus.com/api.js?v=2.1.7	Sage Pay
apitstatus.com/api.js?v=2.1.8	Verisign
apitstatus.com/api.js?v=2.1.9	PayPal
apitstatus.com/api.js?v=2.3.0	Нашивка
apitstatus.com/api.js?v=3.0.2	Realex
apitstatus.com/api.js?v=3.0.3	PayPal
apitstatus.com/api.js?v=3.0.4	LinkPoint
apitstatus.com/api.js?v=3.0.5	PayPal
apitstatus.com/api.js?v=3.0.7	PayPal
apitstatus.com/api.js?v=3.0.8	datacash
apitstatus.com/api.js?v=3.0.9	PayPal
asianfoodgracer.com/footer.js	Authorize.Net
billgetstatus.com/api.js?v=1.2	Authorize.Net
billgetstatus.com/api.js?v=1.3	Authorize.Net
billgetstatus.com/api.js?v=1.4	Authorize.Net
billgetstatus.com/api.js?v=1.5	Verisign
billgetstatus.com/api.js?v=1.6	Authorize.Net
billgetstatus.com/api.js?v=1.7	Монерис
billgetstatus.com/api.js?v=1.8	Sage Pay
billgetstatus.com/api.js?v=2.0	USAePay
billgetstatus.com/react.js	Authorize.Net
cloudodesc.com/gtm.js?v=1.2	Authorize.Net
cloudodesc.com/gtm.js?v=1.3	ANZ eGate
cloudodesc.com/gtm.js?v=2.3	Authorize.Net
cloudodesc.com/gtm.js?v=2.4	Монерис
cloudodesc.com/gtm.js?v=2.6	Sage Pay
cloudodesc.com/gtm.js?v=2.7	Sage Pay
cloudodesc.com/gtm.js?v=2.8	Чейс Пейментек
cloudodesc.com/gtm.js?v=2.9	Authorize.Net
cloudodesc.com/gtm.js?v=2.91	Adyen
cloudodesc.com/gtm.js?v=2.92	PsiGate
cloudodesc.com/gtm.js?v=2.93	Киберизточник
cloudodesc.com/gtm.js?v=2.95	ANZ eGate
cloudodesc.com/gtm.js?v=2.97	Realex
geisseie.com/gs.js	USAePay
gtmproc.com/age.js	Authorize.Net
gtmproc.com/gtm.js?v=1.2	Authorize.Net
gtmproc.com/gtm.js?v=1.3	ANZ eGate
gtmproc.com/gtm.js?v=1.5	PayPal
gtmproc.com/gtm.js?v=1.6	PayPal
gtmproc.com/gtm.js?v=1.7	Realex
livecheckpay.com/api.js?v=2.0	Sage Pay
livecheckpay.com/api.js?v=2.1	PayPal
livecheckpay.com/api.js?v=2.2	Verisign
livecheckpay.com/api.js?v=2.3	Authorize.Net
livecheckpay.com/api.js?v=2.4	Verisign
livecheckpay.com/react.js	Authorize.Net
livegetpay.com/pay.js?v=2.1.2	ANZ eGate
livegetpay.com/pay.js?v=2.1.3	PayPal
livegetpay.com/pay.js?v=2.1.5	Киберизточник
livegetpay.com/pay.js?v=2.1.7	Authorize.Net
livegetpay.com/pay.js?v=2.1.8	Sage Pay
livegetpay.com/pay.js?v=2.1.9	Realex
livegetpay.com/pay.js?v=2.2.0	Киберизточник
livegetpay.com/pay.js?v=2.2.1	PayPal
livegetpay.com/pay.js?v=2.2.2	PayPal
livegetpay.com/pay.js?v=2.2.3	PayPal
livegetpay.com/pay.js?v=2.2.4	Verisign
livegetpay.com/pay.js?v=2.2.5	eWAY Rapid
livegetpay.com/pay.js?v=2.2.7	Sage Pay
livegetpay.com/pay.js?v=2.2.8	Sage Pay
livegetpay.com/pay.js?v=2.2.9	Verisign
livegetpay.com/pay.js?v=2.3.0	Authorize.Net
livegetpay.com/pay.js?v=2.3.1	Authorize.Net
livegetpay.com/pay.js?v=2.3.2	Първи глобален портал за данни
livegetpay.com/pay.js?v=2.3.3	Authorize.Net
livegetpay.com/pay.js?v=2.3.4	Authorize.Net
livegetpay.com/pay.js?v=2.3.5	Монерис
livegetpay.com/pay.js?v=2.3.6	Authorize.Net
livegetpay.com/pay.js?v=2.3.8	PayPal
livegetpay.com/pay.js?v=2.4.0	Verisign
maxstatics.com/site.js	USAePay
mediapack.info/track.js?d=funlove.com	USAePay
mediapack.info/track.js?d=qbedding.com	Authorize.Net
mediapack.info/track.js?d=vseyewear.com	Verisign
mxcounter.com/c.js?v=1.2	PayPal
mxcounter.com/c.js?v=1.3	Authorize.Net
mxcounter.com/c.js?v=1.4	Нашивка
mxcounter.com/c.js?v=1.6	Authorize.Net
mxcounter.com/c.js?v=1.7	eWAY Rapid
mxcounter.com/c.js?v=1.8	Sage Pay
mxcounter.com/c.js?v=2.0	Authorize.Net
mxcounter.com/c.js?v=2.1	Braintree
mxcounter.com/c.js?v=2.10	Braintree
mxcounter.com/c.js?v=2.2	PayPal
mxcounter.com/c.js?v=2.3	Sage Pay
mxcounter.com/c.js?v=2.31	Sage Pay
mxcounter.com/c.js?v=2.32	Authorize.Net
mxcounter.com/c.js?v=2.33	PayPal
mxcounter.com/c.js?v=2.34	Authorize.Net
mxcounter.com/c.js?v=2.35	Verisign
mxcounter.com/click.js?v=1.2	PayPal
mxcounter.com/click.js?v=1.3	Authorize.Net
mxcounter.com/click.js?v=1.4	Нашивка
mxcounter.com/click.js?v=1.6	Authorize.Net
mxcounter.com/click.js?v=1.7	eWAY Rapid
mxcounter.com/click.js?v=1.8	Sage Pay
mxcounter.com/click.js?v=2.0	Authorize.Net
mxcounter.com/click.js?v=2.1	Braintree
mxcounter.com/click.js?v=2.2	PayPal
mxcounter.com/click.js?v=2.3	Sage Pay
mxcounter.com/click.js?v=2.31	Sage Pay
mxcounter.com/click.js?v=2.32	Authorize.Net
mxcounter.com/click.js?v=2.33	PayPal
mxcounter.com/click.js?v=2.34	Authorize.Net
mxcounter.com/click.js?v=2.35	Verisign
mxcounter.com/cnt.js	Authorize.Net
mxcounter.com/j.js	Authorize.Net
newrelicnet.com/api.js?v=1.2	Authorize.Net
newrelicnet.com/api.js?v=1.4	Authorize.Net
newrelicnet.com/api.js?v=1.8	Sage Pay
newrelicnet.com/api.js?v=4.5	Sage Pay
newrelicnet.com/api.js?v=4.6	Westpac PayWay
nr-public.com/api.js?v=2.0	заплащане
nr-public.com/api.js?v=2.1	PayPal
nr-public.com/api.js?v=2.2	Authorize.Net
nr-public.com/api.js?v=2.3	Нашивка
nr-public.com/api.js?v=2.4	Първи глобален портал за данни
nr-public.com/api.js?v=2.5	PsiGate
nr-public.com/api.js?v=2.6	Authorize.Net
nr-public.com/api.js?v=2.7	Authorize.Net
nr-public.com/api.js?v=2.8	Монерис
nr-public.com/api.js?v=2.9	Authorize.Net
nr-public.com/api.js?v=3.1	Sage Pay
nr-public.com/api.js?v=3.2	Verisign
nr-public.com/api.js?v=3.3	Монерис
nr-public.com/api.js?v=3.5	PayPal
nr-public.com/api.js?v=3.6	LinkPoint
nr-public.com/api.js?v=3.7	Westpac PayWay
nr-public.com/api.js?v=3.8	Authorize.Net
nr-public.com/api.js?v=4.0	Монерис
nr-public.com/api.js?v=4.0.2	PayPal
nr-public.com/api.js?v=4.0.3	Adyen
nr-public.com/api.js?v=4.0.4	PayPal
nr-public.com/api.js?v=4.0.5	Authorize.Net
nr-public.com/api.js?v=4.0.6	USAePay
nr-public.com/api.js?v=4.0.7	EBizCharge
nr-public.com/api.js?v=4.0.8	Authorize.Net
nr-public.com/api.js?v=4.0.9	Verisign
nr-public.com/api.js?v=4.1.2	Verisign
ordercheckpays.com/api.js?v=2.11	Authorize.Net
ordercheckpays.com/api.js?v=2.12	PayPal
ordercheckpays.com/api.js?v=2.13	Монерис
ordercheckpays.com/api.js?v=2.14	Authorize.Net
ordercheckpays.com/api.js?v=2.15	PayPal
ordercheckpays.com/api.js?v=2.16	PayPal
ordercheckpays.com/api.js?v=2.17	Westpac PayWay
ordercheckpays.com/api.js?v=2.18	Authorize.Net
ordercheckpays.com/api.js?v=2.19	Authorize.Net
ordercheckpays.com/api.js?v=2.21	Sage Pay
ordercheckpays.com/api.js?v=2.22	Verisign
ordercheckpays.com/api.js?v=2.23	Authorize.Net
ordercheckpays.com/api.js?v=2.24	PayPal
ordercheckpays.com/api.js?v=2.25	заплащане
ordercheckpays.com/api.js?v=2.29	Киберизточник
ordercheckpays.com/api.js?v=2.4	PayPal PayflowPro
ordercheckpays.com/api.js?v=2.7	Authorize.Net
ordercheckpays.com/api.js?v=2.8	Authorize.Net
ordercheckpays.com/api.js?v=2.9	Verisign
ordercheckpays.com/api.js?v=3.1	Authorize.Net
ordercheckpays.com/api.js?v=3.2	Authorize.Net
ordercheckpays.com/api.js?v=3.3	Sage Pay
ordercheckpays.com/api.js?v=3.4	Authorize.Net
ordercheckpays.com/api.js?v=3.5	Нашивка
ordercheckpays.com/api.js?v=3.6	Authorize.Net
ordercheckpays.com/api.js?v=3.7	Authorize.Net
ordercheckpays.com/api.js?v=3.8	Verisign
ordercheckpays.com/api.js?v=3.9	PayPal
ordercheckpays.com/api.js?v=4.0	Authorize.Net
ordercheckpays.com/api.js?v=4.1	Authorize.Net
ordercheckpays.com/api.js?v=4.2	Sage Pay
ordercheckpays.com/api.js?v=4.3	Authorize.Net
reactjsapi.com/api.js?v=0.1.0	Authorize.Net
reactjsapi.com/api.js?v=0.1.1	PayPal
reactjsapi.com/api.js?v=4.1.2	Кремък
reactjsapi.com/api.js?v=4.1.4	PayPal
reactjsapi.com/api.js?v=4.1.5	Sage Pay
reactjsapi.com/api.js?v=4.1.51	Verisign
reactjsapi.com/api.js?v=4.1.6	Authorize.Net
reactjsapi.com/api.js?v=4.1.7	Authorize.Net
reactjsapi.com/api.js?v=4.1.8	Нашивка
reactjsapi.com/api.js?v=4.1.9	Дебела зебра
reactjsapi.com/api.js?v=4.2.0	Sage Pay
reactjsapi.com/api.js?v=4.2.1	Authorize.Net
reactjsapi.com/api.js?v=4.2.2	Първи глобален портал за данни
reactjsapi.com/api.js?v=4.2.3	Authorize.Net
reactjsapi.com/api.js?v=4.2.4	eWAY Rapid
reactjsapi.com/api.js?v=4.2.5	Adyen
reactjsapi.com/api.js?v=4.2.7	PayPal
reactjsapi.com/api.js?v=4.2.8	Търговски услуги на QuickBooks
reactjsapi.com/api.js?v=4.2.9	Verisign
reactjsapi.com/api.js?v=4.2.91	Sage Pay
reactjsapi.com/api.js?v=4.2.92	Verisign
reactjsapi.com/api.js?v=4.2.94	Authorize.Net
reactjsapi.com/api.js?v=4.3.97	Authorize.Net
reactjsapi.com/api.js?v=4.5	Sage Pay
reactjsapi.com/react.js	Authorize.Net
sydneysalonsupplies.com/gtm.js	eWAY Rapid
tagsmediaget.com/react.js	Authorize.Net
tagstracking.com/tag.js?v=2.1.2	ANZ eGate
tagstracking.com/tag.js?v=2.1.3	PayPal
tagstracking.com/tag.js?v=2.1.5	Киберизточник
tagstracking.com/tag.js?v=2.1.7	Authorize.Net
tagstracking.com/tag.js?v=2.1.8	Sage Pay
tagstracking.com/tag.js?v=2.1.9	Realex
tagstracking.com/tag.js?v=2.2.0	Киберизточник
tagstracking.com/tag.js?v=2.2.1	PayPal
tagstracking.com/tag.js?v=2.2.2	PayPal
tagstracking.com/tag.js?v=2.2.3	PayPal
tagstracking.com/tag.js?v=2.2.4	Verisign
tagstracking.com/tag.js?v=2.2.5	eWAY Rapid
tagstracking.com/tag.js?v=2.2.7	Sage Pay
tagstracking.com/tag.js?v=2.2.8	Sage Pay
tagstracking.com/tag.js?v=2.2.9	Verisign
tagstracking.com/tag.js?v=2.3.0	Authorize.Net
tagstracking.com/tag.js?v=2.3.1	Authorize.Net
tagstracking.com/tag.js?v=2.3.2	Първи глобален портал за данни
tagstracking.com/tag.js?v=2.3.3	Authorize.Net
tagstracking.com/tag.js?v=2.3.4	Authorize.Net
tagstracking.com/tag.js?v=2.3.5	Монерис
tagstracking.com/tag.js?v=2.3.6	Authorize.Net
tagstracking.com/tag.js?v=2.3.8	PayPal

Снифър за парола

Едно от предимствата на JavaScript снифърите, които работят от страна на клиента на уебсайт, е неговата гъвкавост: зловреден код, вграден в уебсайт, може да открадне всякакъв тип данни, било то информация за плащане или потребителско име и парола от потребителски акаунт. Специалистите на Group-IB откриха образец на снифър, принадлежащ към семейството ReactGet, предназначен да краде имейл адреси и пароли на потребители на сайтове.

Пресичане с ImageID снифър

По време на анализа на един от заразените магазини беше установено, че уебсайтът му е бил заразен два пъти: в допълнение към злонамерения код на фамилията снифър ReactGet, беше открит кодът на фамилията снифър ImageID. Това припокриване може да е доказателство, че операторите зад двата снифера използват подобни техники за инжектиране на зловреден код.

Универсален снифър

По време на анализа на едно от имената на домейни, свързани с инфраструктурата на снифъра на ReactGet, беше установено, че същият потребител е регистрирал три други имена на домейни. Тези три домейна имитират домейните на реални сайтове и преди това са били използвани за хостване на снифери. При анализ на кода на три легитимни сайта беше открит неизвестен снифър и допълнителен анализ показа, че това е подобрена версия на ReactGet снифър. Всички проследени преди това версии на това семейство снифери бяха насочени към една платежна система, т.е. за всяка платежна система беше необходима специална версия на снифера. В този случай обаче беше открита универсална версия на снифъра, способна да краде информация от формуляри, свързани с 15 различни платежни системи и модули на сайтове за електронна търговия за онлайн плащания.

И така, в началото на работата снифърът търси основни полета на формуляра, съдържащи личната информация на жертвата: пълно име, физически адрес, телефонен номер.

След това снифърът претърси над 15 различни префикса, съответстващи на различни платежни системи и модули за онлайн плащания.

След това личните данни на жертвата и информацията за плащане бяха събрани заедно и изпратени до сайт, контролиран от нападателя: в този конкретен случай бяха открити две версии на универсалния снифър ReactGet, разположени на два различни хакнати сайта. И двете версии обаче изпратиха откраднатите данни на един и същ хакнат сайт. zoobashop.com.

Анализът на префиксите, използвани от снифъра за намиране на полета, съдържащи информация за плащане на жертвата, установи, че този снифър извадка е насочен към следните платежни системи:

• Authorize.Net
• Verisign
• Първи данни
• USAePay
• Нашивка
• PayPal
• ANZ eGate
• Braintree
• Data Cash (MasterCard)
• Realex плащания
• PsiGate
• Платежни системи на сърцевината

Какви инструменти се използват за кражба на информация за плащане

Първият инструмент, открит по време на анализа на инфраструктурата на нападателите, служи за объркване на злонамерени скриптове, отговорни за кражба на банкови карти. Bash скрипт, използващ CLI на проекта, беше намерен на един от хостовете на нападателите. javascript-обфускатор за автоматизиране на обфускацията на снифър код.

Вторият открит инструмент е предназначен да генерира кода, отговорен за зареждането на основния снифър. Този инструмент генерира JavaScript код, който проверява дали потребителят е на страницата за плащане, като търси в текущия адрес на потребителя низовете Поръчка, количка и така нататък и ако резултатът е положителен, тогава кодът зарежда основния снифър от сървъра на нарушителя. За да се скрие злонамерената дейност, всички редове, включително тестовите редове за определяне на страницата за плащане, както и връзката към снифера, са кодирани с base64.

Фишинг атаки

При анализа на мрежовата инфраструктура на нападателите е установено, че престъпната група често използва фишинг, за да получи достъп до административния панел на целевия онлайн магазин. Нападателите регистрират домейн, който изглежда като домейн на магазин, и след това разполагат върху него фалшив формуляр за администраторско влизане в Magento. Ако успеят, нападателите ще получат достъп до административния панел на Magento CMS, който им дава възможност да редактират компоненти на сайта и да внедрят снифър за кражба на данни от кредитни карти.

Инфраструктура

Име на домейна	Дата на откриване/поява
mediapack.info	04.05.2017
adsgetapi.com	15.06.2017
simcounter.com	14.08.2017
mageanalytics.com	22.12.2017
maxstatics.com	16.01.2018
reactjsapi.com	19.01.2018
mxcounter.com	02.02.2018
apitstatus.com	01.03.2018
orderracker.com	20.04.2018
tagtracking.com	25.06.2018
adsapigate.com	12.07.2018
trusttracker.com	15.07.2018
fbstatspartner.com	02.10.2018
billgetstatus.com	12.10.2018
www.aldenmlilhouse.com	20.10.2018
balletbeautlful.com	20.10.2018
bargalnjunkie.com	20.10.2018
payselector.com	21.10.2018
tagsmediaget.com	02.11.2018
hs-payments.com	16.11.2018
ordercheckpays.com	19.11.2018
geisseie.com	24.11.2018
gtmproc.com	29.11.2018
livegetpay.com	18.12.2018
sydneysalonsupplies.com	18.12.2018
newrelicnet.com	19.12.2018
nr-public.com	03.01.2019
cloudodesc.com	04.01.2019
ajaxstatic.com	11.01.2019
livecheckpay.com	21.01.2019
asianfoodgracer.com	25.01.2019

Семейство G-Analytics

Това семейство снифери се използва за кражба на клиентски карти от онлайн магазини. Първото име на домейн, използвано от групата, е регистрирано през април 2016 г., което може да означава началото на дейността на групата в средата на 2016 г.

В текущата кампания групата използва имена на домейни, които имитират реални услуги като Google Analytics и jQuery, маскирайки дейността на снифър с легитимни скриптове и легитимно изглеждащи имена на домейни. Атакувани са уебсайтове, работещи под CMS Magento.

Как G-Analytics е внедрен в кода на онлайн магазина

Отличителна черта на това семейство е използването на различни методи за кражба на потребителска информация за плащане. В допълнение към класическото инжектиране на JavaScript в клиентската част на сайта, престъпната група е използвала и техниката за инжектиране на код в сървърната страна на сайта, а именно PHP скриптове, които обработват въведеното от потребителя. Тази техника е опасна с това, че затруднява откриването на зловреден код за изследователи от трети страни. Специалистите на Group-IB откриха версия на снифъра, вграден в PHP кода на сайта, използвайки домейна като врата dittm.org.

Беше открита и ранна версия на снифър, който използва същия домейн за събиране на откраднати данни. dittm.org, но тази версия е предназначена за инсталиране от клиентската страна на онлайн магазина.

По-късно групата промени тактиката си и започна да обръща повече внимание на прикриването на злонамерена дейност и маскировката.

В началото на 2017 г. групата започна да използва домейна jquery-js.comмаскиран като CDN за jQuery: пренасочва потребителя към легитимен сайт, когато отива на злонамерен сайт jquery.com.

И в средата на 2018 г. групата прие име на домейн g-analytics.com и започна да прикрива дейността на снифъра като законна услуга на Google Анализ.

Анализ на версиите

По време на анализа на домейните, използвани за съхраняване на снифър кода, беше установено, че сайтът има голям брой версии, които се различават по наличието на обфускация, както и по наличието или липсата на недостъпен код, добавен към файла, за да отвлече вниманието и скриване на зловреден код.

Общо на сайта jquery-js.com бяха идентифицирани шест версии на снифери. Тези снифери изпращат откраднатите данни на адрес, разположен на същия сайт като самия снифър: hxxps://jquery-js[.]com/latest/jquery.min.js:

• hxxps://jquery-js[.]com/jquery.min.js
• hxxps://jquery-js[.]com/jquery.2.2.4.min.js
• hxxps://jquery-js[.]com/jquery.1.8.3.min.js
• hxxps://jquery-js[.]com/jquery.1.6.4.min.js
• hxxps://jquery-js[.]com/jquery.1.4.4.min.js
• hxxps://jquery-js[.]com/jquery.1.12.4.min.js

По-късен домейн g-analytics.com, използван от групата при атаки от средата на 2018 г., служи като хранилище за повече снифери. Бяха открити общо 16 различни версии на снифъра. В този случай вратата за изпращане на откраднатите данни беше маскирана като връзка към изображение във формат GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:

• hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
• hxxps://g-analytics[.]com/libs/analytics.js

Монетизиране на откраднати данни

Престъпната група монетизира откраднатите данни чрез продажба на карти чрез специално създаден подземен магазин, който обслужва картодържатели. Анализът на домейните, използвани от нападателите, позволи да се установи това google-analytics.cm е регистриран от същия потребител като домейна cardz.vc. Домейн cardz.vc се отнася за Cardsurfs (Flysurfs), магазин за продажба на откраднати банкови карти, който придоби популярност по време на подземния пазар AlphaBay като магазин, продаващ банкови карти, откраднати с помощта на снифър.

Анализиране на домейна аналитичен.е, разположен на същия сървър като домейните, използвани от снифъри за събиране на откраднати данни, специалистите на Group-IB откриха файл, съдържащ регистрационни файлове на крадец на бисквитки, който, изглежда, по-късно е изоставен от разработчика. Един от записите в дневника съдържа домейн iozoz.com, който преди това е бил използван в един от снифърите, активни през 2016 г. Предполага се, че този домейн преди е бил използван от нападател за събиране на карти, откраднати с помощта на снифър. Този домейн е регистриран на имейл адрес [имейл защитен], който се използва и за регистриране на домейни cardz.su и cardz.vcсвързани с магазина за кардиране Cardsurfs.

Въз основа на получените данни може да се предположи, че семейството на снифърите G-Analytics и подземният магазин за банкови карти Cardsurfs се управляват от едни и същи хора и магазинът се използва за продажба на банкови карти, откраднати с помощта на снифър.

Инфраструктура

Име на домейна	Дата на откриване/поява
iozoz.com	08.04.2016
dittm.org	10.09.2016
jquery-js.com	02.01.2017
g-analytics.com	31.05.2018
google-analytics.is	21.11.2018
аналитичен.към	04.12.2018
google-analytics.to	06.12.2018
google-analytics.cm	28.12.2018
аналитичен.е	28.12.2018
googlelc-analytics.cm	17.01.2019

Семейство Илум

Illum е семейство снифери, използвани за атака на онлайн магазини, работещи с Magento CMS. В допълнение към въвеждането на злонамерен код, операторите на този снифър също използват въвеждането на пълноценни фалшиви форми за плащане, които изпращат данни до порти, контролирани от нападатели.

При анализа на мрежовата инфраструктура, използвана от операторите на този снифър, бяха отбелязани голям брой злонамерени скриптове, експлойти, фалшиви форми за плащане, както и колекция от примери със злонамерени конкуренти на снифър. Въз основа на информацията за датите на появяване на имената на домейни, използвани от групата, може да се предположи, че началото на кампанията пада в края на 2016 г.

Как Illum се внедрява в кода на онлайн магазин

Първите открити версии на снифера бяха вградени директно в кода на компрометирания сайт. Откраднатите данни бяха изпратени на cdn.illum[.]pw/records.php, портата беше кодирана с помощта на base64.

По-късно беше открита пакетирана версия на снифера, използваща различен порт - records.nstatistics[.]com/records.php.

Според доклад Willem de Groot, същият хост беше използван в снифера, който беше внедрен уебсайт на магазина, собственост на германската политическа партия CSU.

Анализ на сайта за атака

Специалисти на Group-IB откриха и анализираха сайта, използван от тази престъпна група за съхранение на инструменти и събиране на крадена информация.

Сред инструментите, открити на сървъра на атакуващия, бяха открити скриптове и експлойти за ескалация на привилегии в Linux OS: например Linux Privilege Escalation Check Script, разработен от Майк Чумак, както и експлойт за CVE-2009-1185.

Нападателите са използвали два експлойта, за да атакуват директно онлайн магазини: первый способни да инжектират зловреден код в core_config_data чрез използване на CVE-2016-4010, втори използва RCE уязвимост в Magento CMS добавки, позволявайки произволен код да бъде изпълнен на уязвим уеб сървър.

Също така по време на анализа на сървъра бяха открити различни образци на снифери и фалшиви формуляри за плащане, използвани от нападателите за събиране на информация за плащане от хакнати сайтове. Както можете да видите от списъка по-долу, някои скриптове са създадени индивидуално за всеки хакнат сайт, докато е използвано универсално решение за определени CMS и шлюзове за плащане. Например скриптове segapay_standard.js и segapay_onpage.js предназначени за вграждане в сайтове, използващи шлюза за плащане Sage Pay.

Списък със скриптове за различни шлюзове за плащане

Скрипт	Вход за плащане
sr.illum[.]pw/mjs_special/visiondirect.co.uk.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/topdirenshop.nl.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/tiendalenovo.es.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/pro-bolt.com.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/plae.co.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/ottolenghi.co.uk.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/oldtimecandy.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/mylook.ee.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs_special/luluandsky.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/julep.com.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs_special/gymcompany.es.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/grotekadoshop.nl.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/fushi.co.uk.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/fareastflora.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/compuindia.com.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs/segapay_standart.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/segapay_onpage.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/replace_standard.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs/all_inputs.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/add_inputs_standart.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/magento/payment_standard.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/magento/payment_redirect.js	//payrightnow[.]cf/?payment=
sr.illum[.]pw/magento/payment_redcrypt.js	//payrightnow[.]cf/?payment=
sr.illum[.]pw/magento/payment_forminsite.js	//paymentnow[.]tk/?payment=

Водещ плащане сега[.]tk, използван като порта в скрипт payment_forminsite.js, беше открит като subjectAltName в няколко сертификата, свързани с услугата CloudFlare. Освен това скриптът се намираше на хоста evil.js. Съдейки по името на скрипта, той може да е бил използван като част от експлоатацията на CVE-2016-4010, благодарение на който можете да инжектирате зловреден код в долния колонтитул на сайт, работещ с Magento CMS. Този скрипт използва хоста като порта request.requestnet[.]tk, използвайки същия сертификат като хоста плащане сега[.]tk.

Фалшиви формуляри за плащане

Фигурата по-долу показва примерен формуляр за въвеждане на данни от картата. Този формуляр е използван за проникване в уебсайт на онлайн магазин и кражба на данни за карта.

Следващата фигура е пример за фалшив платежен формуляр на PayPal, който е бил използван от нападатели за проникване в сайтове, използващи този метод на плащане.

Инфраструктура

Име на домейна	Дата на откриване/поява
cdn.illum.pw	27/11/2016
records.nstatistics.com	06/09/2018
request.payrightnow.cf	25/05/2018
плащане сега.tk	16/07/2017
payment-line.tk	01/03/2018
paymentpal.cf	04/09/2017
requestnet.tk	28/06/2017

Семейство CoffeeMokko

Семейството от снифери CoffeMokko, предназначено да краде банкови карти на потребители на онлайн магазини, се използва поне от май 2017 г. Предполага се, че операторите на това семейство снифъри са престъпната група от група 1, описана от експертите на RiskIQ през 2016 г. Атакувани са уебсайтове, работещи с CMS като Magento, OpenCart, WordPress, osCommerce, Shopify.

Как CoffeMokko се вгражда в кода на онлайн магазин

Операторите от това семейство създават уникални снифери за всяка инфекция: снифър файлът се намира в директорията SRC или js на сървъра на нападателя. Имплементирането в кода на сайта се извършва чрез директна връзка към снифъра.

Кодът за снифър кодира твърдо имената на полетата на формуляра, от които искате да откраднете данни. Снифърът също проверява дали потребителят е на страницата за плащане, като проверява списъка с ключови думи спрямо текущия адрес на потребителя.

Някои открити версии на снифера бяха обфусцирани и съдържаха криптиран низ, който съхраняваше основния масив от ресурси: той съдържаше имената на полета на формуляри за различни платежни системи, както и адреса на портала, до който трябва да бъдат изпратени откраднатите данни.

Откраднатата информация за плащане е изпратена до скрипт на сървъра на нападателите по пътя. /savePayment/index.php или /tr/index.php. Предполага се, че този скрипт се използва за изпращане на данни от портала към главния сървър, който консолидира данните от всички снифери. За да се скрият предадените данни, цялата информация за плащане на жертвата се кодира с помощта на base64и след това се случват няколко замествания на знаци:

• знакът "e" се заменя с ":"
• символът "w" се заменя с "+"
• знакът "o" се заменя с "%"
• знакът "d" се заменя с "#"
• знакът "а" се заменя с "-"
• символът "7" се заменя с "^"
• знакът "h" се заменя с "_"
• символът "T" се заменя с "@"
• символът "0" се заменя с "/"
• символът "Y" се заменя с "*"

В резултат на замествания на знаци, кодирани с base64 данните не могат да бъдат декодирани без обратна трансформация.

Ето как изглежда фрагмент от снифър кода, който не е обфусциран:

Анализ на инфраструктурата

В ранните кампании нападателите са регистрирали имена на домейни, подобни на тези на законни сайтове за онлайн пазаруване. Техният домейн може да се различава от легитимния с един символ или друг TLD. Регистрираните домейни бяха използвани за съхраняване на снифър кода, връзката към който беше вградена в кода на магазина.

Тази група също използва имена на домейни, напомнящи популярни jQuery добавки (slickjs[.]org за сайтове, използващи плъгина slick.js), шлюзове за плащане (sagecdn[.]org за сайтове, използващи платежната система Sage Pay).

По-късно групата започва да създава домейни, чието име няма нищо общо нито с домейна на магазина, нито с темата на магазина.

Всеки домейн съответства на сайта, на който е създадена директорията /js или /src. Скриптовете за снифер се съхраняват в тази директория: един снифър за всяка нова инфекция. Снифърът е въведен в кода на сайта чрез директна връзка, но в редки случаи нападателите променят един от файловете на сайта и добавят зловреден код към него.

Анализ на кода

Първи алгоритъм за обфускация

В някои образци на снифери от тази фамилия кодът беше обфусциран и съдържаше криптирани данни, необходими за работата на снифера: по-специално адрес на входа на снифера, списък с полета на формуляра за плащане и в някои случаи фалшив код на формуляр за плащане. В кода във функцията ресурсите са криптирани с XOR от ключа, който е предаден като аргумент на същата функция.

Чрез декриптиране на низа със съответния ключ, уникален за всяка проба, можете да получите низ, съдържащ всички редове от кода на снифъра, разделени с разделителен знак.

Втори алгоритъм за обфускация

В по-късните образци на това семейство снифери беше използван различен механизъм за обфускация: в този случай данните бяха криптирани с помощта на самонаписан алгоритъм. Низ, съдържащ криптирани данни, необходими за работата на снифера, беше предаден като аргумент на функцията за дешифриране.

С помощта на конзолата на браузъра можете да декриптирате криптираните данни и да получите масив, съдържащ ресурсите на снифера.

Връзка към ранните атаки на MageCart

При анализ на един от домейните, използвани от групата като врата за събиране на откраднати данни, беше установено, че инфраструктурата за кражба на кредитни карти е била разположена на този домейн, идентична с тази, използвана от Група 1, една от първите групи, открити Специалисти по RiskIQ.

Бяха открити два файла на хоста на фамилията снифъри CoffeMokko:

• mage.js — файл, съдържащ снифър код от група 1 с адрес на вратата js-cdn.link
• маг.php - PHP скрипт, отговорен за събирането на данните, откраднати от снифъра

Съдържанието на файла mage.js
Установено е също, че най-ранните домейни, използвани от групата зад семейството на снифърите CoffeMokko, са регистрирани на 17 май 2017 г.:

• връзка-js[.]връзка
• информация-js[.]връзка
• track-js[.]връзка
• map-js[.]връзка
• smart-js[.]връзка

Форматът на тези имена на домейни е същият като имената на домейни от група 1, използвани при атаките през 2016 г.

Въз основа на откритите факти може да се предположи, че има връзка между снифър операторите CoffeMokko и престъпната група 1. Предполага се, че операторите на CoffeMokko може да са взели назаем инструменти и софтуер за кражба на карти от своите предшественици. По-вероятно е обаче престъпната група зад използването на фамилните снифъри на CoffeMokko да са същите хора, извършили атаките като част от дейностите на Група 1. След публикуването на първия доклад за дейността на престъпната група, всичките им имената на домейни бяха блокирани, а инструментите бяха подробно проучени и описани. Групата беше принудена да си вземе почивка, да прецизира вътрешните си инструменти и да пренапише кода на снифъра, за да продължи атаките си и да остане незабелязана.

Инфраструктура

Име на домейна	Дата на откриване/поява
връзка-js.линк	17.05.2017
info-js.link	17.05.2017
track-js.link	17.05.2017
map-js.link	17.05.2017
smart-js.link	17.05.2017
adorebeauty.org	03.09.2017
security-payment.su	03.09.2017
braincdn.org	04.09.2017
sagecdn.org	04.09.2017
slickjs.org	04.09.2017
oakandfort.org	10.09.2017
citywlnery.org	15.09.2017
dobell.su	04.10.2017
childrensplayclothing.org	31.10.2017
jewsondirect.com	05.11.2017
shop-rnib.org	15.11.2017
closetlondon.org	16.11.2017
misshaus.org	28.11.2017
battery-force.org	01.12.2017
kik-vape.org	01.12.2017
greatfurnituretradingco.org	02.12.2017
etradesupply.org	04.12.2017
replacemyremote.org	04.12.2017
all-about-sneakers.org	05.12.2017
mage-checkout.org	05.12.2017
nililotan.org	07.12.2017
lamoodbighat.net	08.12.2017
walletgear.org	10.12.2017
dahlie.org	12.12.2017
davidsfootwear.org	20.12.2017
blackriverimaging.org	23.12.2017
exrpesso.org	02.01.2018
parks.su	09.01.2018
pmtonline.su	12.01.2018
otocap.org	15.01.2018
christohperward.org	27.01.2018
coffetea.org	31.01.2018
energycoffe.org	31.01.2018
energytea.org	31.01.2018
teacoffe.net	31.01.2018
adaptivecss.org	01.03.2018
coffemokko.com	01.03.2018
londontea.net	01.03.2018
ukcoffe.com	01.03.2018
labbe.biz	20.03.2018
batterynart.com	03.04.2018
btosports.net	09.04.2018
chicksaddlery.net	16.04.2018
paypaypay.org	11.05.2018
ar500arnor.com	26.05.2018
authorizecdn.com	28.05.2018
slickmin.com	28.05.2018
bannerbuzz.info	03.06.2018
kandypens.net	08.06.2018
mylrendyphone.com	15.06.2018
freshchat.info	01.07.2018
3lift.org	02.07.2018
abtasty.net	02.07.2018
mechat.info	02.07.2018
zoplm.com	02.07.2018
zapaljs.com	02.09.2018
foodandcot.com	15.09.2018
freshdepor.com	15.09.2018
swappastore.com	15.09.2018
verywellfitness.com	15.09.2018
elegrina.com	18.11.2018
majsurplus.com	19.11.2018
top5value.com	19.11.2018

Източник: www.habr.com