Hapit tanan kanato naggamit sa mga serbisyo sa mga online store, nga nagpasabot nga sa madugay o sa madali kita adunay risgo nga mahimong biktima sa JavaScript sniffers - espesyal nga code nga gipatuman sa mga tig-atake sa usa ka website aron mangawat sa data sa bank card, mga adres, mga login ug mga password sa mga tiggamit .
Halos 400 ka tiggamit sa British Airways website ug mobile application ang naapektuhan na sa mga sniffer, ingon man ang mga bisita sa British website sa sports giant nga FILA ug sa American ticket distributor Ticketmaster. PayPal, Chase Paymenttech, USAePay, Moneris - kini ug daghang uban pang mga sistema sa pagbayad nataptan.
Ang analista sa Threat Intelligence Group-IB nga si Viktor Okorokov naghisgot kung giunsa pagsulod sa mga sniffer ang code sa website ug pagpangawat sa impormasyon sa pagbayad, ingon man kung unsa ang mga CRM nga ilang giatake.
"Natago nga hulga"
Nahitabo kini nga sa dugay nga panahon ang mga sniffer sa JS nagpabilin nga wala makita sa mga analista sa anti-virus, ug ang mga bangko ug mga sistema sa pagbayad wala magtan-aw kanila ingon usa ka seryoso nga hulga. Ug hingpit nga kawang. Mga eksperto sa Group-IB 2440 nga nataptan nga mga online store, kansang mga bisita - sa kinatibuk-an nga mga 1,5 milyon nga mga tawo matag adlaw - nameligro nga makompromiso. Lakip sa mga biktima dili lamang ang mga tiggamit, apan usab ang mga online store, sistema sa pagbayad ug mga bangko nga nag-isyu sa mga nakompromiso nga kard.
Ang Group-IB nahimong una nga pagtuon sa merkado sa darknet alang sa mga sniffer, ilang imprastraktura ug pamaagi sa pag-monetization, nga nagdala sa ilang mga tiglalang og milyon-milyon nga dolyar. Giila namo ang 38 ka pamilya sa mga sniffer, diin 12 lang ang nahibal-an kaniadto sa mga tigdukiduki.
Atong hisgotan ang detalye sa upat ka pamilya sa mga sniffer nga gitun-an panahon sa pagtuon.
ReactGet Pamilya
Ang mga sniffer sa pamilyang ReactGet gigamit sa pagpangawat sa datos sa bank card sa mga online shopping site. Ang sniffer makahimo sa pagtrabaho uban sa usa ka dako nga gidaghanon sa lain-laing mga sistema sa pagbayad nga gigamit sa site: ang usa ka parameter nga bili katumbas sa usa ka sistema sa pagbayad, ug ang indibidwal nga namatikdan nga mga bersyon sa sniffer mahimong gamiton sa pagpangawat sa mga kredensyal, ingon man sa pagkawat sa bank card data gikan sa pagbayad. mga porma sa daghang sistema sa pagbayad sa usa ka higayon, sama sa gitawag nga universal sniffer. Nakaplagan nga sa pipila ka mga kaso, ang mga tig-atake nagpahigayon og mga pag-atake sa phishing sa mga administrador sa online store aron makakuha og access sa administrative panel sa site.
Usa ka kampanya nga gigamit kini nga pamilya sa mga sniffer nagsugod kaniadtong Mayo 2017; ang mga site nga nagpadagan sa CMS ug Magento, Bigcommerce, ug Shopify nga mga platform giatake.
Giunsa gipatuman ang ReactGet sa code sa usa ka online store
Dugang pa sa "classic" nga pagpatuman sa usa ka script pinaagi sa usa ka link, ang mga operator sa ReactGet nga pamilya sa mga sniffer naggamit sa usa ka espesyal nga teknik: gamit ang JavaScript code, ilang susihon kung ang kasamtangan nga adres kung diin nahimutang ang user nakatagbo sa pipila ka mga criteria. Ang malisyosong code ipatuman lamang kung ang substring anaa sa kasamtangan nga URL pagpagawas o usa ka lakang nga pag-checkout, usa ka panid/, gawas/onepag, checkout/usa, ckout/usa. Sa ingon, ang sniffer code ipatuman eksakto sa higayon nga ang tiggamit magpadayon sa pagbayad alang sa mga gipamalit ug mosulod sa impormasyon sa pagbayad sa porma sa site.
Kini nga sniffer naggamit sa usa ka non-standard nga teknik. Ang bayad sa biktima ug personal nga datos gikolekta ug gi-encode gamit sukaranan64, ug dayon ang resulta nga string gigamit ingon nga parameter aron magpadala usa ka hangyo sa website sa mga tig-atake. Kasagaran, ang agianan padulong sa ganghaan nagsundog sa usa ka file sa JavaScript, pananglitan resp.js, data.js ug uban pa, apan ang mga link sa mga file sa imahe gigamit usab, GIF и JPG. Ang peculiarity mao nga ang sniffer nagmugna og usa ka imahen nga butang nga nagsukod sa 1 sa 1 pixel ug naggamit sa kaniadto nadawat nga link isip parameter. src Mga larawan. Kana mao, alang sa tiggamit ang ingon nga hangyo sa trapiko ingon usa ka hangyo alang sa usa ka ordinaryo nga litrato. Usa ka susama nga teknik ang gigamit sa ImageID nga pamilya sa mga sniffer. Dugang pa, ang teknik sa paggamit sa usa ka 1 sa 1 nga pixel nga imahe gigamit sa daghang mga lehitimong online analytics script, nga mahimo usab nga makapahisalaag sa tiggamit.
Pagtuki sa Bersyon
Ang pagtuki sa mga aktibong dominyo nga gigamit sa ReactGet sniffer operators nagpadayag sa daghang lain-laing mga bersyon niini nga pamilya sa mga sniffer. Ang mga bersyon lahi sa presensya o pagkawala sa obfuscation, ug dugang pa, ang matag sniffer gidisenyo alang sa usa ka piho nga sistema sa pagbayad nga nagproseso sa mga pagbayad sa bank card alang sa mga online nga tindahan. Ang paghan-ay sa kantidad sa parameter nga katumbas sa numero sa bersyon, ang mga espesyalista sa Group-IB nakadawat usa ka kompleto nga lista sa magamit nga mga variation sa sniffer, ug pinaagi sa mga ngalan sa mga natad sa porma nga gipangita sa matag sniffer sa code sa panid, nahibal-an nila ang mga sistema sa pagbayad. nga gitumong sa sniffer.
Listahan sa mga sniffer ug ang ilang katugbang nga sistema sa pagbayad
| Sniffer URL | Sistema sa pagbayad |
|---|---|
| Awtorisado.Net | |
| Cardsave | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| eWAY Rapid | |
| Awtorisado.Net | |
| Adyen | |
| USAePay | |
| Awtorisado.Net | |
| USAePay | |
| Awtorisado.Net | |
| Moneris | |
| USAePay | |
| PayPal | |
| SagePay | |
| Verisign | |
| PayPal | |
| labud | |
| Realex | |
| PayPal | |
| LinkPoint | |
| PayPal | |
| PayPal | |
| DataCash | |
| PayPal | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| Verisign | |
| Awtorisado.Net | |
| Moneris | |
| SagePay | |
| USAePay | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| ANZ eGate | |
| Awtorisado.Net | |
| Moneris | |
| SagePay | |
| SagePay | |
| Chase Paymenttech | |
| Awtorisado.Net | |
| Adyen | |
| PsiGate | |
| Cyber nga Tinubdan | |
| ANZ eGate | |
| Realex | |
| USAePay | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| Realex | |
| SagePay | |
| PayPal | |
| Verisign | |
| Awtorisado.Net | |
| Verisign | |
| Awtorisado.Net | |
| ANZ eGate | |
| PayPal | |
| Cyber nga Tinubdan | |
| Awtorisado.Net | |
| SagePay | |
| Realex | |
| Cyber nga Tinubdan | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Rapid | |
| SagePay | |
| SagePay | |
| Verisign | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| Unang Data Global Gateway | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| Moneris | |
| Awtorisado.Net | |
| PayPal | |
| Verisign | |
| USAePay | |
| USAePay | |
| Awtorisado.Net | |
| Verisign | |
| PayPal | |
| Awtorisado.Net | |
| labud | |
| Awtorisado.Net | |
| eWAY Rapid | |
| SagePay | |
| Awtorisado.Net | |
| Kusog | |
| Kusog | |
| PayPal | |
| SagePay | |
| SagePay | |
| Awtorisado.Net | |
| PayPal | |
| Awtorisado.Net | |
| Verisign | |
| PayPal | |
| Awtorisado.Net | |
| labud | |
| Awtorisado.Net | |
| eWAY Rapid | |
| SagePay | |
| Awtorisado.Net | |
| Kusog | |
| PayPal | |
| SagePay | |
| SagePay | |
| Awtorisado.Net | |
| PayPal | |
| Awtorisado.Net | |
| Verisign | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| SagePay | |
| SagePay | |
| Westpac PayWay | |
| PayFort | |
| PayPal | |
| Awtorisado.Net | |
| labud | |
| Unang Data Global Gateway | |
| PsiGate | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| Moneris | |
| Awtorisado.Net | |
| SagePay | |
| Verisign | |
| Moneris | |
| PayPal | |
| LinkPoint | |
| Westpac PayWay | |
| Awtorisado.Net | |
| Moneris | |
| PayPal | |
| Adyen | |
| PayPal | |
| Awtorisado.Net | |
| USAePay | |
| EBizCharge | |
| Awtorisado.Net | |
| Verisign | |
| Verisign | |
| Awtorisado.Net | |
| PayPal | |
| Moneris | |
| Awtorisado.Net | |
| PayPal | |
| PayPal | |
| Westpac PayWay | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| SagePay | |
| Verisign | |
| Awtorisado.Net | |
| PayPal | |
| PayFort | |
| Cyber nga Tinubdan | |
| PayPal Payflow Pro | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| Verisign | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| SagePay | |
| Awtorisado.Net | |
| labud | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| Verisign | |
| PayPal | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| SagePay | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| PayPal | |
| Flint | |
| PayPal | |
| SagePay | |
| Verisign | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| labud | |
| Tambok nga Zebra | |
| SagePay | |
| Awtorisado.Net | |
| Unang Data Global Gateway | |
| Awtorisado.Net | |
| eWAY Rapid | |
| Adyen | |
| PayPal | |
| Mga Serbisyo sa Merchant sa QuickBooks | |
| Verisign | |
| SagePay | |
| Verisign | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| SagePay | |
| Awtorisado.Net | |
| eWAY Rapid | |
| Awtorisado.Net | |
| ANZ eGate | |
| PayPal | |
| Cyber nga Tinubdan | |
| Awtorisado.Net | |
| SagePay | |
| Realex | |
| Cyber nga Tinubdan | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Rapid | |
| SagePay | |
| SagePay | |
| Verisign | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| Unang Data Global Gateway | |
| Awtorisado.Net | |
| Awtorisado.Net | |
| Moneris | |
| Awtorisado.Net | |
| PayPal |
Password sniffer
Usa sa mga bentaha sa JavaScript sniffers nga nagtrabaho sa bahin sa kliyente sa usa ka site mao ang ilang versatility: ang malisyoso nga code nga na-embed sa usa ka site mahimong makawat sa bisan unsang klase sa data, bisan kini nga data sa pagbayad o ang login ug password sa usa ka user account. Ang mga espesyalista sa Group-IB nakadiskubre sa usa ka sample sa usa ka sniffer nga iya sa pamilyang ReactGet, nga gidisenyo aron mangawat sa mga email address ug password sa mga tiggamit sa site.
Intersection sa ImageID sniffer
Atol sa pag-analisar sa usa sa mga nataptan nga tindahan, nakit-an nga ang site niini nataptan sa makaduha: dugang sa malisyosong code sa ReactGet family sniffer, ang code sa ImageID family sniffer nakit-an. Kini nga overlap mahimong ebidensya nga ang mga operator sa luyo sa duha nga mga sniffer naggamit parehas nga mga pamaagi aron ma-inject ang malisyoso nga code.
Universal sniffer
Ang pagtuki sa usa sa mga domain name nga nalangkit sa ReactGet sniffer nga imprastraktura nagpadayag nga ang samang user nakarehistro ug laing tulo ka domain name. Kining tulo ka mga dominyo misundog sa mga dominyo sa tinuod nga kinabuhi nga mga website ug kaniadto gigamit sa pag-host sa mga sniffer. Sa pag-analisar sa code sa tulo ka lehitimong mga site, usa ka wala mailhi nga sniffer ang nakit-an, ug ang dugang nga pag-analisar nagpakita nga kini usa ka gipaayo nga bersyon sa ReactGet sniffer. Ang tanan nga na-monitor kaniadto nga mga bersyon niini nga pamilya sa mga sniffer gitumong sa usa ka sistema sa pagbayad, nga mao, ang matag sistema sa pagbayad nanginahanglan usa ka espesyal nga bersyon sa sniffer. Bisan pa, sa kini nga kaso, usa ka unibersal nga bersyon sa sniffer ang nadiskubre nga makahimo sa pagpangawat sa kasayuran gikan sa mga porma nga may kalabutan sa 15 nga lainlaing mga sistema sa pagbayad ug mga module sa mga site sa e-commerce alang sa paghimo sa online nga pagbayad.
Busa, sa sinugdanan sa trabaho, ang sniffer nangita alang sa mga nag-unang porma nga mga field nga naglangkob sa personal nga impormasyon sa biktima: tibuok nga ngalan, pisikal nga adres, numero sa telepono.
Gipangita dayon sa sniffer ang kapin sa 15 ka lainlaing prefix nga katumbas sa lainlaing mga sistema sa pagbayad ug mga module sa pagbayad sa online.
Sunod, ang personal nga data ug impormasyon sa pagbayad sa biktima gikolekta ug gipadala ngadto sa usa ka site nga kontrolado sa tig-atake: niining partikular nga kaso, duha ka bersyon sa universal ReactGet sniffer ang nadiskobrehan, nga nahimutang sa duha ka lain-laing mga hacked nga mga site. Bisan pa, ang duha nga mga bersyon nagpadala sa kinawat nga datos sa parehas nga gi-hack nga site zoobashop.com.
Ang pag-analisar sa mga prefix nga gigamit sa sniffer sa pagpangita sa mga field nga adunay impormasyon sa pagbayad sa biktima nagtugot kanamo sa pagtino nga kini nga sample sa sniffer gitumong sa mosunod nga mga sistema sa pagbayad:
- Awtorisado.Net
- Verisign
- Una nga Data
- USAePay
- labud
- PayPal
- ANZ eGate
- Kusog
- DataCash (MasterCard)
- Mga Bayad sa Realex
- PsiGate
- Sistema sa Pagbayad sa Heartland
Unsa nga mga himan ang gigamit sa pagpangawat sa impormasyon sa pagbayad?
Ang una nga himan, nga nadiskobrehan sa panahon sa pag-analisar sa mga imprastraktura sa mga tig-atake, gigamit sa pag-obfuscate sa malisyosong mga script nga responsable sa pagpangawat sa mga bank card. Usa ka bash script gamit ang CLI sa proyekto nadiskubre sa usa sa mga host sa tig-atake aron ma-automate ang pag-obfuscation sa sniffer code.
Ang ikaduha nga nadiskobrehan nga himan gidisenyo aron makamugna og code nga responsable sa pagkarga sa nag-unang sniffer. Kini nga himan nagmugna og JavaScript code nga nagsusi kung ang user naa sa panid sa pagbayad pinaagi sa pagpangita sa kasamtangan nga adres sa user alang sa mga string. pagpagawas, carromata ug uban pa, ug kung positibo ang resulta, ang code nag-load sa nag-unang sniffer gikan sa server sa mga tig-atake. Aron itago ang makadaot nga kalihokan, ang tanan nga mga linya, lakip ang mga linya sa pagsulay alang sa pagtino sa panid sa pagbayad, ingon man usa ka link sa sniffer, gi-encode gamit ang sukaranan64.
Mga pag-atake sa phishing
Ang pag-analisa sa imprastraktura sa network sa mga tig-atake nagpadayag nga ang grupo sa kriminal kanunay nga naggamit sa phishing aron makakuha og access sa administratibong panel sa target nga online store. Ang mga tig-atake nagparehistro sa usa ka domain nga biswal nga susama sa domain sa usa ka tindahan, ug dayon mag-deploy ug peke nga Magento administration panel login form niini. Kung malampuson, ang mga tig-atake makakuha og access sa administrative panel sa Magento CMS, nga naghatag kanila og oportunidad sa pag-edit sa mga component sa website ug pagpatuman sa usa ka sniffer aron mangawat sa datos sa credit card.
Infrastructure
| Ngalan sa Domain | Petsa sa pagkadiskobre/pagpakita |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagtracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trust-tracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargaljunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
G-Analytics nga Pamilya
Kini nga pamilya sa mga sniffer gigamit sa pagpangawat sa mga kard sa kustomer gikan sa mga online store. Ang labing una nga domain name nga gigamit sa grupo narehistro kaniadtong Abril 2016, nga mahimong magpakita nga ang grupo nagsugod sa kalihokan sa tungatunga sa 2016.
Sa kasamtangan nga kampanya, ang grupo naggamit sa mga ngalan sa domain nga nagsundog sa tinuod nga kinabuhi nga mga serbisyo, sama sa Google Analytics ug jQuery, nga nagtakuban sa kalihokan sa mga sniffer nga adunay mga lehitimong script ug mga ngalan sa domain nga susama sa mga lehitimo. Ang mga site nga nagpadagan sa Magento CMS giatake.
Giunsa ang G-Analytics gipatuman sa code sa usa ka online store
Ang usa ka talagsaon nga bahin niini nga pamilya mao ang paggamit sa lain-laing mga pamaagi sa pagkawat sa impormasyon sa pagbayad sa user. Dugang sa klasiko nga pag-injection sa JavaScript code ngadto sa kliyente nga bahin sa site, ang kriminal nga grupo migamit usab sa code injection techniques ngadto sa server side sa site, nga mao ang PHP scripts nga nagproseso sa datos nga gisulod sa user. Delikado kini nga teknik tungod kay kini nagpalisud sa mga tigdukiduki sa ikatulo nga partido nga makit-an ang malisyoso nga code. Ang mga espesyalista sa Group-IB nakadiskubre sa usa ka bersyon sa usa ka sniffer nga gilakip sa code sa PHP sa site, gamit ang usa ka domain ingon usa ka ganghaan dittm.org.
Nadiskobrehan usab ang usa ka sayo nga bersyon sa usa ka sniffer nga naggamit sa parehas nga domain aron makolekta ang mga kinawat nga datos dittm.org, apan kini nga bersyon gituyo alang sa pag-instalar sa kilid sa kliyente sa usa ka online nga tindahan.
Ang grupo sa ulahi nagbag-o sa mga taktika niini ug nagsugod sa pag-focus sa pagtago sa malisyoso nga kalihokan ug pagtakoban.
Sa sinugdanan sa 2017, ang grupo nagsugod sa paggamit sa domain jquery-js.com, nagtakuban isip CDN para sa jQuery: sa dihang moadto sa site sa mga tig-atake, ang user i-redirect sa usa ka lehitimong site jquery.com.
Ug sa tungatunga sa 2018, gisagop sa grupo ang ngalan sa domain g-analytics.com ug nagsugod sa pagtakuban sa mga kalihokan sa sniffer isip usa ka lehitimong serbisyo sa Google Analytics.
Pagtuki sa Bersyon
Atol sa pag-analisar sa mga domain nga gigamit sa pagtipig sa sniffer code, nakit-an nga ang site adunay daghang mga bersyon, nga lahi sa presensya sa obfuscation, ingon man ang presensya o pagkawala sa dili maabot nga code nga gidugang sa file aron makabalda sa atensyon. ug itago ang malisyoso nga code.
Total sa site jquery-js.com Unom ka bersyon sa mga sniffer ang giila. Kini nga mga sniffer nagpadala sa gikawat nga datos sa usa ka adres nga nahimutang sa parehas nga website sa mismong sniffer: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Sa ulahi domain g-analytics.com, nga gigamit sa grupo sa mga pag-atake sukad sa tunga-tunga sa 2018, nagsilbi nga tipiganan sa daghang mga sniffer. Sa kinatibuk-an, 16 ka lain-laing mga bersyon sa sniffer ang nadiskobrehan. Sa kini nga kaso, ang ganghaan alang sa pagpadala sa gikawat nga datos gitago ingon usa ka link sa usa ka format sa imahe GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Pag-monetize sa gikawat nga datos
Gi-monetize sa kriminal nga grupo ang mga kinawat nga datos pinaagi sa pagbaligya sa mga kard pinaagi sa usa ka espesyal nga gihimo nga tindahan sa ilawom sa yuta nga naghatag serbisyo sa mga carder. Ang pag-analisar sa mga domain nga gigamit sa mga tig-atake nagtugot kanamo sa pagtino niana google-analytics.cm narehistro sa parehas nga tiggamit sa domain cardz.vc. Domain cardz.vc nagtumong sa usa ka tindahan nga namaligya sa kinawat nga bank card Cardsurfs (Flysurfs), nga nakaangkon sa pagkapopular balik sa mga adlaw sa kalihokan sa underground trading plataporma AlphaBay ingon nga usa ka tindahan sa pagbaligya sa mga bank card nga gikawat gamit ang usa ka sniffer.
Pag-analisar sa domain analitikal.is, nga nahimutang sa parehas nga server sama sa mga domain nga gigamit sa mga sniffers sa pagkolekta sa gikawat nga datos, ang mga espesyalista sa Group-IB nakadiskubre sa usa ka file nga adunay sulud nga cookie stealer logs, nga makita nga sa ulahi gibiyaan sa developer. Ang usa sa mga entry sa log adunay domain iozoz.com, nga gigamit kaniadto sa usa sa mga sniffer nga aktibo kaniadtong 2016. Tingali, kini nga domain kaniadto gigamit sa usa ka tig-atake aron mangolekta og mga kard nga gikawat gamit ang usa ka sniffer. Kini nga domain narehistro sa usa ka email address [protektado sa email], nga gigamit usab sa pagparehistro sa mga natad cardz.su и cardz.vc, nga may kalabutan sa carding store nga Cardsurfs.
Base sa datos nga nakuha, mahimong isipon nga ang G-Analytics nga pamilya sa mga sniffers ug ang underground nga tindahan nga nagbaligya sa mga bank card Cardsurfs gidumala sa samang mga tawo, ug ang tindahan gigamit sa pagbaligya sa mga bank card nga gikawat gamit ang sniffer.
Infrastructure
| Ngalan sa Domain | Petsa sa pagkadiskobre/pagpakita |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| analitiko.sa | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| analitikal.is | 28.12.2018 |
| googlc-analytics.cm | 17.01.2019 |
Pamilya Illum
Ang Illum usa ka pamilya sa mga sniffer nga gigamit sa pag-atake sa mga online store nga nagpadagan sa Magento CMS. Gawas pa sa pagpaila sa malisyoso nga code, ang mga operator niini nga sniffer naggamit usab sa pagpaila sa bug-os nga peke nga mga porma sa pagbayad nga nagpadala sa datos ngadto sa mga ganghaan nga kontrolado sa mga tig-atake.
Kung gi-analisar ang imprastraktura sa network nga gigamit sa mga operator sa kini nga sniffer, daghang mga malisyosong script, pagpahimulos, peke nga mga porma sa pagbayad, ingon man usa ka koleksyon sa mga pananglitan nga adunay malisyosong mga sniffer gikan sa mga kakompetensya ang namatikdan. Pinasukad sa kasayuran bahin sa mga petsa sa pagpakita sa mga ngalan sa domain nga gigamit sa grupo, mahimo nga hunahunaon nga ang kampanya nagsugod sa katapusan sa 2016.
Giunsa gipatuman ang Illum sa code sa usa ka online store
Ang unang mga bersyon sa sniffer nga nadiskobrehan direkta nga gisulod sa code sa nakompromiso nga site. Ang gikawat nga datos gipadala sa cdn.illum[.]pw/records.php, ang ganghaan gi-encode gamit sukaranan64.
Sa ulahi, nadiskobrehan ang usa ka nakabalot nga bersyon sa sniffer nga naggamit ug laing ganghaan - records.nstatistics[.]com/records.php.
Sumala sa Willem de Groot, ang sama nga host gigamit sa sniffer, nga gipatuman sa , nga gipanag-iya sa German political party CSU.
Pag-analisar sa website sa mga tig-atake
Ang mga espesyalista sa Group-IB nakadiskubre ug nag-analisar sa usa ka website nga gigamit niining kriminal nga grupo sa pagtipig sa mga himan ug pagkolekta sa kinawat nga impormasyon.
Lakip sa mga himan nga nakit-an sa server sa mga tig-atake mao ang mga script ug mga pagpahimulos alang sa nagkadako nga mga pribilehiyo sa Linux OS: pananglitan, ang Linux Privilege Escalation Check Script nga gihimo ni Mike Czumak, ingon man usa ka pagpahimulos alang sa CVE-2009-1185.
Gigamit sa mga tig-atake ang duha ka mga pagpahimulos direkta sa pag-atake sa mga online nga tindahan: makahimo sa pag-inject sa malisyosong code ngadto sa core_config_data pinaagi sa pagpahimulos sa CVE-2016-4010, Gipahimuslan ang usa ka pagkahuyang sa RCE sa mga plugins para sa CMS Magento, nga nagtugot sa arbitraryong code nga ipatuman sa usa ka mahuyang nga web server.
Usab, sa panahon sa pag-analisar sa server, lain-laing mga sample sa mga sniffers ug peke nga mga porma sa pagbayad nadiskobrehan, nga gigamit sa mga tig-atake sa pagkolekta sa impormasyon sa pagbayad gikan sa hacked nga mga site. Sama sa imong makita gikan sa lista sa ubos, pipila ka mga script ang gimugna sa tagsa-tagsa alang sa matag gi-hack nga site, samtang ang usa ka unibersal nga solusyon gigamit alang sa piho nga CMS ug mga ganghaan sa pagbayad. Pananglitan, mga script segapay_standart.js и segapay_onpage.js gidisenyo alang sa pagpatuman sa mga site gamit ang Sage Pay payment gateway.
Listahan sa mga script alang sa lain-laing mga ganghaan sa pagbayad
| Script | Gateway sa pagbayad |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdierenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_forminsite.js | //paymentnow[.]tk/?payment= |
Pag-host pagbayad karon [.]tk, gigamit isip ganghaan sa usa ka script payment_forminsite.js, nadiskobrehan nga subjectAltName sa daghang mga sertipiko nga may kalabutan sa serbisyo sa CloudFlare. Dugang pa, ang host adunay sulud nga script daotan.js. Sa paghukom sa ngalan sa script, mahimo kini gamiton isip bahin sa pagpahimulos sa CVE-2016-4010, salamat nga posible nga ma-inject ang malisyoso nga code sa footer sa usa ka site nga nagpadagan sa CMS Magento. Gigamit sa host kini nga script isip usa ka ganghaan request.requestnet[.]tkgamit ang parehas nga sertipiko sa host pagbayad karon [.]tk.
Mga peke nga porma sa pagbayad
Ang numero sa ubos nagpakita sa usa ka panig-ingnan sa usa ka porma sa pagsulod sa datos sa kard. Kini nga porma gigamit aron makalusot sa usa ka online store ug mangawat sa datos sa card.
Ang mosunud nga numero nagpakita sa usa ka pananglitan sa usa ka peke nga porma sa pagbayad sa PayPal nga gigamit sa mga tig-atake aron makalusot sa mga site nga adunay kini nga pamaagi sa pagbayad.
Infrastructure
| Ngalan sa Domain | Petsa sa pagkadiskobre/pagpakita |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| request.payrightnow.cf | 25/05/2018 |
| pagbayad karon.tk | 16/07/2017 |
| linya sa pagbayad.tk | 01/03/2018 |
| paymentpal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
Pamilya sa CoffeeMokko
Ang CoffeMokko nga pamilya sa mga sniffer, nga gidisenyo aron mangawat sa mga bank card gikan sa mga tiggamit sa online store, gigamit na sukad sa Mayo 2017. Tingali, ang mga operator sa kini nga pamilya sa mga sniffer mao ang grupo sa kriminal nga Grupo 1, nga gihulagway sa mga espesyalista sa RiskIQ kaniadtong 2016. Ang mga site nga nagpadagan sa mga CMS sama sa Magento, OpenCart, WordPress, osCommerce, ug Shopify giatake.
Giunsa gipatuman ang CoffeMokko sa code sa usa ka online store
Ang mga operator niini nga pamilya naghimo og talagsaon nga mga sniffer alang sa matag impeksyon: ang sniffer file nahimutang sa direktoryo src o js sa server sa mga tig-atake. Ang pag-apil sa code sa site gihimo pinaagi sa usa ka direktang link sa sniffer.
Gi-hardcode sa sniffer code ang mga ngalan sa mga field sa porma diin kinahanglan nga kawaton ang datos. Gisusi usab sa sniffer kung ang gumagamit naa sa panid sa pagbayad pinaagi sa pagsusi sa lista sa mga keyword nga adunay karon nga adres sa tiggamit.
Ang pipila ka mga nadiskobrehan nga mga bersyon sa sniffer gitagoan ug adunay usa ka naka-encrypt nga pisi diin ang nag-unang han-ay sa mga kahinguhaan gitipigan: kini naglangkob sa mga ngalan sa porma nga mga field alang sa lain-laing mga sistema sa pagbayad, ingon man ang address sa ganghaan diin ang gikawat nga datos kinahanglan ipadala.
Ang gikawat nga impormasyon sa pagbayad gipadala ngadto sa usa ka script sa server sa mga tig-atake sa dalan /savePayment/index.php o /tr/index.php. Lagmit, kini nga script gigamit sa pagpadala sa datos gikan sa ganghaan ngadto sa main server, nga nagkonsolida sa datos gikan sa tanang sniffers. Aron matago ang gipasa nga datos, ang tanang impormasyon sa pagbayad sa biktima gi-encrypt gamit sukaranan64, ug unya daghang mga pag-ilis sa karakter ang mahitabo:
- ang "e" nga karakter gipulihan sa ":"
- ang "w" nga simbolo gipulihan sa "+"
- ang "o" nga karakter gipulihan sa "%"
- ang "d" nga karakter gipulihan sa "#"
- ang karakter nga "a" gipulihan ug "-"
- ang simbolo nga "7" gipulihan ug "^"
- ang karakter nga "h" gipulihan ug "_"
- ang "T" nga simbolo gipulihan sa "@"
- ang karakter nga "0" gipulihan sa "/"
- ang karakter nga "Y" gipulihan ug "*"
Ingon usa ka sangputanan sa mga pag-ilis sa karakter nga gi-encode gamit sukaranan64 Ang datos dili ma-decode kung wala’y gihimo ang reverse conversion.
Mao kini ang hitsura sa usa ka tipik sa sniffer code nga wala ma-obfuscate:
Pagtuki sa Imprastraktura
Sa unang mga kampanya, ang mga tig-atake nagparehistro sa mga ngalan sa domain nga susama sa mga lehitimong online shopping site. Ang ilang domain mahimong lahi gikan sa lehitimong usa sa usa ka simbolo o lain nga TLD. Ang mga rehistradong dominyo gigamit sa pagtipig sa sniffer code, usa ka link diin gisulod sa code sa tindahan.
Kini nga grupo migamit usab og mga domain name nga makapahinumdom sa mga sikat nga jQuery plugins (slickjs[.]org alang sa mga site nga naggamit sa plugin slick.js), mga ganghaan sa pagbayad (sagecdn[.]org alang sa mga site nga naggamit sa sistema sa pagbayad sa Sage Pay).
Sa ulahi, ang grupo nagsugod sa paghimo og mga domain kansang mga ngalan walay kalabotan sa domain sa tindahan o sa tema sa tindahan.
Ang matag domain katumbas sa usa ka site diin gihimo ang direktoryo /js o /src. Ang mga script sa sniffer gitipigan sa kini nga direktoryo: usa ka sniffer alang sa matag bag-ong impeksyon. Ang sniffer na-embed sa website code pinaagi sa direktang link, apan sa talagsaong mga kaso, giusab sa mga tig-atake ang usa sa mga file sa website ug gidugangan ang malisyoso nga code niini.
Pagtuki sa Code
Ang nag-unang algorithm sa pag-obfuscation
Sa pipila ka nadiskobrehan nga mga sample sa mga sniffers niini nga pamilya, ang code gitabonan ug adunay sulod nga encrypted data nga gikinahanglan alang sa sniffer sa pagtrabaho: ilabi na, ang sniffer gate address, usa ka listahan sa pagbayad nga mga natad sa porma, ug sa pipila ka mga kaso, ang code sa usa ka peke nga. porma sa pagbayad. Sa code sa sulod sa function, ang mga kapanguhaan gi-encrypt gamit XOR pinaagi sa yawe nga gipasa ingon usa ka argumento sa parehas nga function.
Pinaagi sa pag-decrypting sa hilo gamit ang angay nga yawe, talagsaon alang sa matag sample, makakuha ka og hilo nga naglangkob sa tanang mga kuwerdas gikan sa sniffer code nga gibulag sa karakter sa separator.
Ikaduha nga obfuscation algorithm
Sa ulahi nga mga sampol sa mga sniffer sa kini nga pamilya, usa ka lahi nga mekanismo sa obfuscation ang gigamit: sa kini nga kaso, ang datos gi-encrypt gamit ang usa ka algorithm nga gisulat sa kaugalingon. Ang usa ka string nga adunay sulud nga naka-encrypt nga datos nga gikinahanglan aron makalihok ang sniffer gipasa ingon usa ka argumento sa function sa decryption.
Gamit ang browser console, mahimo nimong i-decrypt ang naka-encrypt nga datos ug makakuha og array nga adunay mga kapanguhaan sa sniffer.
Koneksyon sa sayo nga mga pag-atake sa MageCart
Atol sa pag-analisar sa usa sa mga domain nga gigamit sa grupo isip ganghaan sa pagkolekta sa kinawat nga datos, nakita nga kini nga domain nag-deploy og imprastraktura alang sa pagpangawat sa credit card, susama sa gigamit sa Group 1, usa sa unang mga grupo, sa mga espesyalista sa RiskIQ.
Duha ka mga file ang nakit-an sa host sa CoffeMokko nga pamilya sa mga sniffers:
- mage.js — file nga adunay Group 1 sniffer code nga adunay adres sa gate js-cdn.link
- mag.php — PHP script nga responsable sa pagkolekta sa datos nga gikawat sa sniffer
Mga sulod sa mage.js file
Gitino usab nga ang labing una nga mga domain nga gigamit sa grupo sa luyo sa pamilya sa CoffeMokko sa mga sniffer narehistro kaniadtong Mayo 17, 2017:
- link-js[.]link
- info-js[.]link
- track-js[.]link
- mapa-js[.]link
- smart-js[.]link
Ang pormat niining mga domain name mohaum sa Group 1 domain names nga gigamit sa 2016 attacks.
Base sa nadiskobrehan nga mga kamatuoran, mahimong isipon nga adunay koneksyon tali sa mga operator sa CoffeMokko sniffers ug sa kriminal nga grupo nga Group 1. Tingali, ang mga operator sa CoffeMokko mahimong manghulam sa mga himan ug software gikan sa ilang mga gisundan aron mangawat og mga kard. Bisan pa, mas lagmit nga ang kriminal nga grupo sa likod sa paggamit sa CoffeMokko nga pamilya sa mga sniffers mao ra ang mga tawo nga naghimo sa mga pag-atake sa Group 1. Pagkahuman sa pagmantala sa unang taho sa mga kalihokan sa kriminal nga grupo, ang tanan nilang domain name kay gibabagan ug ang mga himan gitun-an sa detalye ug gihulagway. Napugos ang grupo sa pagpahuway, pagpino sa mga gamit sa sulod niini ug pagsulat pag-usab sa sniffer code aron ipadayon ang mga pag-atake niini ug magpabiling dili mamatikdan.
Infrastructure
| Ngalan sa Domain | Petsa sa pagkadiskobre/pagpakita |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| mapa-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| security-payment.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parks.su | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffeetea.org | 31.01.2018 |
| energycoffe.org | 31.01.2018 |
| energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffeemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| authorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swapastore.com | 15.09.2018 |
| verywellfitnesse.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majorplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
Source: www.habr.com