Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…

ΠŸΡ€Π°ΠΊΡ‚ΠΈΡ‡Π΅ΡΠΊΠΈ ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ ΠΈΠ· нас ΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ услугами ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½ΠΎΠ², Π° Π·Π½Π°Ρ‡ΠΈΡ‚, Ρ€Π°Π½ΠΎ ΠΈΠ»ΠΈ ΠΏΠΎΠ·Π΄Π½ΠΎ рискуСт ΡΡ‚Π°Ρ‚ΡŒ ΠΆΠ΅Ρ€Ρ‚Π²ΠΎΠΉ JavaScript-сниффСров β€” ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠ³ΠΎ ΠΊΠΎΠ΄Π°, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ Π²Π½Π΅Π΄Ρ€ΡΡŽΡ‚ Π½Π° сайт для ΠΊΡ€Π°ΠΆΠΈ Π΄Π°Π½Π½Ρ‹Ρ… банковских ΠΊΠ°Ρ€Ρ‚, адрСсов, Π»ΠΎΠ³ΠΈΠ½ΠΎΠ² ΠΈ ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ.

ΠžΡ‚ сниффСров ΡƒΠΆΠ΅ пострадали ΠΏΠΎΡ‡Ρ‚ΠΈ 400 000 ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ сайта ΠΈ мобильного прилоТСния Π°Π²ΠΈΠ°ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ British Airways, Π° Ρ‚Π°ΠΊΠΆΠ΅ посСтитСли британского сайта спортивного Π³ΠΈΠ³Π°Π½Ρ‚Π° FILA ΠΈ амСриканского Π΄ΠΈΡΡ‚Ρ€ΠΈΠ±ΡŒΡŽΡ‚ΠΎΡ€Π° Π±ΠΈΠ»Π΅Ρ‚ΠΎΠ² Ticketmaster. PayPal, Chase Paymenttech, USAePay, Moneris β€” эти ΠΈ ΠΌΠ½ΠΎΠ³ΠΈΠ΅ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Π΅ систСмы Π±Ρ‹Π»ΠΈ Π·Π°Ρ€Π°ΠΆΠ΅Π½Ρ‹.

Аналитик Threat Intelligence Group-IB Π’ΠΈΠΊΡ‚ΠΎΡ€ ΠžΠΊΠΎΡ€ΠΎΠΊΠΎΠ² рассказываСт ΠΎ Ρ‚ΠΎΠΌ, ΠΊΠ°ΠΊ сниффСры Π²Π½Π΅Π΄Ρ€ΡΡŽΡ‚ΡΡ Π² ΠΊΠΎΠ΄ сайта ΠΈ ΠΊΡ€Π°Π΄ΡƒΡ‚ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½ΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΎ Ρ‚ΠΎΠΌ, ΠΊΠ°ΠΊΠΈΠ΅ CRM ΠΎΠ½ΠΈ Π°Ρ‚Π°ΠΊΡƒΡŽΡ‚.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…

«Бкрытая ΡƒΠ³Ρ€ΠΎΠ·Π°Β»

Π’Π°ΠΊ Π²Ρ‹ΡˆΠ»ΠΎ, Ρ‡Ρ‚ΠΎ Π΄ΠΎΠ»Π³ΠΎΠ΅ врСмя JS-сниффСры ΠΎΡΡ‚Π°Π²Π°Π»ΠΈΡΡŒ Π²Π½Π΅ поля зрСния антивирусных Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠΎΠ², Π° Π±Π°Π½ΠΊΠΈ ΠΈ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Π΅ систСмы Π½Π΅ Π²ΠΈΠ΄Π΅Π»ΠΈ Π² Π½ΠΈΡ… ΡΠ΅Ρ€ΡŒΠ΅Π·Π½ΠΎΠΉ ΡƒΠ³Ρ€ΠΎΠ·Ρ‹. И ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½Π½ΠΎ напрасно. ЭкспСрты Group-IB ΠΏΡ€ΠΎΠ°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Π»ΠΈ 2440 Π·Π°Ρ€Π°ΠΆΠ΅Π½Π½Ρ‹Ρ… ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½ΠΎΠ², посСтитСли ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… β€” суммарно ΠΎΠΊΠΎΠ»ΠΎ 1,5 ΠΌΠΈΠ»Π»ΠΈΠΎΠ½ΠΎΠ² Ρ‡Π΅Π»ΠΎΠ²Π΅ΠΊ Π² дСнь β€” ΠΏΠΎΠ΄Π²Π΅Ρ€Π³Π°Π»ΠΈΡΡŒ риску ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ. Π‘Ρ€Π΅Π΄ΠΈ ΠΏΠΎΡΡ‚Ρ€Π°Π΄Π°Π²ΡˆΠΈΡ… β€” Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΠΈ, Π½ΠΎ ΠΈ ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Ρ‹, ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Π΅ систСмы ΠΈ Π±Π°Π½ΠΊΠΈ, Π²Ρ‹ΠΏΡƒΡΡ‚ΠΈΠ²ΡˆΠΈΠ΅ скомпромСтированныС ΠΊΠ°Ρ€Ρ‚Ρ‹.

ΠžΡ‚Ρ‡Π΅Ρ‚ Group-IB стал ΠΏΠ΅Ρ€Π²Ρ‹ΠΌ исслСдованиСм Π΄Π°Ρ€ΠΊΠ½Π΅Ρ‚-Ρ€Ρ‹Π½ΠΊΠ° сниффСров, ΠΈΡ… инфраструктуры ΠΈ способов ΠΌΠΎΠ½Π΅Ρ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ, приносящСй ΠΈΡ… создатСлям ΠΌΠΈΠ»Π»ΠΈΠΎΠ½Ρ‹ Π΄ΠΎΠ»Π»Π°Ρ€ΠΎΠ². ΠœΡ‹ выявили 38 сСмСйств сниффСров, ΠΈΠ· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… лишь 12 Ρ€Π°Π½Π΅Π΅ Π±Ρ‹Π»ΠΈ извСстны исслСдоватСлям.

ΠžΡΡ‚Π°Π½ΠΎΠ²ΠΈΠΌΡΡ ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½ΠΎ Π½Π° Ρ‡Π΅Ρ‚Ρ‹Ρ€Π΅Ρ… сСмСйствах сниффСров, ΠΈΠ·ΡƒΡ‡Π΅Π½Π½Ρ‹Ρ… Π² Ρ…ΠΎΠ΄Π΅ исслСдования.

БСмСйство ReactGet

Π‘Π½ΠΈΡ„Ρ„Π΅Ρ€Ρ‹ сСмСйства ReactGet ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΡŽΡ‚ΡΡ для ΠΊΡ€Π°ΠΆΠΈ Π΄Π°Π½Π½Ρ‹Ρ… банковских ΠΊΠ°Ρ€Ρ‚ Π½Π° сайтах ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½ΠΎΠ². Π‘Π½ΠΈΡ„Ρ„Π΅Ρ€ ΠΌΠΎΠΆΠ΅Ρ‚ Ρ€Π°Π±ΠΎΡ‚Π°Ρ‚ΡŒ с большим количСством Ρ€Π°Π·Π½Ρ‹Ρ… ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Ρ… систСм, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΡ…ΡΡ Π½Π° сайтС: ΠΎΠ΄Π½ΠΎ Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π° соотвСтствуСт ΠΎΠ΄Π½ΠΎΠΉ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½ΠΎΠΉ систСмС, Π° ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½Ρ‹Π΅ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹Π΅ вСрсии сниффСра ΠΌΠΎΠ³ΡƒΡ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ для ΠΊΡ€Π°ΠΆΠΈ ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…, Π° Ρ‚Π°ΠΊΠΆΠ΅ для ΠΊΡ€Π°ΠΆΠΈ Π΄Π°Π½Π½Ρ‹Ρ… банковских ΠΊΠ°Ρ€Ρ‚ ΠΈΠ· ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Ρ… Ρ„ΠΎΡ€ΠΌ сразу Π½Π΅ΡΠΊΠΎΠ»ΡŒΠΊΠΈΡ… ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Ρ… систСм, ΠΊΠ°ΠΊ Ρ‚Π°ΠΊ Π½Π°Π·Ρ‹Π²Π°Π΅ΠΌΡ‹ΠΉ ΡƒΠ½ΠΈΠ²Π΅Ρ€ΡΠ°Π»ΡŒΠ½Ρ‹ΠΉ сниффСр. Π‘Ρ‹Π»ΠΎ установлСно, Ρ‡Ρ‚ΠΎ Π² Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… случаях Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ проводят Ρ„ΠΈΡˆΠΈΠ½Π³ΠΎΠ²Ρ‹Π΅ Π°Ρ‚Π°ΠΊΠΈ Π½Π° администраторов ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½ΠΎΠ² с Ρ†Π΅Π»ΡŒΡŽ получСния доступа Π² Π°Π΄ΠΌΠΈΠ½ΠΈΡΡ‚Ρ€Π°Ρ‚ΠΈΠ²Π½ΡƒΡŽ панСль сайта.

Кампания с ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ΠΌ этого сСмСйства сниффСров Π½Π°Ρ‡Π°Π»Π°ΡΡŒ Π² ΠΌΠ°Π΅ 2017 Π³ΠΎΠ΄Π°, Π°Ρ‚Π°ΠΊΠ΅ ΠΏΠΎΠ΄Π²Π΅Ρ€Π³Π»ΠΈΡΡŒ сайты ΠΏΠΎΠ΄ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ΠΌ CMS ΠΈ ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌ Magento, Bigcommerce, Shopify.

Как ReactGet внСдряСтся Π² ΠΊΠΎΠ΄ ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°

ΠšΡ€ΠΎΠΌΠ΅ «классичСского» внСдрСния скрипта ΠΏΠΎ ссылкС, ΠΎΠΏΠ΅Ρ€Π°Ρ‚ΠΎΡ€Ρ‹ сниффСров сСмСйства ReactGet ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ ΠΎΡΠΎΠ±ΡƒΡŽ Ρ‚Π΅Ρ…Π½ΠΈΠΊΡƒ: ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ JavaScript-ΠΊΠΎΠ΄Π° провСряСтся, соотвСтствуСт Π»ΠΈ Ρ‚Π΅ΠΊΡƒΡ‰ΠΈΠΉ адрСс, Π½Π° ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ находится ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ, ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½Ρ‹ΠΌ критСриям. ВрСдоносный ΠΊΠΎΠ΄ Π±ΡƒΠ΄Π΅Ρ‚ Π·Π°ΠΏΡƒΡ‰Π΅Π½ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π² Ρ‚ΠΎΠΌ случаС, Ссли Π² Ρ‚Π΅ΠΊΡƒΡ‰Π΅ΠΌ URL-адрСсС присутствуСт подстрока checkout ΠΈΠ»ΠΈ onestepcheckout, onepage/, out/onepag, checkout/one, ckout/one. Π’Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ, ΠΊΠΎΠ΄ сниффСра исполнится ΠΈΠΌΠ΅Π½Π½ΠΎ Π² Ρ‚ΠΎΡ‚ ΠΌΠΎΠΌΠ΅Π½Ρ‚, ΠΊΠΎΠ³Π΄Π° ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ ΠΏΠ΅Ρ€Π΅ΠΉΠ΄Π΅Ρ‚ ΠΊ ΠΎΠΏΠ»Π°Ρ‚Π΅ ΠΏΠΎΠΊΡƒΠΏΠΎΠΊ ΠΈ Π²Π²Π΅Π΄Π΅Ρ‚ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½ΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ Π² Ρ„ΠΎΡ€ΠΌΡƒ Π½Π° сайтС.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
Π­Ρ‚ΠΎΡ‚ сниффСр ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ Π½Π΅ΡΡ‚Π°Π½Π΄Π°Ρ€Ρ‚Π½ΡƒΡŽ Ρ‚Π΅Ρ…Π½ΠΈΠΊΡƒ. ΠŸΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Π΅ ΠΈ ΠΏΠ΅Ρ€ΡΠΎΠ½Π°Π»ΡŒΠ½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ ΠΆΠ΅Ρ€Ρ‚Π²Ρ‹ ΡΠΎΠ±ΠΈΡ€Π°ΡŽΡ‚ΡΡ вмСстС, ΠΊΠΎΠ΄ΠΈΡ€ΡƒΡŽΡ‚ΡΡ ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ base64, Π° Π·Π°Ρ‚Π΅ΠΌ получСнная строка ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ ΠΊΠ°ΠΊ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ для ΠΎΡ‚ΠΏΡ€Π°Π²ΠΊΠΈ запроса Π½Π° сайт Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ². Π§Π°Ρ‰Π΅ всСго ΠΏΡƒΡ‚ΡŒ Π΄ΠΎ Π³Π΅ΠΉΡ‚Π° ΠΈΠΌΠΈΡ‚ΠΈΡ€ΡƒΠ΅Ρ‚ JavaScript-Ρ„Π°ΠΉΠ», ΠΊ ΠΏΡ€ΠΈΠΌΠ΅Ρ€Ρƒ resp.js, data.js ΠΈ Ρ‚Π°ΠΊ Π΄Π°Π»Π΅Π΅, Π½ΠΎ Ρ‚Π°ΠΊΠΆΠ΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ ссылки Π½Π° Ρ„Π°ΠΉΠ»Ρ‹ ΠΈΠ·ΠΎΠ±Ρ€Π°ΠΆΠ΅Π½ΠΈΠΉ, GIF ΠΈ JPG. ΠžΡΠΎΠ±Π΅Π½Π½ΠΎΡΡ‚ΡŒ Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ сниффСр создаСт ΠΎΠ±ΡŠΠ΅ΠΊΡ‚ изобраТСния Ρ€Π°Π·ΠΌΠ΅Ρ€ΠΎΠΌ 1 Π½Π° 1 пиксСль ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½Π½ΡƒΡŽ Ρ€Π°Π½Π΅Π΅ ссылку ΠΊΠ°ΠΊ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ src изобраТСния. Π’ΠΎ Π΅ΡΡ‚ΡŒ для ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ Ρ‚Π°ΠΊΠΎΠΉ запрос Π² Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ΅ Π±ΡƒΠ΄Π΅Ρ‚ Π²Ρ‹Π³Π»ΡΠ΄Π΅Ρ‚ΡŒ ΠΊΠ°ΠΊ запрос ΠΎΠ±Ρ‹Ρ‡Π½ΠΎΠΉ ΠΊΠ°Ρ€Ρ‚ΠΈΠ½ΠΊΠΈ. ΠŸΠΎΡ…ΠΎΠΆΠ°Ρ Ρ‚Π΅Ρ…Π½ΠΈΠΊΠ° Π±Ρ‹Π»Π° использована Π² сниффСрах сСмСйства ImageID. ΠšΡ€ΠΎΠΌΠ΅ Ρ‚ΠΎΠ³ΠΎ, Ρ‚Π΅Ρ…Π½ΠΈΠΊΠ° с использованиСм изобраТСния Ρ€Π°Π·ΠΌΠ΅Ρ€ΠΎΠΌ 1 Π½Π° 1 пиксСль примСняСтся Π²ΠΎ ΠΌΠ½ΠΎΠ³ΠΈΡ… Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹Ρ… скриптах ΠΎΠ½Π»Π°ΠΉΠ½-Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠΈ, Ρ‡Ρ‚ΠΎ Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠΎΠΆΠ΅Ρ‚ ввСсти ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ Π² Π·Π°Π±Π»ΡƒΠΆΠ΄Π΅Π½ΠΈΠ΅.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…

Анализ вСрсий

Анализ Π°ΠΊΡ‚ΠΈΠ²Π½Ρ‹Ρ… Π΄ΠΎΠΌΠ΅Π½ΠΎΠ², ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… ΠΎΠΏΠ΅Ρ€Π°Ρ‚ΠΎΡ€Π°ΠΌΠΈ сниффСров ReactGet, ΠΏΠΎΠ·Π²ΠΎΠ»ΠΈΠ» ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚ΡŒ ΠΌΠ½ΠΎΠ³ΠΎ Ρ€Π°Π·Π½Ρ‹Ρ… вСрсий сниффСров этого сСмСйства. ВСрсии ΠΎΡ‚Π»ΠΈΡ‡Π°ΡŽΡ‚ΡΡ Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ΠΌ ΠΈΠ»ΠΈ отсутствиСм обфускации, Π° ΠΊΡ€ΠΎΠΌΠ΅ Ρ‚ΠΎΠ³ΠΎ, ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ сниффСр ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½ для ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½ΠΎΠΉ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½ΠΎΠΉ систСмы, ΠΎΠ±Ρ€Π°Π±Π°Ρ‚Ρ‹Π²Π°ΡŽΡ‰Π΅ΠΉ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠΈ ΠΏΠΎ банковским ΠΊΠ°Ρ€Ρ‚Π°ΠΌ для ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½ΠΎΠ². ΠŸΠ΅Ρ€Π΅Π±Ρ€Π°Π² Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π°, ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰Π΅Π³ΠΎ Π½ΠΎΠΌΠ΅Ρ€Ρƒ вСрсии, спСциалисты Group-IB ΠΏΠΎΠ»ΡƒΡ‡ΠΈΠ»ΠΈ ΠΏΠΎΠ»Π½Ρ‹ΠΉ список доступных Π²Π°Ρ€ΠΈΠ°Ρ†ΠΈΠΉ сниффСров, Π° ΠΏΠΎ названиям ΠΏΠΎΠ»Π΅ΠΉ Ρ„ΠΎΡ€ΠΌ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ сниффСр ΠΈΡ‰Π΅Ρ‚ Π² ΠΊΠΎΠ΄Π΅ страницы, ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΠΈΠ»ΠΈ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Π΅ систСмы, Π½Π° ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π½Π°Ρ†Π΅Π»Π΅Π½ сниффСр.

Бписок сниффСров ΠΈ ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΡ… ΠΈΠΌ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Ρ… систСм

URL сниффСра ΠŸΠ»Π°Ρ‚Π΅ΠΆΠ½Π°Ρ систСма
reactjsapi.com/react.js Authorize.Net
ajaxstatic.com/api.js?v=2.1.1 Cardsave
ajaxstatic.com/api.js?v=2.1.2 Authorize.Net
ajaxstatic.com/api.js?v=2.1.3 Authorize.Net
ajaxstatic.com/api.js?v=2.1.4 eWAY Rapid
ajaxstatic.com/api.js?v=2.1.5 Authorize.Net
ajaxstatic.com/api.js?v=2.1.6 Adyen
ajaxstatic.com/api.js?v=2.1.7 USAePay
ajaxstatic.com/api.js?v=2.1.9 Authorize.Net
apitstatus.com/api.js?v=2.1.1 USAePay
apitstatus.com/api.js?v=2.1.2 Authorize.Net
apitstatus.com/api.js?v=2.1.3 Moneris
apitstatus.com/api.js?v=2.1.5 USAePay
apitstatus.com/api.js?v=2.1.6 PayPal
apitstatus.com/api.js?v=2.1.7 Sage Pay
apitstatus.com/api.js?v=2.1.8 Verisign
apitstatus.com/api.js?v=2.1.9 PayPal
apitstatus.com/api.js?v=2.3.0 Stripe
apitstatus.com/api.js?v=3.0.2 Realex
apitstatus.com/api.js?v=3.0.3 PayPal
apitstatus.com/api.js?v=3.0.4 LinkPoint
apitstatus.com/api.js?v=3.0.5 PayPal
apitstatus.com/api.js?v=3.0.7 PayPal
apitstatus.com/api.js?v=3.0.8 DataCash
apitstatus.com/api.js?v=3.0.9 PayPal
asianfoodgracer.com/footer.js Authorize.Net
billgetstatus.com/api.js?v=1.2 Authorize.Net
billgetstatus.com/api.js?v=1.3 Authorize.Net
billgetstatus.com/api.js?v=1.4 Authorize.Net
billgetstatus.com/api.js?v=1.5 Verisign
billgetstatus.com/api.js?v=1.6 Authorize.Net
billgetstatus.com/api.js?v=1.7 Moneris
billgetstatus.com/api.js?v=1.8 Sage Pay
billgetstatus.com/api.js?v=2.0 USAePay
billgetstatus.com/react.js Authorize.Net
cloudodesc.com/gtm.js?v=1.2 Authorize.Net
cloudodesc.com/gtm.js?v=1.3 ANZ eGate
cloudodesc.com/gtm.js?v=2.3 Authorize.Net
cloudodesc.com/gtm.js?v=2.4 Moneris
cloudodesc.com/gtm.js?v=2.6 Sage Pay
cloudodesc.com/gtm.js?v=2.7 Sage Pay
cloudodesc.com/gtm.js?v=2.8 Chase Paymentech
cloudodesc.com/gtm.js?v=2.9 Authorize.Net
cloudodesc.com/gtm.js?v=2.91 Adyen
cloudodesc.com/gtm.js?v=2.92 PsiGate
cloudodesc.com/gtm.js?v=2.93 CyberSource
cloudodesc.com/gtm.js?v=2.95 ANZ eGate
cloudodesc.com/gtm.js?v=2.97 Realex
geisseie.com/gs.js USAePay
gtmproc.com/age.js Authorize.Net
gtmproc.com/gtm.js?v=1.2 Authorize.Net
gtmproc.com/gtm.js?v=1.3 ANZ eGate
gtmproc.com/gtm.js?v=1.5 PayPal
gtmproc.com/gtm.js?v=1.6 PayPal
gtmproc.com/gtm.js?v=1.7 Realex
livecheckpay.com/api.js?v=2.0 Sage Pay
livecheckpay.com/api.js?v=2.1 PayPal
livecheckpay.com/api.js?v=2.2 Verisign
livecheckpay.com/api.js?v=2.3 Authorize.Net
livecheckpay.com/api.js?v=2.4 Verisign
livecheckpay.com/react.js Authorize.Net
livegetpay.com/pay.js?v=2.1.2 ANZ eGate
livegetpay.com/pay.js?v=2.1.3 PayPal
livegetpay.com/pay.js?v=2.1.5 CyberSource
livegetpay.com/pay.js?v=2.1.7 Authorize.Net
livegetpay.com/pay.js?v=2.1.8 Sage Pay
livegetpay.com/pay.js?v=2.1.9 Realex
livegetpay.com/pay.js?v=2.2.0 CyberSource
livegetpay.com/pay.js?v=2.2.1 PayPal
livegetpay.com/pay.js?v=2.2.2 PayPal
livegetpay.com/pay.js?v=2.2.3 PayPal
livegetpay.com/pay.js?v=2.2.4 Verisign
livegetpay.com/pay.js?v=2.2.5 eWAY Rapid
livegetpay.com/pay.js?v=2.2.7 Sage Pay
livegetpay.com/pay.js?v=2.2.8 Sage Pay
livegetpay.com/pay.js?v=2.2.9 Verisign
livegetpay.com/pay.js?v=2.3.0 Authorize.Net
livegetpay.com/pay.js?v=2.3.1 Authorize.Net
livegetpay.com/pay.js?v=2.3.2 First Data Global Gateway
livegetpay.com/pay.js?v=2.3.3 Authorize.Net
livegetpay.com/pay.js?v=2.3.4 Authorize.Net
livegetpay.com/pay.js?v=2.3.5 Moneris
livegetpay.com/pay.js?v=2.3.6 Authorize.Net
livegetpay.com/pay.js?v=2.3.8 PayPal
livegetpay.com/pay.js?v=2.4.0 Verisign
maxstatics.com/site.js USAePay
mediapack.info/track.js?d=funlove.com USAePay
mediapack.info/track.js?d=qbedding.com Authorize.Net
mediapack.info/track.js?d=vseyewear.com Verisign
mxcounter.com/c.js?v=1.2 PayPal
mxcounter.com/c.js?v=1.3 Authorize.Net
mxcounter.com/c.js?v=1.4 Stripe
mxcounter.com/c.js?v=1.6 Authorize.Net
mxcounter.com/c.js?v=1.7 eWAY Rapid
mxcounter.com/c.js?v=1.8 Sage Pay
mxcounter.com/c.js?v=2.0 Authorize.Net
mxcounter.com/c.js?v=2.1 Braintree
mxcounter.com/c.js?v=2.10 Braintree
mxcounter.com/c.js?v=2.2 PayPal
mxcounter.com/c.js?v=2.3 Sage Pay
mxcounter.com/c.js?v=2.31 Sage Pay
mxcounter.com/c.js?v=2.32 Authorize.Net
mxcounter.com/c.js?v=2.33 PayPal
mxcounter.com/c.js?v=2.34 Authorize.Net
mxcounter.com/c.js?v=2.35 Verisign
mxcounter.com/click.js?v=1.2 PayPal
mxcounter.com/click.js?v=1.3 Authorize.Net
mxcounter.com/click.js?v=1.4 Stripe
mxcounter.com/click.js?v=1.6 Authorize.Net
mxcounter.com/click.js?v=1.7 eWAY Rapid
mxcounter.com/click.js?v=1.8 Sage Pay
mxcounter.com/click.js?v=2.0 Authorize.Net
mxcounter.com/click.js?v=2.1 Braintree
mxcounter.com/click.js?v=2.2 PayPal
mxcounter.com/click.js?v=2.3 Sage Pay
mxcounter.com/click.js?v=2.31 Sage Pay
mxcounter.com/click.js?v=2.32 Authorize.Net
mxcounter.com/click.js?v=2.33 PayPal
mxcounter.com/click.js?v=2.34 Authorize.Net
mxcounter.com/click.js?v=2.35 Verisign
mxcounter.com/cnt.js Authorize.Net
mxcounter.com/j.js Authorize.Net
newrelicnet.com/api.js?v=1.2 Authorize.Net
newrelicnet.com/api.js?v=1.4 Authorize.Net
newrelicnet.com/api.js?v=1.8 Sage Pay
newrelicnet.com/api.js?v=4.5 Sage Pay
newrelicnet.com/api.js?v=4.6 Westpac PayWay
nr-public.com/api.js?v=2.0 PayFort
nr-public.com/api.js?v=2.1 PayPal
nr-public.com/api.js?v=2.2 Authorize.Net
nr-public.com/api.js?v=2.3 Stripe
nr-public.com/api.js?v=2.4 First Data Global Gateway
nr-public.com/api.js?v=2.5 PsiGate
nr-public.com/api.js?v=2.6 Authorize.Net
nr-public.com/api.js?v=2.7 Authorize.Net
nr-public.com/api.js?v=2.8 Moneris
nr-public.com/api.js?v=2.9 Authorize.Net
nr-public.com/api.js?v=3.1 Sage Pay
nr-public.com/api.js?v=3.2 Verisign
nr-public.com/api.js?v=3.3 Moneris
nr-public.com/api.js?v=3.5 PayPal
nr-public.com/api.js?v=3.6 LinkPoint
nr-public.com/api.js?v=3.7 Westpac PayWay
nr-public.com/api.js?v=3.8 Authorize.Net
nr-public.com/api.js?v=4.0 Moneris
nr-public.com/api.js?v=4.0.2 PayPal
nr-public.com/api.js?v=4.0.3 Adyen
nr-public.com/api.js?v=4.0.4 PayPal
nr-public.com/api.js?v=4.0.5 Authorize.Net
nr-public.com/api.js?v=4.0.6 USAePay
nr-public.com/api.js?v=4.0.7 EBizCharge
nr-public.com/api.js?v=4.0.8 Authorize.Net
nr-public.com/api.js?v=4.0.9 Verisign
nr-public.com/api.js?v=4.1.2 Verisign
ordercheckpays.com/api.js?v=2.11 Authorize.Net
ordercheckpays.com/api.js?v=2.12 PayPal
ordercheckpays.com/api.js?v=2.13 Moneris
ordercheckpays.com/api.js?v=2.14 Authorize.Net
ordercheckpays.com/api.js?v=2.15 PayPal
ordercheckpays.com/api.js?v=2.16 PayPal
ordercheckpays.com/api.js?v=2.17 Westpac PayWay
ordercheckpays.com/api.js?v=2.18 Authorize.Net
ordercheckpays.com/api.js?v=2.19 Authorize.Net
ordercheckpays.com/api.js?v=2.21 Sage Pay
ordercheckpays.com/api.js?v=2.22 Verisign
ordercheckpays.com/api.js?v=2.23 Authorize.Net
ordercheckpays.com/api.js?v=2.24 PayPal
ordercheckpays.com/api.js?v=2.25 PayFort
ordercheckpays.com/api.js?v=2.29 CyberSource
ordercheckpays.com/api.js?v=2.4 PayPal Payflow Pro
ordercheckpays.com/api.js?v=2.7 Authorize.Net
ordercheckpays.com/api.js?v=2.8 Authorize.Net
ordercheckpays.com/api.js?v=2.9 Verisign
ordercheckpays.com/api.js?v=3.1 Authorize.Net
ordercheckpays.com/api.js?v=3.2 Authorize.Net
ordercheckpays.com/api.js?v=3.3 Sage Pay
ordercheckpays.com/api.js?v=3.4 Authorize.Net
ordercheckpays.com/api.js?v=3.5 Stripe
ordercheckpays.com/api.js?v=3.6 Authorize.Net
ordercheckpays.com/api.js?v=3.7 Authorize.Net
ordercheckpays.com/api.js?v=3.8 Verisign
ordercheckpays.com/api.js?v=3.9 PayPal
ordercheckpays.com/api.js?v=4.0 Authorize.Net
ordercheckpays.com/api.js?v=4.1 Authorize.Net
ordercheckpays.com/api.js?v=4.2 Sage Pay
ordercheckpays.com/api.js?v=4.3 Authorize.Net
reactjsapi.com/api.js?v=0.1.0 Authorize.Net
reactjsapi.com/api.js?v=0.1.1 PayPal
reactjsapi.com/api.js?v=4.1.2 Flint
reactjsapi.com/api.js?v=4.1.4 PayPal
reactjsapi.com/api.js?v=4.1.5 Sage Pay
reactjsapi.com/api.js?v=4.1.51 Verisign
reactjsapi.com/api.js?v=4.1.6 Authorize.Net
reactjsapi.com/api.js?v=4.1.7 Authorize.Net
reactjsapi.com/api.js?v=4.1.8 Stripe
reactjsapi.com/api.js?v=4.1.9 Fat Zebra
reactjsapi.com/api.js?v=4.2.0 Sage Pay
reactjsapi.com/api.js?v=4.2.1 Authorize.Net
reactjsapi.com/api.js?v=4.2.2 First Data Global Gateway
reactjsapi.com/api.js?v=4.2.3 Authorize.Net
reactjsapi.com/api.js?v=4.2.4 eWAY Rapid
reactjsapi.com/api.js?v=4.2.5 Adyen
reactjsapi.com/api.js?v=4.2.7 PayPal
reactjsapi.com/api.js?v=4.2.8 QuickBooks Merchant Services
reactjsapi.com/api.js?v=4.2.9 Verisign
reactjsapi.com/api.js?v=4.2.91 Sage Pay
reactjsapi.com/api.js?v=4.2.92 Verisign
reactjsapi.com/api.js?v=4.2.94 Authorize.Net
reactjsapi.com/api.js?v=4.3.97 Authorize.Net
reactjsapi.com/api.js?v=4.5 Sage Pay
reactjsapi.com/react.js Authorize.Net
sydneysalonsupplies.com/gtm.js eWAY Rapid
tagsmediaget.com/react.js Authorize.Net
tagstracking.com/tag.js?v=2.1.2 ANZ eGate
tagstracking.com/tag.js?v=2.1.3 PayPal
tagstracking.com/tag.js?v=2.1.5 CyberSource
tagstracking.com/tag.js?v=2.1.7 Authorize.Net
tagstracking.com/tag.js?v=2.1.8 Sage Pay
tagstracking.com/tag.js?v=2.1.9 Realex
tagstracking.com/tag.js?v=2.2.0 CyberSource
tagstracking.com/tag.js?v=2.2.1 PayPal
tagstracking.com/tag.js?v=2.2.2 PayPal
tagstracking.com/tag.js?v=2.2.3 PayPal
tagstracking.com/tag.js?v=2.2.4 Verisign
tagstracking.com/tag.js?v=2.2.5 eWAY Rapid
tagstracking.com/tag.js?v=2.2.7 Sage Pay
tagstracking.com/tag.js?v=2.2.8 Sage Pay
tagstracking.com/tag.js?v=2.2.9 Verisign
tagstracking.com/tag.js?v=2.3.0 Authorize.Net
tagstracking.com/tag.js?v=2.3.1 Authorize.Net
tagstracking.com/tag.js?v=2.3.2 First Data Global Gateway
tagstracking.com/tag.js?v=2.3.3 Authorize.Net
tagstracking.com/tag.js?v=2.3.4 Authorize.Net
tagstracking.com/tag.js?v=2.3.5 Moneris
tagstracking.com/tag.js?v=2.3.6 Authorize.Net
tagstracking.com/tag.js?v=2.3.8 PayPal

Π‘Π½ΠΈΡ„Ρ„Π΅Ρ€ ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ

Одним ΠΈΠ· прСимущСств JavaScript-сниффСров, Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰ΠΈΡ… Π½Π° клиСнтской сторонС сайта, являСтся ΡƒΠ½ΠΈΠ²Π΅Ρ€ΡΠ°Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ: Π²Π½Π΅Π΄Ρ€Π΅Π½Π½Ρ‹ΠΉ Π½Π° сайт врСдоносный ΠΊΠΎΠ΄ способСн ΠΏΠΎΡ…ΠΈΡ‚ΠΈΡ‚ΡŒ Π΄Π°Π½Π½Ρ‹Π΅ любого Ρ‚ΠΈΠΏΠ°, Π±ΡƒΠ΄ΡŒ Ρ‚ΠΎ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ ΠΈΠ»ΠΈ Π»ΠΎΠ³ΠΈΠ½ ΠΈ ΠΏΠ°Ρ€ΠΎΠ»ΡŒ ΠΎΡ‚ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΎΠ³ΠΎ Π°ΠΊΠΊΠ°ΡƒΠ½Ρ‚Π°. БпСциалисты Group-IB ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ»ΠΈ ΠΎΠ±Ρ€Π°Π·Π΅Ρ† сниффСра, относящСгося ΠΊ сСмСйству ReactGet, ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Π½Ρ‹ΠΉ для ΠΊΡ€Π°ΠΆΠΈ адрСсов элСктронной ΠΏΠΎΡ‡Ρ‚Ρ‹ ΠΈ ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ сайта.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…

ΠŸΠ΅Ρ€Π΅ΡΠ΅Ρ‡Π΅Π½ΠΈΠ΅ со сниффСром ImageID

Π’ Ρ…ΠΎΠ΄Π΅ Π°Π½Π°Π»ΠΈΠ·Π° ΠΎΠ΄Π½ΠΎΠ³ΠΎ ΠΈΠ· Π·Π°Ρ€Π°ΠΆΠ΅Π½Π½Ρ‹Ρ… ΠΌΠ°Π³Π°Π·ΠΈΠ½ΠΎΠ² Π±Ρ‹Π»ΠΎ установлСно, Ρ‡Ρ‚ΠΎ Π΅Π³ΠΎ сайт подвСргся Π·Π°Ρ€Π°ΠΆΠ΅Π½ΠΈΡŽ Π΄Π²Π°ΠΆΠ΄Ρ‹: ΠΏΠΎΠΌΠΈΠΌΠΎ врСдоносного ΠΊΠΎΠ΄Π° сниффСра сСмСйства ReactGet, Π±Ρ‹Π» ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ ΠΊΠΎΠ΄ сниффСра сСмСйства ImageID. Π”Π°Π½Π½ΠΎΠ΅ пСрСсСчСниС ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ ΡΠ²ΠΈΠ΄Π΅Ρ‚Π΅Π»ΡŒΡΡ‚Π²ΠΎΠΌ Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎ ΠΎΠΏΠ΅Ρ€Π°Ρ‚ΠΎΡ€Ρ‹, стоящиС Π·Π° использованиСм ΠΎΠ±ΠΎΠΈΡ… сниффСров, ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΡŽΡ‚ схоТиС Ρ‚Π΅Ρ…Π½ΠΈΠΊΠΈ для внСдрСния врСдоносного ΠΊΠΎΠ΄Π°.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…

Π£Π½ΠΈΠ²Π΅Ρ€ΡΠ°Π»ΡŒΠ½Ρ‹ΠΉ сниффСр

Π’ Ρ…ΠΎΠ΄Π΅ Π°Π½Π°Π»ΠΈΠ·Π° ΠΎΠ΄Π½ΠΎΠ³ΠΎ ΠΈΠ· Π΄ΠΎΠΌΠ΅Π½Π½Ρ‹Ρ… ΠΈΠΌΠ΅Π½, относящихся ΠΊ инфраструктурС сниффСров ReactGet, Π±Ρ‹Π»ΠΎ установлСно, Ρ‡Ρ‚ΠΎ Ρ‚ΠΎΡ‚ ΠΆΠ΅ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ зарСгистрировал Ρ‚Ρ€ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΡ… Π΄ΠΎΠΌΠ΅Π½Π½Ρ‹Ρ… ΠΈΠΌΠ΅Π½ΠΈ. Π­Ρ‚ΠΈ Ρ‚Ρ€ΠΈ Π΄ΠΎΠΌΠ΅Π½Π° ΠΈΠΌΠΈΡ‚ΠΈΡ€ΠΎΠ²Π°Π»ΠΈ Π΄ΠΎΠΌΠ΅Π½Ρ‹ Ρ€Π΅Π°Π»ΡŒΠ½ΠΎ ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΡ… сайтов ΠΈ Ρ€Π°Π½Π΅Π΅ использовались для размСщСния сниффСров. ΠŸΡ€ΠΈ Π°Π½Π°Π»ΠΈΠ·Π΅ ΠΊΠΎΠ΄Π° Ρ‚Ρ€Π΅Ρ… Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹Ρ… сайтов Π±Ρ‹Π» ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ нСизвСстный сниффСр, Π° дальнСйший Π°Π½Π°Π»ΠΈΠ· ΠΏΠΎΠΊΠ°Π·Π°Π», Ρ‡Ρ‚ΠΎ это ΡƒΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½ΡΡ‚Π²ΠΎΠ²Π°Π½Π½Π°Ρ вСрсия сниффСра ReactGet. ВсС Ρ€Π°Π½Π΅Π΅ отслСТСнныС вСрсии сниффСров этого сСмСйства Π±Ρ‹Π»ΠΈ Π½Π°Ρ†Π΅Π»Π΅Π½Ρ‹ Π½Π° ΠΊΠ°ΠΊΡƒΡŽ-Ρ‚ΠΎ ΠΎΠ΄Π½Ρƒ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½ΡƒΡŽ систСму, Ρ‚ΠΎ Π΅ΡΡ‚ΡŒ для ΠΊΠ°ΠΆΠ΄ΠΎΠΉ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½ΠΎΠΉ систСмы Ρ‚Ρ€Π΅Π±ΠΎΠ²Π°Π»Π°ΡΡŒ ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½Π°Ρ вСрсия сниффСра. Однако Π² Π΄Π°Π½Π½ΠΎΠΌ случаС Π±Ρ‹Π»Π° ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π° ΡƒΠ½ΠΈΠ²Π΅Ρ€ΡΠ°Π»ΡŒΠ½Π°Ρ вСрсия сниффСра, способная ΠΏΠΎΡ…ΠΈΡ‰Π°Ρ‚ΡŒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΈΠ· Ρ„ΠΎΡ€ΠΌ, относящихся ΠΊ 15 Ρ€Π°Π·Π½Ρ‹ΠΌ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹ΠΌ систСмам ΠΈ модулям ecommerce-сайтов для провСдСния ΠΎΠ½Π»Π°ΠΉΠ½-ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ΅ΠΉ.

Π˜Ρ‚Π°ΠΊ, Π² Π½Π°Ρ‡Π°Π»Π΅ Ρ€Π°Π±ΠΎΡ‚Ρ‹ сниффСр осущСствлял поиск Π±Π°Π·ΠΎΠ²Ρ‹Ρ… ΠΏΠΎΠ»Π΅ΠΉ Ρ„ΠΎΡ€ΠΌΡ‹, содСрТащих ΠΏΠ΅Ρ€ΡΠΎΠ½Π°Π»ΡŒΠ½ΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΆΠ΅Ρ€Ρ‚Π²Ρ‹: ΠΏΠΎΠ»Π½ΠΎΠ΅ имя, физичСский адрСс, Π½ΠΎΠΌΠ΅Ρ€ Ρ‚Π΅Π»Π΅Ρ„ΠΎΠ½Π°.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
Π—Π°Ρ‚Π΅ΠΌ сниффСр осущСствлял поиск Π±ΠΎΠ»Π΅Π΅ Ρ‡Π΅ΠΌ ΠΏΠΎ 15 Ρ€Π°Π·Π½Ρ‹ΠΌ прСфиксам, ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠΌ Ρ€Π°Π·Π½Ρ‹ΠΌ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹ΠΌ систСмам ΠΈ модулям для ΠΎΠ½Π»Π°ΠΉΠ½-ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ΅ΠΉ.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
Π”Π°Π»Π΅Π΅ ΠΏΠ΅Ρ€ΡΠΎΠ½Π°Π»ΡŒΠ½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ ΠΆΠ΅Ρ€Ρ‚Π²Ρ‹ ΠΈ платСТная информация ΡΠΎΠ±ΠΈΡ€Π°Π»ΠΈΡΡŒ Π²ΠΎΠ΅Π΄ΠΈΠ½ΠΎ ΠΈ ΠΎΡ‚ΠΏΡ€Π°Π²Π»ΡΠ»ΠΈΡΡŒ Π½Π° ΠΏΠΎΠ΄ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒΠ½Ρ‹ΠΉ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΡƒ сайт: Π² этом ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½ΠΎΠΌ случаС Π±Ρ‹Π»ΠΈ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Ρ‹ Π΄Π²Π΅ вСрсии ΡƒΠ½ΠΈΠ²Π΅Ρ€ΡΠ°Π»ΡŒΠ½ΠΎΠ³ΠΎ сниффСра ReactGet, располоТСнныС Π½Π° Π΄Π²ΡƒΡ… Ρ€Π°Π·Π½Ρ‹Ρ… Π²Π·Π»ΠΎΠΌΠ°Π½Π½Ρ‹Ρ… сайтах. Однако ΠΎΠ±Π΅ вСрсии отправляли ΡƒΠΊΡ€Π°Π΄Π΅Π½Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ Π½Π° ΠΎΠ΄ΠΈΠ½ ΠΈ Ρ‚ΠΎΡ‚ ΠΆΠ΅ Π²Π·Π»ΠΎΠΌΠ°Π½Π½Ρ‹ΠΉ сайт zoobashop.com.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
Анализ прСфиксов, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ использовались сниффСром для поиска ΠΏΠΎΠ»Π΅ΠΉ, содСрТащих ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½ΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΆΠ΅Ρ€Ρ‚Π²Ρ‹, ΠΏΠΎΠ·Π²ΠΎΠ»ΠΈΠ» ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ этот ΠΎΠ±Ρ€Π°Π·Π΅Ρ† сниффСра Π±Ρ‹Π» Π½Π°Ρ†Π΅Π»Π΅Π½ Π½Π° ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Π΅ систСмы:

  • Authorize.Net
  • Verisign
  • First Data
  • USAePay
  • Stripe
  • PayPal
  • ANZ eGate
  • Braintree
  • DataCash (MasterCard)
  • Realex Payments
  • PsiGate
  • Heartland Payment Systems

КакиС инструмСнты ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ для ΠΊΡ€Π°ΠΆΠΈ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ

ΠŸΠ΅Ρ€Π²Ρ‹ΠΉ инструмСнт, ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹ΠΉ Π² Ρ…ΠΎΠ΄Π΅ Π°Π½Π°Π»ΠΈΠ·Π° инфраструктуры Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΡ…, слуТит для обфускации врСдоносных скриптов, ΠΎΡ‚Π²Π΅Ρ‡Π°ΡŽΡ‰ΠΈΡ… Π·Π° ΠΊΡ€Π°ΠΆΡƒ банковских ΠΊΠ°Ρ€Ρ‚. На ΠΎΠ΄Π½ΠΎΠΌ ΠΈΠ· хостов Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΡ… Π±Ρ‹Π» ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ bash-скрипт, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΠΉ CLI ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° javascript-obfuscator для Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ обфускации ΠΊΠΎΠ΄Π° сниффСров.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
Π’Ρ‚ΠΎΡ€ΠΎΠΉ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹ΠΉ инструмСнт ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½ для Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΠΈ ΠΊΠΎΠ΄Π°, ΠΎΡ‚Π²Π΅Ρ‡Π°ΡŽΡ‰Π΅Π³ΠΎ Π·Π° ΠΏΠΎΠ΄Π³Ρ€ΡƒΠ·ΠΊΡƒ основного сниффСра. Π”Π°Π½Π½Ρ‹ΠΉ инструмСнт Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΡƒΠ΅Ρ‚ JavaScript-ΠΊΠΎΠ΄, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ провСряСт, находится Π»ΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ Π½Π° страницС ΠΎΠΏΠ»Π°Ρ‚Ρ‹, ΠΏΡƒΡ‚Π΅ΠΌ поиска Π² Ρ‚Π΅ΠΊΡƒΡ‰Π΅ΠΌ адрСсС ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ строк checkout, cart ΠΈ Ρ‚Π°ΠΊ Π΄Π°Π»Π΅Π΅, ΠΈ Ссли Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ ΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΉ, Ρ‚ΠΎ ΠΊΠΎΠ΄ ΠΏΠΎΠ΄Π³Ρ€ΡƒΠΆΠ°Π΅Ρ‚ основной сниффСр с сСрвСра Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ². Для сокрытия врСдоносной активности всС строки, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ тСстовыС строки для опрСдСлСния ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½ΠΎΠΉ страницы, Π° Ρ‚Π°ΠΊΠΆΠ΅ ссылку Π½Π° сниффСр, Π·Π°ΠΊΠΎΠ΄ΠΈΡ€ΠΎΠ²Π°Π½Ρ‹ ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ base64.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…

Π€ΠΈΡˆΠΈΠ½Π³ΠΎΠ²Ρ‹Π΅ Π°Ρ‚Π°ΠΊΠΈ

Π’ Ρ…ΠΎΠ΄Π΅ Π°Π½Π°Π»ΠΈΠ·Π° сСтСвой инфраструктуры Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΡ… Π±Ρ‹Π»ΠΎ установлСно, Ρ‡Ρ‚ΠΎ Π·Π°Ρ‡Π°ΡΡ‚ΡƒΡŽ для получСния доступа Π² Π°Π΄ΠΌΠΈΠ½ΠΈΡΡ‚Ρ€Π°Ρ‚ΠΈΠ²Π½ΡƒΡŽ панСль Ρ†Π΅Π»Π΅Π²ΠΎΠ³ΠΎ ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π° прСступная Π³Ρ€ΡƒΠΏΠΏΠ° ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ Ρ„ΠΈΡˆΠΈΠ½Π³. ΠΡ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ Ρ€Π΅Π³ΠΈΡΡ‚Ρ€ΠΈΡ€ΡƒΡŽΡ‚ Π΄ΠΎΠΌΠ΅Π½, Π²ΠΈΠ·ΡƒΠ°Π»ΡŒΠ½ΠΎ ΠΏΠΎΡ…ΠΎΠΆΠΈΠΉ Π½Π° Π΄ΠΎΠΌΠ΅Π½ ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°, Π° Π·Π°Ρ‚Π΅ΠΌ Ρ€Π°Π·Π²ΠΎΡ€Π°Ρ‡ΠΈΠ²Π°ΡŽΡ‚ Π½Π° Π½Π΅ΠΌ ΠΏΠΎΠ΄Π΄Π΅Π»ΡŒΠ½ΡƒΡŽ Ρ„ΠΎΡ€ΠΌΡƒ Π²Ρ…ΠΎΠ΄Π° административной ΠΏΠ°Π½Π΅Π»ΠΈ Magento. Π’ случаС успСха Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ ΠΏΠΎΠ»ΡƒΡ‡Π°Ρ‚ доступ Π² Π°Π΄ΠΌΠΈΠ½ΠΈΡΡ‚Ρ€Π°Ρ‚ΠΈΠ²Π½ΡƒΡŽ панСль CMS Magento, Ρ‡Ρ‚ΠΎ Π΄Π°Π΅Ρ‚ ΠΈΠΌ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ Ρ€Π΅Π΄Π°ΠΊΡ‚ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Ρ‹ сайта ΠΈ Π²Π½Π΅Π΄Ρ€ΠΈΡ‚ΡŒ сниффСр для ΠΊΡ€Π°ΠΆΠΈ Π΄Π°Π½Π½Ρ‹Ρ… ΠΊΡ€Π΅Π΄ΠΈΡ‚Π½Ρ‹Ρ… ΠΊΠ°Ρ€Ρ‚.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
Π˜Π½Ρ„Ρ€Π°ΡΡ‚Ρ€ΡƒΠΊΡ‚ΡƒΡ€Π°

Π”ΠΎΠΌΠ΅Π½ Π”Π°Ρ‚Π° обнаруТСния/появлСния
mediapack.info 04.05.2017
adsgetapi.com 15.06.2017
simcounter.com 14.08.2017
mageanalytics.com 22.12.2017
maxstatics.com 16.01.2018
reactjsapi.com 19.01.2018
mxcounter.com 02.02.2018
apitstatus.com 01.03.2018
orderracker.com 20.04.2018
tagstracking.com 25.06.2018
adsapigate.com 12.07.2018
trust-tracker.com 15.07.2018
fbstatspartner.com 02.10.2018
billgetstatus.com 12.10.2018
aldenmlilhouse.com 20.10.2018
balletbeautlful.com 20.10.2018
bargalnjunkie.com 20.10.2018
payselector.com 21.10.2018
tagsmediaget.com 02.11.2018
hs-payments.com 16.11.2018
ordercheckpays.com 19.11.2018
geisseie.com 24.11.2018
gtmproc.com 29.11.2018
livegetpay.com 18.12.2018
sydneysalonsupplies.com 18.12.2018
newrelicnet.com 19.12.2018
nr-public.com 03.01.2019
cloudodesc.com 04.01.2019
ajaxstatic.com 11.01.2019
livecheckpay.com 21.01.2019
asianfoodgracer.com 25.01.2019

БСмСйство G-Analytics

Π­Ρ‚ΠΎ сСмСйство сниффСров ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ для ΠΊΡ€Π°ΠΆΠΈ ΠΊΠ°Ρ€Ρ‚ ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ² ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½ΠΎΠ². Π‘Π°ΠΌΠΎΠ΅ ΠΏΠ΅Ρ€Π²ΠΎΠ΅ Π΄ΠΎΠΌΠ΅Π½Π½ΠΎΠ΅ имя, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΠΎΠ΅ Π³Ρ€ΡƒΠΏΠΏΠΎΠΉ, Π±Ρ‹Π»ΠΎ зарСгистрировано Π² Π°ΠΏΡ€Π΅Π»Π΅ 2016 Π³ΠΎΠ΄Π°, Ρ‡Ρ‚ΠΎ ΠΌΠΎΠΆΠ΅Ρ‚ ΡΠ²ΠΈΠ΄Π΅Ρ‚Π΅Π»ΡŒΡΡ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ ΠΎ Π½Π°Ρ‡Π°Π»Π΅ активности Π³Ρ€ΡƒΠΏΠΏΡ‹ Π² сСрСдинС 2016 Π³ΠΎΠ΄Π°.

Π’ Ρ‚Π΅ΠΊΡƒΡ‰Π΅ΠΉ ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ Π³Ρ€ΡƒΠΏΠΏΠ° ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ Π΄ΠΎΠΌΠ΅Π½Π½Ρ‹Π΅ ΠΈΠΌΠ΅Π½Π°, ΠΈΠΌΠΈΡ‚ΠΈΡ€ΡƒΡŽΡ‰ΠΈΠ΅ Ρ€Π΅Π°Π»ΡŒΠ½ΠΎ ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠ΅ сСрвисы, Ρ‚Π°ΠΊΠΈΠ΅ ΠΊΠ°ΠΊ Google Analytics ΠΈ jQuery, маскируя Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ сниффСров Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹ΠΌΠΈ скриптами ΠΈ ΠΏΠΎΡ…ΠΎΠΆΠΈΠΌΠΈ Π½Π° Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹Π΅ Π΄ΠΎΠΌΠ΅Π½Π½Ρ‹ΠΌΠΈ ΠΈΠΌΠ΅Π½Π°ΠΌΠΈ. АтакС ΠΏΠΎΠ΄Π²Π΅Ρ€Π³Π»ΠΈΡΡŒ сайты, Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰ΠΈΠ΅ ΠΏΠΎΠ΄ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ΠΌ CMS Magento.

Как G-Analytics внСдряСтся Π² ΠΊΠΎΠ΄ ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°

ΠžΡ‚Π»ΠΈΡ‡ΠΈΡ‚Π΅Π»ΡŒΠ½Π°Ρ ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡ‚ΡŒ этого сСмСйства β€” использованиС Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… способов похищСния ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ. Помимо классичСского внСдрСния JavaScript-ΠΊΠΎΠ΄Π° Π² ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΡΠΊΡƒΡŽ Ρ‡Π°ΡΡ‚ΡŒ сайта, прСступная Π³Ρ€ΡƒΠΏΠΏΠ° Ρ‚Π°ΠΊΠΆΠ΅ примСняла Ρ‚Π΅Ρ…Π½ΠΈΠΊΡƒ внСдрСния ΠΊΠΎΠ΄Π° Π² ΡΠ΅Ρ€Π²Π΅Ρ€Π½ΡƒΡŽ Ρ‡Π°ΡΡ‚ΡŒ сайта, Π° ΠΈΠΌΠ΅Π½Π½ΠΎ PHP-скрипты, ΠΎΠ±Ρ€Π°Π±Π°Ρ‚Ρ‹Π²Π°ΡŽΡ‰ΠΈΠ΅ Π²Π²Π΅Π΄Π΅Π½Π½Ρ‹Π΅ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΌ Π΄Π°Π½Π½Ρ‹Π΅. Π­Ρ‚Π° Ρ‚Π΅Ρ…Π½ΠΈΠΊΠ° опасна Ρ‚Π΅ΠΌ, Ρ‡Ρ‚ΠΎ затрудняСт ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ врСдоносного ΠΊΠΎΠ΄Π° сторонними исслСдоватСлями. БпСциалистами Group-IB Π±Ρ‹Π»Π° ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π° вСрсия сниффСра, Π²Π½Π΅Π΄Ρ€Π΅Π½Π½ΠΎΠ³ΠΎ Π² PHP-ΠΊΠΎΠ΄ сайта, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰Π°Ρ Π² качСствС Π³Π΅ΠΉΡ‚Π° Π΄ΠΎΠΌΠ΅Π½ dittm.org.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
Π’Π°ΠΊΠΆΠ΅ Π±Ρ‹Π»Π° ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π° ранняя вСрсия сниффСра, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰Π΅Π³ΠΎ для сбора ΡƒΠΊΡ€Π°Π΄Π΅Π½Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ… Ρ‚ΠΎΡ‚ ΠΆΠ΅ Π΄ΠΎΠΌΠ΅Π½ dittm.org, Π½ΠΎ эта вСрсия ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Π° ΡƒΠΆΠ΅ для установки Π½Π° клиСнтской сторонС ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
ПозднСС Π³Ρ€ΡƒΠΏΠΏΠ° ΠΈΠ·ΠΌΠ΅Π½ΠΈΠ»Π° свою Ρ‚Π°ΠΊΡ‚ΠΈΠΊΡƒ ΠΈ Π½Π°Ρ‡Π°Π»Π° ΡƒΠ΄Π΅Π»ΡΡ‚ΡŒ большС внимания ΡΠΎΠΊΡ€Ρ‹Ρ‚ΠΈΡŽ врСдоносной активности ΠΈ маскировкС.

Π’ Π½Π°Ρ‡Π°Π»Π΅ 2017 Π³ΠΎΠ΄Π° Π³Ρ€ΡƒΠΏΠΏΠ° стала ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ Π΄ΠΎΠΌΠ΅Π½ jquery-js.com, ΠΌΠ°ΡΠΊΠΈΡ€ΡƒΡŽΡ‰ΠΈΠΉΡΡ ΠΏΠΎΠ΄ CDN для jQuery: ΠΏΡ€ΠΈ ΠΏΠ΅Ρ€Π΅Ρ…ΠΎΠ΄Π΅ Π½Π° сайт Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ² ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ пСрСнаправляСт Π½Π° Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹ΠΉ сайт jquery.com.

А Π² сСрСдинС 2018 Π³ΠΎΠ΄Π° Π³Ρ€ΡƒΠΏΠΏΠ° взяла Π½Π° Π²ΠΎΠΎΡ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ Π΄ΠΎΠΌΠ΅Π½Π½ΠΎΠ΅ имя g-analytics.com ΠΈ Π½Π°Ρ‡Π°Π»Π° ΠΌΠ°ΡΠΊΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π΄Π΅ΡΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ сниффСра ΠΏΠΎΠ΄ Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹ΠΉ сСрвис Google Analytics.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…

Анализ вСрсий

Π’ Ρ…ΠΎΠ΄Π΅ Π°Π½Π°Π»ΠΈΠ·Π° Π΄ΠΎΠΌΠ΅Π½ΠΎΠ², ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… для хранСния ΠΊΠΎΠ΄Π° сниффСров, Π±Ρ‹Π»ΠΎ установлСно, Ρ‡Ρ‚ΠΎ Π½Π° сайтС располагаСтся большоС количСство вСрсий, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Ρ€Π°Π·Π»ΠΈΡ‡Π°ΡŽΡ‚ΡΡ Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ΠΌ обфускации, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ΠΌ ΠΈΠ»ΠΈ отсутствиСм нСдостиТимого ΠΊΠΎΠ΄Π°, Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Π½ΠΎΠ³ΠΎ Π² Ρ„Π°ΠΉΠ» для отвлСчСния внимания ΠΈ сокрытия врСдоносного ΠΊΠΎΠ΄Π°.

ВсСго Π½Π° сайтС jquery-js.com Π±Ρ‹Π»ΠΎ выявлСно ΡˆΠ΅ΡΡ‚ΡŒ вСрсий сниффСров. Π£ΠΊΡ€Π°Π΄Π΅Π½Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ эти сниффСры ΠΎΡ‚ΠΏΡ€Π°Π²Π»ΡΡŽΡ‚ Π½Π° адрСс, располоТСнный Π½Π° Ρ‚ΠΎΠΌ ΠΆΠ΅ сайтС, Ρ‡Ρ‚ΠΎ ΠΈ сам сниффСр: hxxps://jquery-js[.]com/latest/jquery.min.js:

  • hxxps://jquery-js[.]com/jquery.min.js
  • hxxps://jquery-js[.]com/jquery.2.2.4.min.js
  • hxxps://jquery-js[.]com/jquery.1.8.3.min.js
  • hxxps://jquery-js[.]com/jquery.1.6.4.min.js
  • hxxps://jquery-js[.]com/jquery.1.4.4.min.js
  • hxxps://jquery-js[.]com/jquery.1.12.4.min.js

Π‘ΠΎΠ»Π΅Π΅ ΠΏΠΎΠ·Π΄Π½ΠΈΠΉ Π΄ΠΎΠΌΠ΅Π½ g-analytics.com, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹ΠΉ Π³Ρ€ΡƒΠΏΠΏΠΎΠΉ Π² Π°Ρ‚Π°ΠΊΠ°Ρ… с сСрСдины 2018 Π³ΠΎΠ΄Π°, слуТит Ρ…Ρ€Π°Π½ΠΈΠ»ΠΈΡ‰Π΅ΠΌ для большСго числа сниффСров. ВсСго Π±Ρ‹Π»ΠΎ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΎ 16 Ρ€Π°Π·Π½Ρ‹Ρ… вСрсий сниффСра. Π’ этом случаС Π³Π΅ΠΉΡ‚ для ΠΎΡ‚ΠΏΡ€Π°Π²ΠΊΠΈ ΡƒΠΊΡ€Π°Π΄Π΅Π½Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ… Π±Ρ‹Π» замаскирован ΠΏΠΎΠ΄ ссылку Π½Π° ΠΈΠ·ΠΎΠ±Ρ€Π°ΠΆΠ΅Π½ΠΈΠ΅ Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π° GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
=1283183910.1527732071
:

  • hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
  • hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
  • hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
  • hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
  • hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
  • hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
  • hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
  • hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
  • hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
  • hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
  • hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
  • hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
  • hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
  • hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
  • hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
  • hxxps://g-analytics[.]com/libs/analytics.js

ΠœΠΎΠ½Π΅Ρ‚ΠΈΠ·Π°Ρ†ΠΈΡ ΡƒΠΊΡ€Π°Π΄Π΅Π½Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…

ΠŸΡ€Π΅ΡΡ‚ΡƒΠΏΠ½Π°Ρ Π³Ρ€ΡƒΠΏΠΏΠ° ΠΌΠΎΠ½Π΅Ρ‚ΠΈΠ·ΠΈΡ€ΡƒΠ΅Ρ‚ ΡƒΠΊΡ€Π°Π΄Π΅Π½Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅, продавая ΠΊΠ°Ρ€Ρ‚Ρ‹ Ρ‡Π΅Ρ€Π΅Π· ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ созданный ΠΏΠΎΠ΄ΠΏΠΎΠ»ΡŒΠ½Ρ‹ΠΉ ΠΌΠ°Π³Π°Π·ΠΈΠ½, ΠΎΠΊΠ°Π·Ρ‹Π²Π°ΡŽΡ‰ΠΈΠΉ услуги ΠΊΠ°Ρ€Π΄Π΅Ρ€Π°ΠΌ. Анализ Π΄ΠΎΠΌΠ΅Π½ΠΎΠ², ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΌΠΈ, ΠΏΠΎΠ·Π²ΠΎΠ»ΠΈΠ» ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ google-analytics.cm Π±Ρ‹Π» зарСгистрирован Ρ‚Π΅ΠΌ ΠΆΠ΅ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΌ, Ρ‡Ρ‚ΠΎ ΠΈ Π΄ΠΎΠΌΠ΅Π½ cardz.vc. Π”ΠΎΠΌΠ΅Π½ cardz.vc относится ΠΊ ΠΌΠ°Π³Π°Π·ΠΈΠ½Ρƒ ΠΏΠΎ ΠΏΡ€ΠΎΠ΄Π°ΠΆΠ΅ ΡƒΠΊΡ€Π°Π΄Π΅Π½Π½Ρ‹Ρ… банковских ΠΊΠ°Ρ€Ρ‚ Cardsurfs (Flysurfs), ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΎΠ±Ρ€Π΅Π» ΠΏΠΎΠΏΡƒΠ»ΡΡ€Π½ΠΎΡΡ‚ΡŒ Π΅Ρ‰Π΅ Π²ΠΎ Π²Ρ€Π΅ΠΌΠ΅Π½Π° активности подпольной Ρ‚ΠΎΡ€Π³ΠΎΠ²ΠΎΠΉ ΠΏΠ»ΠΎΡ‰Π°Π΄ΠΊΠΈ AlphaBay ΠΊΠ°ΠΊ ΠΌΠ°Π³Π°Π·ΠΈΠ½ ΠΏΠΎ ΠΏΡ€ΠΎΠ΄Π°ΠΆΠ΅ банковских ΠΊΠ°Ρ€Ρ‚, ΡƒΠΊΡ€Π°Π΄Π΅Π½Π½Ρ‹Ρ… ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ сниффСра.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
Анализируя Π΄ΠΎΠΌΠ΅Π½ analytic.is, располоТСнный Π½Π° Ρ‚ΠΎΠΌ ΠΆΠ΅ сСрвСрС, Ρ‡Ρ‚ΠΎ ΠΈ Π΄ΠΎΠΌΠ΅Π½Ρ‹, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Π΅ сниффСрами для сбора ΡƒΠΊΡ€Π°Π΄Π΅Π½Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…, спСциалисты Group-IB ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ»ΠΈ Ρ„Π°ΠΉΠ», содСрТащий Π»ΠΎΠ³ΠΈ Cookie-стиллСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ, ΠΏΠΎΡ…ΠΎΠΆΠ΅, ΠΏΠΎΠ·Π΄Π½Π΅Π΅ Π±Ρ‹Π» Π·Π°Π±Ρ€ΠΎΡˆΠ΅Π½ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠΌ. Одна ΠΈΠ· записСй Π² Π»ΠΎΠ³Π΅ содСрТала Π΄ΠΎΠΌΠ΅Π½ iozoz.com, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Ρ€Π°Π½Π΅Π΅ Π±Ρ‹Π» использован Π² ΠΎΠ΄Π½ΠΎΠΌ ΠΈΠ· сниффСров, Π°ΠΊΡ‚ΠΈΠ²Π½Ρ‹Ρ… Π² 2016 Π³ΠΎΠ΄Ρƒ. ΠŸΡ€Π΅Π΄ΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ, этот Π΄ΠΎΠΌΠ΅Π½ Ρ€Π°Π½Π΅Π΅ использовался Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠΌ для сбора ΡƒΠΊΡ€Π°Π΄Π΅Π½Π½Ρ‹Ρ… ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ сниффСра ΠΊΠ°Ρ€Ρ‚. Π­Ρ‚ΠΎΡ‚ Π΄ΠΎΠΌΠ΅Π½ Π±Ρ‹Π» зарСгистрирован Π½Π° email-адрСс [email protected], ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Ρ‚Π°ΠΊΠΆΠ΅ Π±Ρ‹Π» использован для рСгистрации Π΄ΠΎΠΌΠ΅Π½ΠΎΠ² cardz.su ΠΈ cardz.vc, относящихся ΠΊ ΠΊΠ°Ρ€Π΄ΠΈΠ½Π³ΠΎΠ²ΠΎΠΌΡƒ ΠΌΠ°Π³Π°Π·ΠΈΠ½Ρƒ Cardsurfs.

Π˜ΡΡ…ΠΎΠ΄Ρ ΠΈΠ· ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½Π½Ρ‹Ρ… Π΄Π°Π½Π½Π½Ρ‹Ρ…, ΠΌΠΎΠΆΠ½ΠΎ ΡΠ΄Π΅Π»Π°Ρ‚ΡŒ ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅, Ρ‡Ρ‚ΠΎ сСмСйство сниффСров G-Analytics ΠΈ ΠΏΠΎΠ΄ΠΏΠΎΠ»ΡŒΠ½Ρ‹ΠΉ ΠΌΠ°Π³Π°Π·ΠΈΠ½ ΠΏΠΎ ΠΏΡ€ΠΎΠ΄Π°ΠΆΠ΅ банковских ΠΊΠ°Ρ€Ρ‚ Cardsurfs ΡƒΠΏΡ€Π°Π²Π»ΡΡŽΡ‚ΡΡ ΠΎΠ΄Π½ΠΈΠΌΠΈ ΠΈ Ρ‚Π΅ΠΌΠΈ ΠΆΠ΅ людьми, Π° ΠΌΠ°Π³Π°Π·ΠΈΠ½ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ для Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ банковских ΠΊΠ°Ρ€Ρ‚, ΡƒΠΊΡ€Π°Π΄Π΅Π½Π½Ρ‹Ρ… ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ сниффСра.

Π˜Π½Ρ„Ρ€Π°ΡΡ‚Ρ€ΡƒΠΊΡ‚ΡƒΡ€Π°

Π”ΠΎΠΌΠ΅Π½ Π”Π°Ρ‚Π° обнаруТСния/появлСния
iozoz.com 08.04.2016
dittm.org 10.09.2016
jquery-js.com 02.01.2017
g-analytics.com 31.05.2018
google-analytics.is 21.11.2018
analytic.to 04.12.2018
google-analytics.to 06.12.2018
google-analytics.cm 28.12.2018
analytic.is 28.12.2018
googlc-analytics.cm 17.01.2019

БСмСйство Illum

Illum β€” сСмСйство сниффСров, примСняСмоС для Π°Ρ‚Π°ΠΊ Π½Π° ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Ρ‹, Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰ΠΈΠ΅ ΠΏΠΎΠ΄ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ΠΌ CMS Magento. Помимо внСдрСния врСдоносного ΠΊΠΎΠ΄Π°, ΠΎΠΏΠ΅Ρ€Π°Ρ‚ΠΎΡ€Ρ‹ этого сниффСра Ρ‚Π°ΠΊΠΆΠ΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ Π²Π½Π΅Π΄Ρ€Π΅Π½ΠΈΠ΅ ΠΏΠΎΠ»Π½ΠΎΡ†Π΅Π½Π½Ρ‹Ρ… ΠΏΠΎΠ΄Π΄Π΅Π»ΡŒΠ½Ρ‹Ρ… Ρ„ΠΎΡ€ΠΌ ΠΎΠΏΠ»Π°Ρ‚Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΎΡ‚ΠΏΡ€Π°Π²Π»ΡΡŽΡ‚ Π΄Π°Π½Π½Ρ‹Π΅ Π½Π° ΠΏΠΎΠ΄ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒΠ½Ρ‹Π΅ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌ Π³Π΅ΠΉΡ‚Ρ‹.

ΠŸΡ€ΠΈ Π°Π½Π°Π»ΠΈΠ·Π΅ сСтСвой инфраструктуры, ΠΊΠΎΡ‚ΠΎΡ€ΡƒΡŽ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ ΠΎΠΏΠ΅Ρ€Π°Ρ‚ΠΎΡ€Ρ‹ этого сниффСра, Π±Ρ‹Π»ΠΎ ΠΎΡ‚ΠΌΠ΅Ρ‡Π΅Π½ΠΎ большоС количСство врСдоносных скриптов, эксплойтов, ΠΏΠΎΠ΄Π΄Π΅Π»ΡŒΠ½Ρ‹Ρ… ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Ρ… Ρ„ΠΎΡ€ΠΌ, Π° Ρ‚Π°ΠΊΠΆΠ΅ сборник ΠΏΡ€ΠΈΠΌΠ΅Ρ€ΠΎΠ² с врСдоносными сниффСрами ΠΊΠΎΠ½ΠΊΡƒΡ€Π΅Π½Ρ‚ΠΎΠ². Π˜ΡΡ…ΠΎΠ΄Ρ ΠΈΠ· ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΎ Π΄Π°Ρ‚Π°Ρ… появлСния Π΄ΠΎΠΌΠ΅Π½Π½Ρ‹Ρ… ΠΈΠΌΠ΅Π½, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… Π³Ρ€ΡƒΠΏΠΏΠΎΠΉ, ΠΌΠΎΠΆΠ½ΠΎ ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ Π½Π°Ρ‡Π°Π»ΠΎ ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ приходится Π½Π° ΠΊΠΎΠ½Π΅Ρ† 2016 Π³ΠΎΠ΄Π°.

Как Illum внСдряСтся Π² ΠΊΠΎΠ΄ ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°

ΠŸΠ΅Ρ€Π²Ρ‹Π΅ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹Π΅ вСрсии сниффСра Π²Π½Π΅Π΄Ρ€ΡΠ»ΠΈΡΡŒ прямо Π² ΠΊΠΎΠ΄ скомпромСтированного сайта. Π£ΠΊΡ€Π°Π΄Π΅Π½Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ ΠΎΡ‚ΠΏΡ€Π°Π²Π»ΡΠ»ΠΈΡΡŒ ΠΏΠΎ адрСсу cdn.illum[.]pw/records.php, Π³Π΅ΠΉΡ‚ ΠΆΠ΅ Π±Ρ‹Π» Π·Π°ΠΊΠΎΠ΄ΠΈΡ€ΠΎΠ²Π°Π½ ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ base64.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
ПозднСС Π±Ρ‹Π»Π° ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π° упакованная вСрсия сниффСра, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰Π°Ρ Π΄Ρ€ΡƒΠ³ΠΎΠΉ Π³Π΅ΠΉΡ‚ β€” records.nstatistics[.]com/records.php.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
Богласно ΠΎΡ‚Ρ‡Π΅Ρ‚Ρƒ Willem de Groot, Ρ‚Π°ΠΊΠΎΠΉ ΠΆΠ΅ хост использовался Π² сниффСрС, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π±Ρ‹Π» Π²Π½Π΅Π΄Ρ€Π΅Π½ Π½Π° сайт ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°, ΠΏΡ€ΠΈΠ½Π°Π΄Π»Π΅ΠΆΠ°Ρ‰Π΅Π³ΠΎ Π½Π΅ΠΌΠ΅Ρ†ΠΊΠΎΠΉ политичСской ΠΏΠ°Ρ€Ρ‚ΠΈΠΈ CSU.

Анализ сайта Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ²

БпСциалисты Group-IB ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ»ΠΈ ΠΈ ΠΏΡ€ΠΎΠ°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Π»ΠΈ сайт, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹ΠΉ Π΄Π°Π½Π½ΠΎΠΉ прСступной Π³Ρ€ΡƒΠΏΠΏΠΎΠΉ для хранСния инструмСнтов ΠΈ сбора ΡƒΠΊΡ€Π°Π΄Π΅Π½Π½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
Π‘Ρ€Π΅Π΄ΠΈ инструмСнтов, ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹Ρ… Π½Π° сСрвСрС Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ², Π±Ρ‹Π»ΠΈ Π½Π°ΠΉΠ΄Π΅Π½Ρ‹ скрипты ΠΈ эксплойты для ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΡ ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΉ Π² ОБ Linux: ΠΊ ΠΏΡ€ΠΈΠΌΠ΅Ρ€Ρƒ, Linux Privilege Escalation Check Script, Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½Π½Ρ‹ΠΉ Майком Π§ΡƒΠΌΠ°ΠΊΠΎΠΌ (Mike Czumak), Π° Ρ‚Π°ΠΊΠΆΠ΅ эксплойт для CVE-2009-1185.

НСпосрСдствСнно для Π°Ρ‚Π°ΠΊ Π½Π° ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Ρ‹ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ использовали Π΄Π²Π° эксплойта: ΠΏΠ΅Ρ€Π²Ρ‹ΠΉ способСн Π²Π½Π΅Π΄Ρ€ΠΈΡ‚ΡŒ врСдоносный ΠΊΠΎΠ΄ Π² core_config_data ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ эксплуатации CVE-2016-4010, Π²Ρ‚ΠΎΡ€ΠΎΠΉ эксплуатируСт ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Ρ‚ΠΈΠΏΠ° RCE Π² ΠΏΠ»Π°Π³ΠΈΠ½Π°Ρ… для CMS Magento, позволяя Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ»ΡŒΠ½Ρ‹ΠΉ ΠΊΠΎΠ΄ Π½Π° уязвимом Π²Π΅Π±-сСрвСрС.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
Π’Π°ΠΊΠΆΠ΅ Π² Ρ…ΠΎΠ΄Π΅ Π°Π½Π°Π»ΠΈΠ·Π° сСрвСра Π±Ρ‹Π»ΠΈ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Ρ‹ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Π΅ ΠΎΠ±Ρ€Π°Π·Ρ†Ρ‹ сниффСров ΠΈ Ρ„Π°Π»ΡŒΡˆΠΈΠ²Ρ‹Ρ… ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Ρ… Ρ„ΠΎΡ€ΠΌ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌΠΈ для сбора ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ со Π²Π·Π»ΠΎΠΌΠ°Π½Π½Ρ‹Ρ… сайтов. Как ΠΌΠΎΠΆΠ½ΠΎ Π·Π°ΠΌΠ΅Ρ‚ΠΈΡ‚ΡŒ ΠΈΠ· списка Π½ΠΈΠΆΠ΅, Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ скрипты создавались ΠΈΠ½Π΄ΠΈΠ²ΠΈΠ΄ΡƒΠ°Π»ΡŒΠ½ΠΎ для ΠΊΠ°ΠΆΠ΄ΠΎΠ³ΠΎ Π²Π·Π»ΠΎΠΌΠ°Π½Π½ΠΎΠ³ΠΎ сайта, Π² Ρ‚ΠΎ врСмя ΠΊΠ°ΠΊ для ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½Ρ‹Ρ… CMS ΠΈ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Ρ… шлюзов использовалось ΡƒΠ½ΠΈΠ²Π΅Ρ€ΡΠ°Π»ΡŒΠ½ΠΎΠ΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅. К ΠΏΡ€ΠΈΠΌΠ΅Ρ€Ρƒ, скрипты segapay_standart.js ΠΈ segapay_onpage.js ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Ρ‹ для внСдрСния Π½Π° сайты, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΠ΅ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹ΠΉ шлюз Sage Pay.

Бписок скриптов для Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Ρ… шлюзов

Π‘ΠΊΡ€ΠΈΠΏΡ‚ ΠŸΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹ΠΉ шлюз
sr.illum[.]pw/mjs_special/visiondirect.co.uk.js //request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/topdierenshop.nl.js //request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/tiendalenovo.es.js //request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/pro-bolt.com.js //request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/plae.co.js //request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/ottolenghi.co.uk.js //request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/oldtimecandy.com.js //request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/mylook.ee.js //cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs_special/luluandsky.com.js //request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/julep.com.js //cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs_special/gymcompany.es.js //request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/grotekadoshop.nl.js //request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/fushi.co.uk.js //request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/fareastflora.com.js //request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/compuindia.com.js //request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs/segapay_standart.js //cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/segapay_onpage.js //cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/replace_standart.js //request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs/all_inputs.js //cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/add_inputs_standart.js //request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/magento/payment_standart.js //cdn.illum[.]pw/records.php
sr.illum[.]pw/magento/payment_redirect.js //payrightnow[.]cf/?payment=
sr.illum[.]pw/magento/payment_redcrypt.js //payrightnow[.]cf/?payment=
sr.illum[.]pw/magento/payment_forminsite.js //paymentnow[.]tk/?payment=

Π₯ост paymentnow[.]tk, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹ΠΉ ΠΊΠ°ΠΊ Π³Π΅ΠΉΡ‚ Π² скриптС payment_forminsite.js, Π±Ρ‹Π» ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ ΠΊΠ°ΠΊ subjectAltName Π² Π½Π΅ΡΠΊΠΎΠ»ΡŒΠΊΠΈΡ… сСртификатах, относящихся ΠΊ сСрвису CloudFlare. Помимо этого, Π½Π° хостС располагался скрипт evil.js. Будя ΠΏΠΎ ΠΈΠΌΠ΅Π½ΠΈ скрипта, ΠΎΠ½ ΠΌΠΎΠ³ Π±Ρ‹Ρ‚ΡŒ использован Π² Ρ€Π°ΠΌΠΊΠ°Ρ… эксплуатации CVE-2016-4010, благодаря ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ ΠΌΠΎΠΆΠ½ΠΎ Π²Π½Π΅Π΄Ρ€ΠΈΡ‚ΡŒ врСдоносный ΠΊΠΎΠ΄ Π² footer сайта ΠΏΠΎΠ΄ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ΠΌ CMS Magento. Π’ качСствС Π³Π΅ΠΉΡ‚Π° этот скрипт ΠΏΡ€ΠΈΠΌΠ΅Π½ΠΈΠ» хост request.requestnet[.]tk, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΠΉ Ρ‚ΠΎΡ‚ ΠΆΠ΅ сСртификат, Ρ‡Ρ‚ΠΎ ΠΈ хост paymentnow[.]tk.

ΠŸΠΎΠ΄Π΄Π΅Π»ΡŒΠ½Ρ‹Π΅ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Π΅ Ρ„ΠΎΡ€ΠΌΡ‹

НиТС Π½Π° рисункС ΠΏΠΎΠΊΠ°Π·Π°Π½ ΠΏΡ€ΠΈΠΌΠ΅Ρ€ Ρ„ΠΎΡ€ΠΌΡ‹ для Π²Π²ΠΎΠ΄Π° Π΄Π°Π½Π½Ρ‹Ρ… ΠΊΠ°Ρ€Ρ‚Ρ‹. Π­Ρ‚Π° Ρ„ΠΎΡ€ΠΌΠ° использовалась для внСдрСния Π½Π° сайт ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π° ΠΈ ΠΊΡ€Π°ΠΆΠΈ Π΄Π°Π½Π½Ρ‹Ρ… ΠΊΠ°Ρ€Ρ‚.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
На ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅ΠΌ рисункС β€” ΠΏΡ€ΠΈΠΌΠ΅Ρ€ поддСльной ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½ΠΎΠΉ Ρ„ΠΎΡ€ΠΌΡ‹ PayPal, ΠΊΠΎΡ‚ΠΎΡ€ΡƒΡŽ использовали Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ для внСдрСния Π½Π° сайты с этим ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠΌ ΠΎΠΏΠ»Π°Ρ‚Ρ‹.
Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
Π˜Π½Ρ„Ρ€Π°ΡΡ‚Ρ€ΡƒΠΊΡ‚ΡƒΡ€Π°

Π”ΠΎΠΌΠ΅Π½ Π”Π°Ρ‚Π° обнаруТСния/появлСния
cdn.illum.pw 27/11/2016
records.nstatistics.com 06/09/2018
request.payrightnow.cf 25/05/2018
paymentnow.tk 16/07/2017
payment-line.tk 01/03/2018
paymentpal.cf 04/09/2017
requestnet.tk 28/06/2017

БСмСйство CoffeMokko

БСмСйство сниффСров CoffeMokko, ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Π½Ρ‹Ρ… для ΠΊΡ€Π°ΠΆΠΈ банковских ΠΊΠ°Ρ€Ρ‚ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½ΠΎΠ², ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ ΠΊΠ°ΠΊ ΠΌΠΈΠ½ΠΈΠΌΡƒΠΌ с мая 2017 Π³ΠΎΠ΄Π°. ΠŸΡ€Π΅Π΄ΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ, ΠΎΠΏΠ΅Ρ€Π°Ρ‚ΠΎΡ€Π°ΠΌΠΈ Π΄Π°Π½Π½ΠΎΠ³ΠΎ сСмСйства сниффСров являСтся прСступная Π³Ρ€ΡƒΠΏΠΏΠ° Group 1, описанная спСциалистами RiskIQ Π² 2016 Π³ΠΎΠ΄Ρƒ. Атакам ΠΏΠΎΠ΄Π²Π΅Ρ€Π³Π»ΠΈΡΡŒ сайты ΠΏΠΎΠ΄ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ΠΌ Ρ‚Π°ΠΊΠΈΡ… CMS, ΠΊΠ°ΠΊ Magento, OpenCart, WordPress, osCommerce, Shopify.

Как CoffeMokko внСдряСтся Π² ΠΊΠΎΠ΄ ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°

ΠžΠΏΠ΅Ρ€Π°Ρ‚ΠΎΡ€Ρ‹ этого сСмСйства ΡΠΎΠ·Π΄Π°ΡŽΡ‚ ΡƒΠ½ΠΈΠΊΠ°Π»ΡŒΠ½Ρ‹Π΅ сниффСры для ΠΊΠ°ΠΆΠ΄ΠΎΠ³ΠΎ зараТСния: Ρ„Π°ΠΉΠ» сниффСра располагаСтся Π² Π΄ΠΈΡ€Π΅ΠΊΡ‚ΠΎΡ€ΠΈΠΈ src ΠΈΠ»ΠΈ js Π½Π° сСрвСрС Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ². Π’Π½Π΅Π΄Ρ€Π΅Π½ΠΈΠ΅ Π² ΠΊΠΎΠ΄ сайта осущСствляСтся ΠΏΠΎ прямой ссылкС Π½Π° сниффСр.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
Π’ ΠΊΠΎΠ΄Π΅ сниффСра ТСстко Π·Π°ΠΊΠΎΠ΄ΠΈΡ€ΠΎΠ²Π°Π½Ρ‹ названия ΠΏΠΎΠ»Π΅ΠΉ Ρ„ΠΎΡ€ΠΌΡ‹, ΠΈΠ· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΡƒΠΊΡ€Π°ΡΡ‚ΡŒ Π΄Π°Π½Π½Ρ‹Π΅. Π’Π°ΠΊΠΆΠ΅ сниффСр провСряСт, находится Π»ΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ Π½Π° страницС ΠΎΠΏΠ»Π°Ρ‚Ρ‹, свСряя список ΠΊΠ»ΡŽΡ‡Π΅Π²Ρ‹Ρ… слов с Ρ‚Π΅ΠΊΡƒΡ‰ΠΈΠΌ адрСсом ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
НСкоторыС ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹Π΅ вСрсии сниффСра Π±Ρ‹Π»ΠΈ обфусцированы ΠΈ содСрТали Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½ΡƒΡŽ строку, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ хранился основной массив рСсурсов: ΠΈΠΌΠ΅Π½Π½ΠΎ Π² Π½Π΅ΠΌ Π±Ρ‹Π»ΠΈ ΠΈΠΌΠ΅Π½Π° ΠΏΠΎΠ»Π΅ΠΉ Ρ„ΠΎΡ€ΠΌ для Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Ρ… систСм, Π° Ρ‚Π°ΠΊΠΆΠ΅ адрСс Π³Π΅ΠΉΡ‚Π°, Π½Π° ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΠΎΡ‚ΠΏΡ€Π°Π²Π»ΡΡ‚ΡŒ ΡƒΠΊΡ€Π°Π΄Π΅Π½Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
УкрадСнная платСТная информация ΠΎΡ‚ΠΏΡ€Π°Π²Π»ΡΠ»Π°ΡΡŒ скрипту Π½Π° сСрвСрС Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ² ΠΏΠΎ ΠΏΡƒΡ‚ΠΈ /savePayment/index.php ΠΈΠ»ΠΈ /tr/index.php. ΠŸΡ€Π΅Π΄ΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ, этот скрипт слуТит для ΠΎΡ‚ΠΏΡ€Π°Π²ΠΊΠΈ Π΄Π°Π½Π½Ρ‹Ρ… с Π³Π΅ΠΉΡ‚Π° Π½Π° основной сСрвСр, ΠΊΠΎΠ½ΡΠΎΠ»ΠΈΠ΄ΠΈΡ€ΡƒΡŽΡ‰ΠΈΠΉ Π΄Π°Π½Π½Ρ‹Π΅ со всСх сниффСров. Для сокрытия ΠΏΠ΅Ρ€Π΅Π΄Π°Π²Π°Π΅ΠΌΡ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ… вся платСТная информация ΠΆΠ΅Ρ€Ρ‚Π²Ρ‹ кодируСтся ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ base64, Π° Π·Π°Ρ‚Π΅ΠΌ происходит нСсколько Π·Π°ΠΌΠ΅Π½ символов:

  • символ Β«eΒ» замСняСтся Π½Π° Β«:Β»
  • символ Β«wΒ» замСняСтся Π½Π° Β«+Β»
  • символ Β«oΒ» замСняСтся Π½Π° Β«%Β»
  • символ Β«dΒ» замСняСтся Π½Π° Β«#Β»
  • символ Β«aΒ» замСняСтся Π½Π° Β«-Β»
  • символ Β«7Β» замСняСтся Π½Π° Β«^Β»
  • символ Β«hΒ» замСняСтся Π½Π° Β«_Β»
  • символ Β«TΒ» замСняСтся Π½Π° Β«@Β»
  • символ Β«0Β» замСняСтся Π½Π° Β«/Β»
  • символ Β«YΒ» замСняСтся Π½Π° Β«*Β»

Π’ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ Π·Π°ΠΌΠ΅Π½ символов Π·Π°ΠΊΠΎΠ΄ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ base64 Π΄Π°Π½Π½Ρ‹Π΅ Π½Π΅Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎ Π΄Π΅ΠΊΠΎΠ΄ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ, Π½Π΅ провСдя ΠΎΠ±Ρ€Π°Ρ‚Π½ΠΎΠ³ΠΎ прСобразования.

Π’Π°ΠΊ выглядит Ρ„Ρ€Π°Π³ΠΌΠ΅Π½Ρ‚ ΠΊΠΎΠ΄Π° сниффСра, Π½Π΅ ΠΏΠΎΠ΄Π²Π΅Ρ€Π³Π°Π²ΡˆΠ΅Π³ΠΎΡΡ обфускации:

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…

Анализ инфраструктуры

Π’ Ρ€Π°Π½Π½ΠΈΡ… кампаниях Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ рСгистрировали Π΄ΠΎΠΌΠ΅Π½Π½Ρ‹Π΅ ΠΈΠΌΠ΅Π½Π°, ΠΏΠΎΡ…ΠΎΠΆΠΈΠ΅ Π½Π° Π΄ΠΎΠΌΠ΅Π½Ρ‹ Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹Ρ… сайтов ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½ΠΎΠ². Π˜Ρ… Π΄ΠΎΠΌΠ΅Π½ ΠΌΠΎΠ³ ΠΎΡ‚Π»ΠΈΡ‡Π°Ρ‚ΡŒΡΡ ΠΎΡ‚ Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½ΠΎΠ³ΠΎ ΠΎΠ΄Π½ΠΈΠΌ символом ΠΈΠ»ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠΌ TLD. ЗарСгистрированныС Π΄ΠΎΠΌΠ΅Π½Ρ‹ использовались для хранСния ΠΊΠΎΠ΄Π° сниффСра, ссылка Π½Π° ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π²Π½Π΅Π΄Ρ€ΡΠ»Π°ΡΡŒ Π² ΠΊΠΎΠ΄ ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°.

Π’Π°ΠΊΠΆΠ΅ данная Π³Ρ€ΡƒΠΏΠΏΠ° использовала Π΄ΠΎΠΌΠ΅Π½Π½Ρ‹Π΅ ΠΈΠΌΠ΅Π½Π°, Π½Π°ΠΏΠΎΠΌΠΈΠ½Π°ΡŽΡ‰ΠΈΠ΅ Π½Π°Π·Π²Π°Π½ΠΈΠ΅ популярных ΠΏΠ»Π°Π³ΠΈΠ½ΠΎΠ² для jQuery (slickjs[.]org для сайтов, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΡ… ΠΏΠ»Π°Π³ΠΈΠ½ slick.js), ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Ρ… шлюзов (sagecdn[.]org для сайтов, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΡ… ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½ΡƒΡŽ систСму Sage Pay).

ПозднСС Π³Ρ€ΡƒΠΏΠΏΠ° Π½Π°Ρ‡Π°Π»Π° ΡΠΎΠ·Π΄Π°Π²Π°Ρ‚ΡŒ Π΄ΠΎΠΌΠ΅Π½Ρ‹, Π½Π°Π·Π²Π°Π½ΠΈΠ΅ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π½Π΅ ΠΈΠΌΠ΅Π»ΠΎ Π½ΠΈΡ‡Π΅Π³ΠΎ ΠΎΠ±Ρ‰Π΅Π³ΠΎ Π½ΠΈ с Π΄ΠΎΠΌΠ΅Π½ΠΎΠΌ ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°, Π½ΠΈ с Ρ‚Π΅ΠΌΠ°Ρ‚ΠΈΠΊΠΎΠΉ ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
ΠšΠ°ΠΆΠ΄ΠΎΠΌΡƒ Π΄ΠΎΠΌΠ΅Π½Ρƒ соотвСтствовал сайт, Π½Π° ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ создавалась дирСктория /js ΠΈΠ»ΠΈ /src. Π’ этой Π΄ΠΈΡ€Π΅ΠΊΡ‚ΠΎΡ€ΠΈΠΈ Ρ…Ρ€Π°Π½ΠΈΠ»ΠΈΡΡŒ скрипты сниффСров: ΠΏΠΎ ΠΎΠ΄Π½ΠΎΠΌΡƒ сниффСру Π½Π° ΠΊΠ°ΠΆΠ΄ΠΎΠ΅ Π½ΠΎΠ²ΠΎΠ΅ Π·Π°Ρ€Π°ΠΆΠ΅Π½ΠΈΠ΅. Π‘Π½ΠΈΡ„Ρ„Π΅Ρ€ внСдрялся Π² ΠΊΠΎΠ΄ сайта ΠΏΠΎ прямой ссылкС, Π½ΠΎ Π² Ρ€Π΅Π΄ΠΊΠΈΡ… случаях Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΠΌΠΎΠ΄ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π»ΠΈ ΠΎΠ΄ΠΈΠ½ ΠΈΠ· Ρ„Π°ΠΉΠ»ΠΎΠ² сайта ΠΈ добавляли Π² Π½Π΅Π³ΠΎ врСдоносный ΠΊΠΎΠ΄.

Анализ кода

ΠŸΠ΅Ρ€Π²Ρ‹ΠΉ Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌ обфускации

Π’ Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹Ρ… ΠΎΠ±Ρ€Π°Π·Ρ†Π°Ρ… сниффСров этого сСмСйства ΠΊΠΎΠ΄ Π±Ρ‹Π» обфусцирован ΠΈ содСрТал Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅, Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹Π΅ для Ρ€Π°Π±ΠΎΡ‚Ρ‹ сниффСра: Π² частности, адрСс Π³Π΅ΠΉΡ‚Π° сниффСра, список ΠΏΠΎΠ»Π΅ΠΉ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½ΠΎΠΉ Ρ„ΠΎΡ€ΠΌΡ‹, Π° Π² Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… случаях β€” ΠΊΠΎΠ΄ поддСльной Ρ„ΠΎΡ€ΠΌΡ‹ ΠΎΠΏΠ»Π°Ρ‚Ρ‹. Π’ ΠΊΠΎΠ΄Π΅ Π²Π½ΡƒΡ‚Ρ€ΠΈ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ рСсурсы Π±Ρ‹Π»ΠΈ Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Ρ‹ ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ XOR ΠΏΠΎ ΠΊΠ»ΡŽΡ‡Ρƒ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ пСрСдавался Π°Ρ€Π³ΡƒΠΌΠ΅Π½Ρ‚ΠΎΠΌ этой ΠΆΠ΅ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
Π Π°ΡΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π² строку ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠΌ ΠΊΠ»ΡŽΡ‡ΠΎΠΌ, ΡƒΠ½ΠΈΠΊΠ°Π»ΡŒΠ½Ρ‹ΠΌ для ΠΊΠ°ΠΆΠ΄ΠΎΠ³ΠΎ ΠΎΠ±Ρ€Π°Π·Ρ†Π°, ΠΌΠΎΠΆΠ½ΠΎ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ строку, ΡΠΎΠ΄Π΅Ρ€ΠΆΠ°Ρ‰ΡƒΡŽ всС строки ΠΈΠ· ΠΊΠΎΠ΄Π° сниффСра Ρ‡Π΅Ρ€Π΅Π· символ-Ρ€Π°Π·Π΄Π΅Π»ΠΈΡ‚Π΅Π»ΡŒ.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…

Π’Ρ‚ΠΎΡ€ΠΎΠΉ Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌ обфускации

Π’ Π±ΠΎΠ»Π΅Π΅ ΠΏΠΎΠ·Π΄Π½ΠΈΡ… ΠΎΠ±Ρ€Π°Π·Ρ†Π°Ρ… сниффСров этого сСмСйства Π±Ρ‹Π» использован Π΄Ρ€ΡƒΠ³ΠΎΠΉ ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌ обфускации: Π² этом случаС Π΄Π°Π½Π½Ρ‹Π΅ Π±Ρ‹Π»ΠΈ Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Ρ‹ ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ самописного Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠ°. Π‘Ρ‚Ρ€ΠΎΠΊΠ°, содСрТащая Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅, Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹Π΅ для Ρ€Π°Π±ΠΎΡ‚Ρ‹ сниффСра, ΠΏΠ΅Ρ€Π΅Π΄Π°Π²Π°Π»Π°ΡΡŒ Π°Ρ€Π³ΡƒΠΌΠ΅Π½Ρ‚ΠΎΠΌ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ Ρ€Π°ΡΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
ΠŸΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ консоли Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Π° ΠΌΠΎΠΆΠ½ΠΎ Ρ€Π°ΡΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Ρ‚ΡŒ Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ ΠΈ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ массив, содСрТащий рСсурсы сниффСра.

Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…

Бвязь с Ρ€Π°Π½Π½ΠΈΠΌΠΈ Π°Ρ‚Π°ΠΊΠ°ΠΌΠΈ MageCart

Π’ Ρ…ΠΎΠ΄Π΅ Π°Π½Π°Π»ΠΈΠ·Π° ΠΎΠ΄Π½ΠΎΠ³ΠΎ ΠΈΠ· Π΄ΠΎΠΌΠ΅Π½ΠΎΠ², ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… Π³Ρ€ΡƒΠΏΠΏΠΎΠΉ Π² качСствС Π³Π΅ΠΉΡ‚Π° для сбора ΡƒΠΊΡ€Π°Π΄Π΅Π½Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…, Π±Ρ‹Π»ΠΎ установлСно, Ρ‡Ρ‚ΠΎ Π½Π° этом Π΄ΠΎΠΌΠ΅Π½Π΅ Ρ€Π°Π·Π²Π΅Ρ€Π½ΡƒΡ‚Π° инфраструктура для ΠΊΡ€Π°ΠΆΠΈ ΠΊΡ€Π΅Π΄ΠΈΡ‚Π½Ρ‹Ρ… ΠΊΠ°Ρ€Ρ‚, идСнтичная Ρ‚ΠΎΠΉ, которая использовалась Group 1 β€” ΠΎΠ΄Π½ΠΎΠΉ ΠΈΠ· ΠΏΠ΅Ρ€Π²Ρ‹Ρ… Π³Ρ€ΡƒΠΏΠΏ, ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹Ρ… спСциалистами RiskIQ.

На хостС сСмСйства сниффСров CoffeMokko Π±Ρ‹Π»ΠΈ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Ρ‹ Π΄Π²Π° Ρ„Π°ΠΉΠ»Π°:

  • mage.js β€” Ρ„Π°ΠΉΠ», содСрТащий ΠΊΠΎΠ΄ сниффСра Group 1 с адрСсом Π³Π΅ΠΉΡ‚Π° js-cdn.link
  • mag.php β€” PHP-скрипт, ΠΎΡ‚Π²Π΅Ρ‡Π°ΡŽΡ‰ΠΈΠΉ Π·Π° сбор ΡƒΠΊΡ€Π°Π΄Π΅Π½Π½Ρ‹Ρ… сниффСром Π΄Π°Π½Π½Ρ‹Ρ…

Π‘ΠΎΠ΄Π΅Ρ€ΠΆΠΈΠΌΠΎΠ΅ Ρ„Π°ΠΉΠ»Π° mage.js Π§Π΅Ρ‚Ρ‹Ρ€Π΅ JavaScript-сниффСра, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΡΡ‚Π΅Ρ€Π΅Π³Π°ΡŽΡ‚ вас Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°Ρ…
Π’Π°ΠΊΠΆΠ΅ Π±Ρ‹Π»ΠΎ установлСно, Ρ‡Ρ‚ΠΎ самыС Ρ€Π°Π½Π½ΠΈΠ΅ Π΄ΠΎΠΌΠ΅Π½Ρ‹, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Π΅ Π³Ρ€ΡƒΠΏΠΏΠΎΠΉ, стоящСй Π·Π° сСмСйством сниффСров CoffeMokko, Π±Ρ‹Π»ΠΈ зарСгистрированы 17 мая 2017 Π³ΠΎΠ΄Π°:

  • link-js[.]link
  • info-js[.]link
  • track-js[.]link
  • map-js[.]link
  • smart-js[.]link

Π€ΠΎΡ€ΠΌΠ°Ρ‚ этих Π΄ΠΎΠΌΠ΅Π½Π½Ρ‹Ρ… ΠΈΠΌΠ΅Π½ совпадаСт с Π΄ΠΎΠΌΠ΅Π½Π½Ρ‹ΠΌΠΈ ΠΈΠΌΠ΅Π½Π°ΠΌΠΈ Group 1, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π±Ρ‹Π»ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Π½Ρ‹ Π² Π°Ρ‚Π°ΠΊΠ°Ρ… 2016 Π³ΠΎΠ΄Π°.

На основС ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹Ρ… Ρ„Π°ΠΊΡ‚ΠΎΠ² ΠΌΠΎΠΆΠ½ΠΎ ΡΠ΄Π΅Π»Π°Ρ‚ΡŒ ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅, Ρ‡Ρ‚ΠΎ ΠΌΠ΅ΠΆΠ΄Ρƒ ΠΎΠΏΠ΅Ρ€Π°Ρ‚ΠΎΡ€Π°ΠΌΠΈ сниффСров CoffeMokko ΠΈ прСступной Π³Ρ€ΡƒΠΏΠΏΠΎΠΉ Group 1 Π΅ΡΡ‚ΡŒ связь. ΠŸΡ€Π΅Π΄ΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ, ΠΎΠΏΠ΅Ρ€Π°Ρ‚ΠΎΡ€Ρ‹ CoffeMokko ΠΌΠΎΠ³Π»ΠΈ ΠΏΠΎΠ·Π°ΠΈΠΌΡΡ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ Ρƒ своих ΠΏΡ€Π΅Π΄ΡˆΠ΅ΡΡ‚Π²Π΅Π½Π½ΠΈΠΊΠΎΠ² инструмСнты ΠΈ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ΅ обСспСчСниС для ΠΊΡ€Π°ΠΆΠΈ ΠΊΠ°Ρ€Ρ‚. Однако Π±ΠΎΠ»Π΅Π΅ вСроятно, Ρ‡Ρ‚ΠΎ прСступная Π³Ρ€ΡƒΠΏΠΏΠ°, стоящая Π·Π° использованиСм сниффСров сСмСйства CoffeMokko, β€” это Ρ‚Π΅ ΠΆΠ΅ люди, Ρ‡Ρ‚ΠΎ осущСствляли Π°Ρ‚Π°ΠΊΠΈ Π² Ρ€Π°ΠΌΠΊΠ°Ρ… Π΄Π΅ΡΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ Group 1. ПослС ΠΏΡƒΠ±Π»ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΏΠ΅Ρ€Π²ΠΎΠ³ΠΎ ΠΎΡ‚Ρ‡Π΅Ρ‚Π° ΠΎ Π΄Π΅ΡΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ прСступной Π³Ρ€ΡƒΠΏΠΏΡ‹ всС ΠΈΡ… Π΄ΠΎΠΌΠ΅Π½Π½Ρ‹Π΅ ΠΈΠΌΠ΅Π½Π° Π±Ρ‹Π»ΠΈ Π·Π°Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Π½Ρ‹, Π° инструмСнты ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½ΠΎ ΠΈΠ·ΡƒΡ‡Π΅Π½Ρ‹ ΠΈ описаны. Π“Ρ€ΡƒΠΏΠΏΠ° Π±Ρ‹Π»Π° Π²Ρ‹Π½ΡƒΠΆΠ΄Π΅Π½Π° Π²Π·ΡΡ‚ΡŒ ΠΏΠ΅Ρ€Π΅Ρ€Ρ‹Π², Π΄ΠΎΡ€Π°Π±ΠΎΡ‚Π°Ρ‚ΡŒ свои Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½ΠΈΠ΅ инструмСнты ΠΈ ΠΏΠ΅Ρ€Π΅ΠΏΠΈΡΠ°Ρ‚ΡŒ ΠΊΠΎΠ΄ сниффСров для Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΏΡ€ΠΎΠ΄ΠΎΠ»ΠΆΠΈΡ‚ΡŒ свои Π°Ρ‚Π°ΠΊΠΈ ΠΈ ΠΎΡΡ‚Π°Π²Π°Ρ‚ΡŒΡΡ Π½Π΅Π·Π°ΠΌΠ΅Ρ‡Π΅Π½Π½Ρ‹ΠΌΠΈ.

Π˜Π½Ρ„Ρ€Π°ΡΡ‚Ρ€ΡƒΠΊΡ‚ΡƒΡ€Π°

Π”ΠΎΠΌΠ΅Π½ Π”Π°Ρ‚Π° обнаруТСния/появлСния
link-js.link 17.05.2017
info-js.link 17.05.2017
track-js.link 17.05.2017
map-js.link 17.05.2017
smart-js.link 17.05.2017
adorebeauty.org 03.09.2017
security-payment.su 03.09.2017
braincdn.org 04.09.2017
sagecdn.org 04.09.2017
slickjs.org 04.09.2017
oakandfort.org 10.09.2017
citywlnery.org 15.09.2017
dobell.su 04.10.2017
childsplayclothing.org 31.10.2017
jewsondirect.com 05.11.2017
shop-rnib.org 15.11.2017
closetlondon.org 16.11.2017
misshaus.org 28.11.2017
battery-force.org 01.12.2017
kik-vape.org 01.12.2017
greatfurnituretradingco.org 02.12.2017
etradesupply.org 04.12.2017
replacemyremote.org 04.12.2017
all-about-sneakers.org 05.12.2017
mage-checkout.org 05.12.2017
nililotan.org 07.12.2017
lamoodbighats.net 08.12.2017
walletgear.org 10.12.2017
dahlie.org 12.12.2017
davidsfootwear.org 20.12.2017
blackriverimaging.org 23.12.2017
exrpesso.org 02.01.2018
parks.su 09.01.2018
pmtonline.su 12.01.2018
ottocap.org 15.01.2018
christohperward.org 27.01.2018
coffetea.org 31.01.2018
energycoffe.org 31.01.2018
energytea.org 31.01.2018
teacoffe.net 31.01.2018
adaptivecss.org 01.03.2018
coffemokko.com 01.03.2018
londontea.net 01.03.2018
ukcoffe.com 01.03.2018
labbe.biz 20.03.2018
batterynart.com 03.04.2018
btosports.net 09.04.2018
chicksaddlery.net 16.04.2018
paypaypay.org 11.05.2018
ar500arnor.com 26.05.2018
authorizecdn.com 28.05.2018
slickmin.com 28.05.2018
bannerbuzz.info 03.06.2018
kandypens.net 08.06.2018
mylrendyphone.com 15.06.2018
freshchat.info 01.07.2018
3lift.org 02.07.2018
abtasty.net 02.07.2018
mechat.info 02.07.2018
zoplm.com 02.07.2018
zapaljs.com 02.09.2018
foodandcot.com 15.09.2018
freshdepor.com 15.09.2018
swappastore.com 15.09.2018
verywellfitnesse.com 15.09.2018
elegrina.com 18.11.2018
majsurplus.com 19.11.2018
top5value.com 19.11.2018

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ