Četiri JavaScript njuškala koja vas čekaju u online prodavnicama

Gotovo svi koristimo usluge online trgovina, što znači da prije ili kasnije riskiramo da postanemo žrtva JavaScript sniffera - posebnog koda koji napadači implementiraju na web stranicu za krađu podataka o bankovnim karticama, adresa, prijava i lozinki korisnika. .

Skoro 400 korisnika web stranice i mobilne aplikacije British Airwaysa već je pogođeno njuškama, kao i posjetitelji britanske web stranice sportskog giganta FILA-e i američkog distributera karata Ticketmaster. PayPal, Chase Paymenttech, USAePay, Moneris - ovi i mnogi drugi sistemi plaćanja su zaraženi.

Analitičar Threat Intelligence Group-IB Viktor Okorokov govori o tome kako njuškari infiltriraju kod web stranice i kradu informacije o plaćanju, kao i koje CRM-ove napadaju.

"Skrivena prijetnja"

Dogodilo se da su dugo vremena JS snifferi ostali van vidokruga antivirusnih analitičara, a banke i platni sistemi u njima nisu vidjeli ozbiljnu prijetnju. I potpuno uzalud. Stručnjaci Grupe-IB analiziran 2440 zaraženih online prodavnica, čiji su posetioci - ukupno oko 1,5 miliona ljudi dnevno - bili u opasnosti od kompromitovanja. Među žrtvama nisu samo korisnici, već i internet prodavnice, platni sistemi i banke koje su izdale kompromitovane kartice.

Izveštaj Group-IB je postala prva studija darknet tržišta za njuškale, njihovu infrastrukturu i metode monetizacije, koja njihovim kreatorima donosi milione dolara. Identifikovali smo 38 porodica njuškača, od kojih je samo 12 ranije bilo poznato istraživačima.

Zaustavimo se detaljno na četiri porodice njuškala koje su proučavane tokom studije.

ReactGet Family

Sniffers iz ReactGet porodice se koriste za krađu podataka o bankovnim karticama na stranicama za online kupovinu. Sniffer može raditi s velikim brojem različitih sistema plaćanja koji se koriste na stranici: jedna vrijednost parametra odgovara jednom sistemu plaćanja, a pojedinačne otkrivene verzije njuškala mogu se koristiti za krađu akreditiva, kao i za krađu podataka o bankovnoj kartici iz plaćanja oblici više platnih sistema odjednom, poput takozvanog univerzalnog njuškala. Utvrđeno je da u nekim slučajevima napadači provode phishing napade na administratore online trgovine kako bi dobili pristup administrativnom panelu stranice.

Kampanja korištenjem ove porodice sniffera započela je u maju 2017. godine, a napadnute su web stranice koje koriste CMS i platforme. Magento, Bigcommerce, Shopify.

Kako je ReactGet implementiran u kod online trgovine

Pored „klasične“ implementacije skripte putem veze, operateri ReactGet porodice njuškača koriste posebnu tehniku: pomoću JavaScript koda provjeravaju da li trenutna adresa na kojoj se korisnik nalazi ispunjava određene kriterije. Zlonamjerni kod će se izvršiti samo ako je podniz prisutan u trenutnom URL-u odjavljivanje ili naplata u jednom koraku, jedna stranica/, out/onepag, naplata/jedan, ckout/one. Dakle, sniffer kod će se izvršiti tačno u trenutku kada korisnik nastavi sa plaćanjem kupovine i unese podatke o plaćanju u obrazac na sajtu.

Ovaj njuškalo koristi nestandardnu ​​tehniku. Plaćanje i lični podaci žrtve se prikupljaju zajedno i kodiraju koristeći base64, a zatim se rezultirajući niz koristi kao parametar za slanje zahtjeva web stranici napadača. Najčešće, put do kapije imitira JavaScript datoteku, na primjer resp.js, data.js i tako dalje, ali se koriste i veze do slikovnih datoteka, GIF и JPG. Posebnost je u tome što njuškalo kreira objekat slike dimenzija 1 sa 1 piksel i koristi prethodno primljenu vezu kao parametar src Slike. Odnosno, za korisnika će takav zahtjev u prometu izgledati kao zahtjev za običnu sliku. Slična tehnika je korištena u ImageID porodici njuškača. Osim toga, tehnika korištenja slike veličine 1x1 piksel koristi se u mnogim legitimnim skriptama za online analitiku, što također može dovesti u zabludu korisnika.

Analiza verzije

Analiza aktivnih domena koje koriste ReactGet operatori njuškanja otkrila je mnogo različitih verzija ove porodice njuškala. Verzije se razlikuju po prisutnosti ili odsustvu zamagljivanja, a osim toga, svaki sniffer je dizajniran za određeni sistem plaćanja koji obrađuje plaćanja bankovnim karticama za online trgovine. Nakon što su sortirali vrijednost parametra koji odgovara broju verzije, stručnjaci Grupe-IB dobili su kompletnu listu dostupnih varijacija njuškala, a prema nazivima polja obrasca koje svaki njuškalo traži u kodu stranice, identifikovali su sisteme plaćanja na koje je njuškalo usmjereno.

Lista njuškala i njihovih odgovarajućih sistema plaćanja

Password sniffer

Jedna od prednosti JavaScript sniffera koji rade na strani klijenta web stranice je njihova svestranost: zlonamjerni kod ugrađen u web stranicu može ukrasti bilo koju vrstu podataka, bilo da su to podaci o plaćanju ili login i lozinka korisničkog računa. Stručnjaci Group-IB otkrili su uzorak njuškala koji pripada porodici ReactGet, dizajniran za krađu adresa e-pošte i lozinki korisnika stranice.

Raskrsnica sa ImageID njuškalom

Prilikom analize jedne od zaraženih prodavnica ustanovljeno je da je njena web stranica dva puta zaražena: pored zlonamjernog koda sniffera porodice ReactGet, otkriven je i kod sniffera porodice ImageID. Ovo preklapanje može biti dokaz da operateri koji stoje iza oba njuškala koriste slične tehnike za ubacivanje zlonamjernog koda.

Univerzalni njuškalo

Analiza jednog od imena domena povezanih s ReactGet infrastrukturom njuškanja otkrila je da je isti korisnik registrirao tri druga imena domena. Ova tri domena imitiraju domene web stranica iz stvarnog života i ranije su korištene za hostiranje njuškala. Prilikom analize koda tri legitimna sajta, otkriven je nepoznati sniffer, a dalja analiza je pokazala da se radi o poboljšanoj verziji ReactGet sniffera. Sve do sada praćene verzije ove porodice njuškača bile su usmjerene na jedan sistem plaćanja, odnosno svaki platni sistem zahtijevao je posebnu verziju njuškala. Međutim, u ovom slučaju je otkrivena univerzalna verzija njuškala koja je sposobna da ukrade informacije iz obrazaca vezanih za 15 različitih sistema plaćanja i modula e-commerce stranica za plaćanje putem interneta.

Dakle, na početku rada njuškač je tražio osnovna polja obrasca koja sadrže lične podatke žrtve: puno ime, fizičku adresu, broj telefona.

Sniffer je zatim pretražio preko 15 različitih prefiksa koji odgovaraju različitim sistemima plaćanja i modulima za online plaćanje.

Zatim su zajedno prikupljeni lični podaci žrtve i informacije o plaćanju i poslani na lokaciju koju kontroliše napadač: u ovom konkretnom slučaju otkrivene su dvije verzije univerzalnog ReactGet njuškala, koje se nalaze na dvije različite hakovane stranice. Međutim, obje verzije slale su ukradene podatke na istu hakovanu stranicu zoobashop.com.

Analiza prefiksa koje je njuškalo koristio za traženje polja koja sadrže informacije o plaćanju žrtve omogućila nam je da utvrdimo da je ovaj uzorak njuškala bio namijenjen sljedećim sistemima plaćanja:

• Authorize.Net
• Verisign
• Prvi podaci
• USAePay
• pruga
• PayPal
• ANZ eGate
• Braintree
• DataCash (MasterCard)
• Realex plaćanja
• PsiGate
• Heartland platni sustavi

Koji se alati koriste za krađu informacija o plaćanju?

Prvi alat, otkriven tokom analize infrastrukture napadača, koristi se za prikrivanje zlonamjernih skripti odgovornih za krađu bankovnih kartica. Bash skripta koja koristi CLI projekta otkrivena je na jednom od napadačevih hostova javascript-obfuscator za automatizaciju zamagljivanja sniffer koda.

Drugi otkriveni alat dizajniran je za generiranje koda odgovornog za učitavanje glavnog sniffera. Ovaj alat generira JavaScript kod koji provjerava da li je korisnik na stranici za plaćanje tražeći stringove na trenutnoj adresi korisnika odjavljivanje, kolica i tako dalje, a ako je rezultat pozitivan, onda kod učitava glavni sniffer sa servera napadača. Da bi se sakrila zlonamjerna aktivnost, svi redovi, uključujući testne linije za određivanje stranice plaćanja, kao i link na njuškalo, kodirani su pomoću base64.

Phishing napadi

Analiza mrežne infrastrukture napadača otkrila je da kriminalna grupa često koristi phishing kako bi dobila pristup administrativnoj ploči ciljane online trgovine. Napadači registruju domenu vizualno sličnu domeni trgovine, a zatim na njoj postavljaju lažni obrazac za prijavu na administrativnu ploču. MagentoAko uspiju, napadači će dobiti pristup administratorskoj ploči CMS-a. Magento, što im daje mogućnost uređivanja komponenti web stranice i implementacije sniffera za krađu podataka o kreditnim karticama.

Infrastruktura

G-Analytics porodica

Ova porodica njuškala se koristi za krađu korisničkih kartica iz online prodavnica. Prvi naziv domene koji je koristila grupa registrovan je u aprilu 2016. godine, što može ukazivati ​​na to da je grupa počela sa radom sredinom 2016. godine.

U trenutnoj kampanji, grupa koristi nazive domena koji imitiraju stvarne servise, kao što su Google Analytics i jQuery, maskirajući aktivnost sniffera legitimnim skriptama i nazivima domena koji podsjećaju na legitimne. Meta su bile web stranice koje koriste sistem za upravljanje sadržajem (CMS). Magento.

Kako se G-Analytics implementira u kod online trgovine

Posebnost ove porodice je korištenje različitih metoda za krađu podataka o plaćanju korisnika. Pored klasičnog ubrizgavanja JavaScript koda na klijentsku stranu sajta, kriminalna grupa je koristila i tehnike ubacivanja koda na serversku stranu sajta, odnosno PHP skripte koje obrađuju podatke koje je uneo korisnik. Ova tehnika je opasna jer otežava istraživačima trećih strana da otkriju zlonamjerni kod. Stručnjaci Grupe-IB otkrili su verziju njuškala ugrađenog u PHP kod stranice, koristeći domenu kao kapiju dittm.org.

Otkrivena je i rana verzija njuškala koji koristi istu domenu za prikupljanje ukradenih podataka dittm.org, ali ova verzija je namijenjena za instalaciju na strani klijenta online trgovine.

Grupa je kasnije promijenila svoju taktiku i počela se više fokusirati na skrivanje zlonamjernih aktivnosti i kamuflaže.

Početkom 2017. godine grupa je počela koristiti domenu jquery-js.com, maskiran kao CDN za jQuery: kada ode na lokaciju napadača, korisnik se preusmjerava na legitimnu stranicu jquery.com.

Sredinom 2018. grupa je usvojila naziv domene g-analytics.com i počeo da prikriva aktivnosti njuškača kao legitimnu uslugu Google Analytics.

Analiza verzije

Tokom analize domena koji se koriste za pohranjivanje sniffer koda, ustanovljeno je da stranica sadrži veliki broj verzija, koje se razlikuju po prisutnosti zamagljivanja, kao i prisutnosti ili odsustvu nedostupnog koda koji se dodaje u fajl radi odvlačenja pažnje. i sakriti zlonamjerni kod.

Ukupno na web lokaciji jquery-js.com Identificirano je šest verzija njuškala. Ovi njuškari šalju ukradene podatke na adresu koja se nalazi na istoj web stranici kao i sam njuškalo: hxxps://jquery-js[.]com/latest/jquery.min.js:

• hxxps://jquery-js[.]com/jquery.min.js
• hxxps://jquery-js[.]com/jquery.2.2.4.min.js
• hxxps://jquery-js[.]com/jquery.1.8.3.min.js
• hxxps://jquery-js[.]com/jquery.1.6.4.min.js
• hxxps://jquery-js[.]com/jquery.1.4.4.min.js
• hxxps://jquery-js[.]com/jquery.1.12.4.min.js

Kasnije domen g-analytics.com, koju grupa koristi u napadima od sredine 2018. godine, služi kao spremište za više njuškala. Ukupno je otkriveno 16 različitih verzija njuškala. U ovom slučaju, kapija za slanje ukradenih podataka bila je prikrivena kao link ka formatu slike GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:

• hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
• hxxps://g-analytics[.]com/libs/analytics.js

Monetizacija ukradenih podataka

Kriminalna grupa ukradene podatke unovčava prodajom kartica putem posebno kreirane podzemne prodavnice koja pruža usluge kartičarima. Analiza domena koje su napadači koristili omogućila nam je da to utvrdimo google-analytics.cm je registrovan od strane istog korisnika kao i domena cardz.vc. Domain cardz.vc odnosi se na trgovinu koja prodaje ukradene bankovne kartice Cardsurfs (Flysurfs), koja je stekla popularnost još u danima djelovanja podzemne trgovačke platforme AlphaBay kao trgovina koja prodaje bankovne kartice ukradene pomoću njuškala.

Analiziranje domena analytical.is, koji se nalazi na istom serveru kao i domeni koje koriste njuškari za prikupljanje ukradenih podataka, stručnjaci Grupe-IB otkrili su datoteku koja sadrži dnevnike krađe kolačića, za koju se čini da je kasnije napušten od strane programera. Jedan od unosa u dnevnik sadržavao je domenu iozoz.com, koji je prethodno korišten u jednom od njuškala aktivnih 2016. Pretpostavlja se da je ovaj domen ranije koristio napadač za prikupljanje kartica ukradenih pomoću njuškala. Ova domena je registrovana na e-mail adresu kts241@gmail.com, koji je također korišten za registraciju domena cardz.su и cardz.vc, vezano za kardiranje Cardsurfs.

Na osnovu dobijenih podataka može se pretpostaviti da G-Analytics familiju njuškala i podzemnu prodavnicu bankovnih kartica Cardsurfovima upravljaju isti ljudi, a trgovina služi za prodaju bankovnih kartica ukradenih pomoću njuškala.

Infrastruktura

Porodica Illum

Illum je porodica sniffera koji se koriste za napad na online trgovine koje koriste CMS. MagentoPored ubrizgavanja zlonamjernog koda, operateri ovog sniffera također koriste potpuno razvijene lažne obrasce za plaćanje koji šalju podatke na mrežne prolaze koje kontroliraju napadači.

Prilikom analize mrežne infrastrukture koju koriste operateri ovog sniffera, uočen je veliki broj zlonamjernih skripti, eksploatacija, lažnih obrazaca plaćanja, kao i zbirka primjera sa zlonamjernim snifferima od konkurenata. Na osnovu podataka o datumima pojavljivanja naziva domena koje koristi grupa, može se pretpostaviti da je kampanja počela krajem 2016. godine.

Kako je Illum implementiran u kod online trgovine

Prve verzije otkrivenog njuškala bile su ugrađene direktno u kod kompromitovanog sajta. Ukradeni podaci su poslani na cdn.illum[.]pw/records.php, kapija je kodirana pomoću base64.

Kasnije je otkrivena upakovana verzija njuškala koja koristi drugačiju kapiju - records.nstatistics[.]com/records.php.

Prema izvještaj Willem de Groot, isti host je korišten u snifferu, koji je implementiran na sajt magazina, u vlasništvu njemačke političke stranke CSU.

Analiza web stranice napadača

Stručnjaci Grupe-IB otkrili su i analizirali web stranicu koju koristi ova kriminalna grupa za pohranjivanje alata i prikupljanje ukradenih informacija.

Među alatima otkrivenim na serveru napadača bili su skripti i exploiti za eskalaciju privilegija u operativnom sistemu. Linuxna primjer, Linux Skripta za provjeru eskalacije privilegija koju je napravio Mike Czumak, također iskorištava CVE-2009-1185.

Napadači su koristili dva eksploatacije direktno za napad na online trgovine: первый sposoban za ubacivanje zlonamjernog koda core_config_data korišćenjem CVE-2016-4010, drugi iskorištava RCE ranjivost u CMS dodacima Magento, što omogućava izvršavanje proizvoljnog koda na ranjivom web serveru.

Takođe, tokom analize servera otkriveni su različiti uzorci njuškala i lažnih obrazaca za plaćanje koje su napadači koristili za prikupljanje informacija o plaćanju sa hakovanih sajtova. Kao što možete vidjeti iz liste ispod, neke skripte su kreirane pojedinačno za svaku hakovanu stranicu, dok je univerzalno rješenje korišteno za određene CMS i gejtvejeve za plaćanje. Na primjer, skripte segapay_standart.js и segapay_onpage.js dizajniran za implementaciju na web-lokacijama koje koriste Sage Pay platni prolaz.

Lista skripti za različite pristupe za plaćanje

Domaćin plaćanje sada[.]tk, koristi se kao kapija u skripti payment_forminsite.js, otkriveno je kao subjectAltName u nekoliko certifikata vezanih za CloudFlare uslugu. Osim toga, host je sadržavao skriptu evil.jsSudeći po nazivu skripte, mogla je biti korištena kao dio CVE-2016-4010 exploita, koji omogućava ubrizgavanje zlonamjernog koda u podnožje web stranice koja pokreće CMS. MagentoOvaj skript je koristio host kao kapiju. request.requestnet[.]tkkoristeći isti certifikat kao i host plaćanje sada[.]tk.

Lažni obrasci za plaćanje

Na slici ispod prikazan je primjer obrasca za unos podataka kartice. Ovaj obrazac je korišten za infiltriranje u internetsku trgovinu i krađu podataka o kartici.

Na sljedećoj slici prikazan je primjer lažnog PayPal obrasca za plaćanje koji su napadači koristili za infiltriranje web lokacija s ovim načinom plaćanja.

Infrastruktura

CoffeeMokko porodica

Porodica sniffera CoffeMokko, dizajnirana za krađu bankovnih kartica od korisnika online trgovina, koristi se najmanje od maja 2017. godine. Vjeruje se da su operateri ove porodice sniffera kriminalna grupa Grupe 1, koju su stručnjaci RiskIQ-a opisali 2016. godine. Web stranice koje koriste CMS-ove kao što su Magento, OpenCart, WordPress, osCommerce, Shopify.

Kako je CoffeMokko implementiran u kod online trgovine

Operateri ove porodice kreiraju jedinstvene sniffere za svaku infekciju: datoteka sniffera se nalazi u direktoriju src ili js na serveru napadača. Ugradnja u šifru web-mjesta vrši se putem direktne veze na sniffer.

Sniffer kod čvrsto kodira imena polja obrasca iz kojih treba ukrasti podatke. Sniffer također provjerava da li je korisnik na stranici za plaćanje provjeravanjem liste ključnih riječi sa trenutnom adresom korisnika.

Neke otkrivene verzije njuškala bile su zamagljene i sadržavale su šifrovani niz u koji je bio pohranjen glavni niz resursa: sadržavao je nazive polja obrasca za različite platne sisteme, kao i adresu ulaza na koju treba poslati ukradene podatke.

Ukradeni podaci o plaćanju su usput poslani u skriptu na serveru napadača /savePayment/index.php ili /tr/index.php. Pretpostavlja se da se ova skripta koristi za slanje podataka sa kapije na glavni server, koji konsoliduje podatke sa svih njuškara. Kako bi se sakrili preneseni podaci, svi podaci o plaćanju žrtve su šifrirani pomoću base64, a zatim dolazi do nekoliko zamjena znakova:

• znak "e" se zamjenjuje sa ":"
• simbol "w" zamjenjuje se sa "+"
• znak "o" se zamjenjuje sa "%"
• znak "d" zamjenjuje se s "#"
• znak "a" se zamjenjuje sa "-"
• simbol "7" se zamjenjuje sa "^"
• znak "h" se zamjenjuje sa "_"
• simbol "T" se zamjenjuje sa "@"
• znak "0" je zamijenjen sa "/"
• znak "Y" se zamjenjuje sa "*"

Kao rezultat zamjene znakova kodiranih korištenjem base64 Podaci se ne mogu dekodirati bez izvođenja obrnute konverzije.

Ovako izgleda fragment koda za njuškanje koji nije zamagljen:

Analiza infrastrukture

U ranim kampanjama, napadači su registrovali imena domena slična onima na legitimnim sajtovima za kupovinu na mreži. Njihov domen se može razlikovati od legitimnog po jednom simbolu ili drugom TLD-u. Registrirani domeni su korišteni za pohranjivanje koda sniffera, veza do kojeg je ugrađena u kod trgovine.

Ova grupa je također koristila imena domena koja podsjećaju na popularne jQuery dodatke (slickjs[.]org za web lokacije koje koriste dodatak slick.js), pristupnici za plaćanje (sagecdn[.]org za sajtove koji koriste sistem plaćanja Sage Pay).

Kasnije je grupa počela da kreira domene čija imena nisu imala nikakve veze sa domenom prodavnice ili temom prodavnice.

Svaka domena je odgovarala lokaciji na kojoj je kreiran direktorij /js ili / src. Sniffer skripte su pohranjene u ovom direktoriju: jedan sniffer za svaku novu infekciju. Sniffer je ugrađen u kôd web stranice putem direktne veze, ali u rijetkim slučajevima napadači su modificirali jednu od datoteka web stranice i dodali zlonamjerni kod u nju.

Analiza koda

Prvi algoritam zamagljivanja

U nekim otkrivenim uzorcima njuškala ove porodice, kod je bio zamagljen i sadržavao je šifrovane podatke neophodne za rad njuškala: posebno adresu njuškala, listu polja obrasca za plaćanje, a u nekim slučajevima i šifru lažnog obrazac za plaćanje. U kodu unutar funkcije, resursi su šifrirani pomoću XOR pomoću ključa koji je proslijeđen kao argument istoj funkciji.

Dešifriranjem stringa odgovarajućim ključem, jedinstvenim za svaki uzorak, možete dobiti string koji sadrži sve nizove iz koda sniffera kroz znak za razdvajanje.

Drugi algoritam zamagljivanja

U kasnijim uzorcima njuškala ove porodice korišćen je drugačiji mehanizam zamagljivanja: u ovom slučaju podaci su šifrovani pomoću algoritma koji je sam napisao. Niz koji sadrži šifrirane podatke potrebne za rad njuškala je proslijeđen kao argument funkciji dešifriranja.

Koristeći konzolu pretraživača, možete dešifrirati šifrirane podatke i dobiti niz koji sadrži resurse njuškanja.

Veza sa ranim MageCart napadima

Prilikom analize jednog od domena koje grupa koristi kao gateway za prikupljanje ukradenih podataka, ustanovljeno je da ovaj domen ima infrastrukturu za krađu kreditnih kartica, identičnu onoj koju koristi Grupa 1, jedna od prvih grupa, otkriveno od strane RiskIQ stručnjaka.

Dva fajla pronađena su na domaćinu porodice njuškača CoffeMokko:

• mage.js — fajl koji sadrži kod grupe 1 sniffer sa adresom izlaza js-cdn.link
• mag.php — PHP skripta odgovorna za prikupljanje podataka ukradenih od strane sniffera

Sadržaj datoteke mage.js
Također je utvrđeno da su najraniji domeni koje je koristila grupa iza porodice njuškača CoffeMokko registrovani 17. maja 2017. godine:

• link-js[.]link
• info-js[.]link
• track-js[.]link
• map-js[.]link
• smart-js[.]link

Format ovih imena domena odgovara imenima domena Grupe 1 koji su korišteni u napadima 2016.

Na osnovu otkrivenih činjenica može se pretpostaviti da postoji veza između operatera njuškala CoffeMokko i kriminalne grupe 1. Pretpostavlja se da su CoffeMokko operateri mogli posuditi alate i softver od svojih prethodnika kako bi ukrali kartice. Međutim, vjerovatnije je da su kriminalna grupa koja stoji iza upotrebe njuškala porodice CoffeMokko isti ljudi koji su izvršili napade Grupe 1. Od objavljivanja prvog izvještaja o aktivnostima kriminalne grupe, sva imena njihovih domena su bila blokiran, a alati su detaljno proučeni i opisani. Grupa je bila primorana da napravi pauzu, usavrši svoje interne alate i prepiše kod za njuškanje kako bi nastavili sa svojim napadima i ostali neotkriveni.

Infrastruktura

izvor: www.habr.com