Mae bron pob un ohonom yn defnyddio gwasanaethau siopau ar-lein, sy'n golygu ein bod yn hwyr neu'n hwyrach mewn perygl o ddod yn ddioddefwr sniffers JavaScript - cod arbennig y mae ymosodwyr yn ei weithredu ar wefan i ddwyn data cerdyn banc, cyfeiriadau, mewngofnodi a chyfrineiriau defnyddwyr .
От снифферов уже пострадали почти 400 000 пользователей сайта и мобильного приложения авиакомпании British Airways, а также посетители британского сайта спортивного гиганта FILA и американского дистрибьютора билетов Ticketmaster. PayPal, Chase Paymenttech, USAePay, Moneris — эти и многие другие платежные системы были заражены.
Bygythiad Intelligence Group-IB dadansoddwr Viktor Okorokov yn siarad am sut sniffers ymdreiddio cod gwefan a dwyn gwybodaeth talu, yn ogystal â pha CRMs maent yn ymosod.
"Bygythiad cudd"
Digwyddodd felly bod sniffwyr JS wedi aros allan o olwg dadansoddwyr gwrth-firws am amser hir, ac nid oedd banciau a systemau talu yn eu gweld yn fygythiad difrifol. Ac yn gwbl ofer. Arbenigwyr Grŵp-IB Roedd 2440 o siopau ar-lein heintiedig, yr oedd eu hymwelwyr - cyfanswm o tua 1,5 miliwn o bobl y dydd - mewn perygl o gyfaddawdu. Ymhlith y dioddefwyr mae nid yn unig defnyddwyr, ond hefyd siopau ar-lein, systemau talu a banciau a gyhoeddodd gardiau dan fygythiad.
Daeth Group-IB yn astudiaeth gyntaf o'r farchnad darknet ar gyfer sniffers, eu seilwaith a'u dulliau ariannol, sy'n dod â miliynau o ddoleri i'w crewyr. Fe wnaethom nodi 38 o deuluoedd o sniffwyr, a dim ond 12 ohonynt oedd yn hysbys i ymchwilwyr yn flaenorol.
Gadewch inni edrych yn fanwl ar y pedwar teulu o sniffwyr a astudiwyd yn ystod yr astudiaeth.
Teulu ReactGet
Defnyddir sniffers o'r teulu ReactGet i ddwyn data cardiau banc ar wefannau siopa ar-lein. Gall y sniffer weithio gyda nifer fawr o systemau talu gwahanol a ddefnyddir ar y wefan: mae un gwerth paramedr yn cyfateb i un system dalu, a gellir defnyddio fersiynau unigol o'r sniffer a ganfuwyd i ddwyn tystlythyrau, yn ogystal â dwyn data cerdyn banc o'r taliad. ffurfiau o sawl system dalu ar unwaith, fel yr hyn a elwir yn synhwyro cyffredinol. Canfuwyd bod ymosodwyr mewn rhai achosion yn cynnal ymosodiadau gwe-rwydo ar weinyddwyr siopau ar-lein er mwyn cael mynediad i banel gweinyddol y wefan.
Кампания с применением этого семейства снифферов началась в мае 2017 года, атаке подверглись сайты под управлением CMS и платформ Magento, Bigcommerce, Shopify.
Sut mae ReactGet yn cael ei roi ar waith yng nghod siop ar-lein
Yn ogystal â gweithredu sgript “clasurol” trwy ddolen, mae gweithredwyr teulu sniffwyr ReactGet yn defnyddio techneg arbennig: gan ddefnyddio cod JavaScript, maen nhw'n gwirio a yw'r cyfeiriad presennol lle mae'r defnyddiwr wedi'i leoli yn bodloni meini prawf penodol. Dim ond os yw'r is-linyn yn bresennol yn yr URL cyfredol y bydd y cod maleisus yn cael ei weithredu til neu til un cam, onepage/, allan/un tudalen, checkout/one, ckout/un. Felly, bydd y cod synhwyro yn cael ei weithredu'n union ar hyn o bryd pan fydd y defnyddiwr yn symud ymlaen i dalu am bryniannau ac yn mewnbynnu gwybodaeth talu i'r ffurflen ar y wefan.
Mae'r sniffer hwn yn defnyddio techneg ansafonol. Mae taliad y dioddefwr a data personol yn cael eu casglu gyda'i gilydd a'u hamgodio gan ddefnyddio sylfaen64, а затем полученная строка используется как параметр для отправки запроса на сайт злоумышленников. Чаще всего путь до гейта имитирует JavaScript-файл, к примеру resp.js, data.js ac yn y blaen, ond defnyddir dolenni i ffeiliau delwedd hefyd, GIF и JPG. Yr hynodrwydd yw bod y synhwyro yn creu gwrthrych delwedd yn mesur 1 wrth 1 picsel ac yn defnyddio'r cyswllt a dderbyniwyd yn flaenorol fel paramedr src Delweddau. Hynny yw, i'r defnyddiwr bydd cais o'r fath mewn traffig yn edrych fel cais am lun cyffredin. Defnyddiwyd techneg debyg yn nheulu sniffers ImageID. Yn ogystal, defnyddir y dechneg o ddefnyddio delwedd picsel 1 wrth 1 mewn llawer o sgriptiau dadansoddeg ar-lein cyfreithlon, a all hefyd gamarwain y defnyddiwr.
Dadansoddiad Fersiwn
Datgelodd dadansoddiad o'r parthau gweithredol a ddefnyddir gan weithredwyr synhwyro ReactGet lawer o fersiynau gwahanol o'r teulu hwn o sniffwyr. Mae fersiynau'n wahanol ym mhresenoldeb neu absenoldeb rhwystredigaeth, ac yn ogystal, mae pob sniffer wedi'i gynllunio ar gyfer system dalu benodol sy'n prosesu taliadau cerdyn banc ar gyfer siopau ar-lein. Ar ôl didoli gwerth y paramedr sy'n cyfateb i rif y fersiwn, derbyniodd arbenigwyr Group-IB restr gyflawn o'r amrywiadau synhwyro sydd ar gael, ac yn ôl enwau'r meysydd ffurflen y mae pob sniffer yn edrych amdanynt yng nghod y dudalen, fe wnaethant nodi'r systemau talu y mae'r synhwyro wedi'i anelu ato.
Rhestr o sniffers a'u systemau talu cyfatebol
| URL synhwyro | System dalu |
|---|---|
| Awdurdodi.Net | |
| Arbed cardiau | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| eWAY Cyflym | |
| Awdurdodi.Net | |
| Adyen | |
| UDAePay | |
| Awdurdodi.Net | |
| UDAePay | |
| Awdurdodi.Net | |
| Moneris | |
| UDAePay | |
| PayPal | |
| SagePay | |
| VeriSign | |
| PayPal | |
| Streip | |
| Realex | |
| PayPal | |
| Pwynt Cyswllt | |
| PayPal | |
| PayPal | |
| DataCash | |
| PayPal | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| VeriSign | |
| Awdurdodi.Net | |
| Moneris | |
| SagePay | |
| UDAePay | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| ANZ eGate | |
| Awdurdodi.Net | |
| Moneris | |
| SagePay | |
| SagePay | |
| Chase Paymentech | |
| Awdurdodi.Net | |
| Adyen | |
| PsiGate | |
| Ffynhonnell Seiber | |
| ANZ eGate | |
| Realex | |
| UDAePay | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| Realex | |
| SagePay | |
| PayPal | |
| VeriSign | |
| Awdurdodi.Net | |
| VeriSign | |
| Awdurdodi.Net | |
| ANZ eGate | |
| PayPal | |
| Ffynhonnell Seiber | |
| Awdurdodi.Net | |
| SagePay | |
| Realex | |
| Ffynhonnell Seiber | |
| PayPal | |
| PayPal | |
| PayPal | |
| VeriSign | |
| eWAY Cyflym | |
| SagePay | |
| SagePay | |
| VeriSign | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| First Data Global Gateway | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| Moneris | |
| Awdurdodi.Net | |
| PayPal | |
| VeriSign | |
| UDAePay | |
| UDAePay | |
| Awdurdodi.Net | |
| VeriSign | |
| PayPal | |
| Awdurdodi.Net | |
| Streip | |
| Awdurdodi.Net | |
| eWAY Cyflym | |
| SagePay | |
| Awdurdodi.Net | |
| Braintree | |
| Braintree | |
| PayPal | |
| SagePay | |
| SagePay | |
| Awdurdodi.Net | |
| PayPal | |
| Awdurdodi.Net | |
| VeriSign | |
| PayPal | |
| Awdurdodi.Net | |
| Streip | |
| Awdurdodi.Net | |
| eWAY Cyflym | |
| SagePay | |
| Awdurdodi.Net | |
| Braintree | |
| PayPal | |
| SagePay | |
| SagePay | |
| Awdurdodi.Net | |
| PayPal | |
| Awdurdodi.Net | |
| VeriSign | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| SagePay | |
| SagePay | |
| Westpac PayWay | |
| PayFort | |
| PayPal | |
| Awdurdodi.Net | |
| Streip | |
| First Data Global Gateway | |
| PsiGate | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| Moneris | |
| Awdurdodi.Net | |
| SagePay | |
| VeriSign | |
| Moneris | |
| PayPal | |
| Pwynt Cyswllt | |
| Westpac PayWay | |
| Awdurdodi.Net | |
| Moneris | |
| PayPal | |
| Adyen | |
| PayPal | |
| Awdurdodi.Net | |
| UDAePay | |
| EBizTâl | |
| Awdurdodi.Net | |
| VeriSign | |
| VeriSign | |
| Awdurdodi.Net | |
| PayPal | |
| Moneris | |
| Awdurdodi.Net | |
| PayPal | |
| PayPal | |
| Westpac PayWay | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| SagePay | |
| VeriSign | |
| Awdurdodi.Net | |
| PayPal | |
| PayFort | |
| Ffynhonnell Seiber | |
| PayPal Payflow Pro | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| VeriSign | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| SagePay | |
| Awdurdodi.Net | |
| Streip | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| VeriSign | |
| PayPal | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| SagePay | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| PayPal | |
| Y Fflint | |
| PayPal | |
| SagePay | |
| VeriSign | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| Streip | |
| Fat Zebra | |
| SagePay | |
| Awdurdodi.Net | |
| First Data Global Gateway | |
| Awdurdodi.Net | |
| eWAY Cyflym | |
| Adyen | |
| PayPal | |
| Gwasanaethau Masnachol QuickBooks | |
| VeriSign | |
| SagePay | |
| VeriSign | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| SagePay | |
| Awdurdodi.Net | |
| eWAY Cyflym | |
| Awdurdodi.Net | |
| ANZ eGate | |
| PayPal | |
| Ffynhonnell Seiber | |
| Awdurdodi.Net | |
| SagePay | |
| Realex | |
| Ffynhonnell Seiber | |
| PayPal | |
| PayPal | |
| PayPal | |
| VeriSign | |
| eWAY Cyflym | |
| SagePay | |
| SagePay | |
| VeriSign | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| First Data Global Gateway | |
| Awdurdodi.Net | |
| Awdurdodi.Net | |
| Moneris | |
| Awdurdodi.Net | |
| PayPal |
Сниффер паролей
Un o fanteision sniffers JavaScript yn gweithio ar ochr cleient gwefan yw eu hyblygrwydd: gall cod maleisus sydd wedi'i fewnosod ar wefan ddwyn unrhyw fath o ddata, boed yn ddata talu neu'n mewngofnodi a chyfrinair cyfrif defnyddiwr. Darganfu arbenigwyr Group-IB sampl o synhwyro yn perthyn i deulu ReactGet, a gynlluniwyd i ddwyn cyfeiriadau e-bost a chyfrineiriau defnyddwyr y wefan.
Croestoriad â sniffer ImageID
В ходе анализа одного из зараженных магазинов было установлено, что его сайт подвергся заражению дважды: помимо вредоносного кода сниффера семейства ReactGet, был обнаружен код сниффера семейства ImageID. Данное пересечение может быть свидетельством того, что операторы, стоящие за использованием обоих снифферов, применяют схожие техники для внедрения вредоносного кода.
Synhwyrydd cyffredinol
В ходе анализа одного из доменных имен, относящихся к инфраструктуре снифферов ReactGet, было установлено, что тот же пользователь зарегистрировал три других доменных имени. Эти три домена имитировали домены реально существующих сайтов и ранее использовались для размещения снифферов. При анализе кода трех легитимных сайтов был обнаружен неизвестный сниффер, а дальнейший анализ показал, что это усовершенствованная версия сниффера ReactGet. Все ранее отслеженные версии снифферов этого семейства были нацелены на какую-то одну платежную систему, то есть для каждой платежной системы требовалась специальная версия сниффера. Однако в данном случае была обнаружена универсальная версия сниффера, способная похищать информацию из форм, относящихся к 15 разным платежным системам и модулям ecommerce-сайтов для проведения онлайн-платежей.
Итак, в начале работы сниффер осуществлял поиск базовых полей формы, содержащих персональную информацию жертвы: полное имя, физический адрес, номер телефона.
Yna bu'r sniffer yn chwilio dros 15 o rhagddodiaid gwahanol yn cyfateb i wahanol systemau talu a modiwlau talu ar-lein.
Nesaf, casglwyd data personol y dioddefwr a gwybodaeth am daliadau gyda'i gilydd a'u hanfon i wefan a reolir gan yr ymosodwr: yn yr achos penodol hwn, darganfuwyd dwy fersiwn o'r sniffer ReactGet cyffredinol, sydd wedi'u lleoli ar ddau safle hacio gwahanol. Fodd bynnag, anfonodd y ddwy fersiwn ddata wedi'i ddwyn i'r un safle wedi'i hacio zoobashop.com.
Roedd dadansoddiad o'r rhagddodiaid a ddefnyddiodd y sniffer i chwilio am feysydd yn cynnwys gwybodaeth am daliadau'r dioddefwr yn ein galluogi i benderfynu bod y sampl synhwyro hwn wedi'i anelu at y systemau talu canlynol:
- Awdurdodi.Net
- VeriSign
- Data Cyntaf
- UDAePay
- Streip
- PayPal
- ANZ eGate
- Braintree
- DataCash (MasterCard)
- Realex Payments
- PsiGate
- Systemau Talu Heartland
Какие инструменты используются для кражи платежной информации
Mae'r offeryn cyntaf, a ddarganfuwyd yn ystod y dadansoddiad o seilwaith yr ymosodwyr, yn cael ei ddefnyddio i guddio sgriptiau maleisus sy'n gyfrifol am ddwyn cardiau banc. Darganfuwyd sgript bash yn defnyddio CLI y prosiect ar un o westeion yr ymosodwr i awtomeiddio gorbwysedd cod synhwyro.
Mae'r ail offeryn a ddarganfuwyd wedi'i gynllunio i gynhyrchu cod sy'n gyfrifol am lwytho'r prif sniffer. Mae'r teclyn hwn yn cynhyrchu cod JavaScript sy'n gwirio a yw'r defnyddiwr ar y dudalen talu drwy chwilio cyfeiriad presennol y defnyddiwr am linynnau til, cert и так далее, и если результат положительный, то код подгружает основной сниффер с сервера злоумышленников. Для сокрытия вредоносной активности все строки, включая тестовые строки для определения платежной страницы, а также ссылку на сниффер, закодированы при помощи sylfaen64.
Ymosodiadau gwe-rwydo
В ходе анализа сетевой инфраструктуры атакующих было установлено, что зачастую для получения доступа в административную панель целевого онлайн-магазина преступная группа использует фишинг. Атакующие регистрируют домен, визуально похожий на домен магазина, а затем разворачивают на нем поддельную форму входа административной панели Magento. В случае успеха атакующие получат доступ в административную панель CMS Magento, что дает им возможность редактировать компоненты сайта и внедрить сниффер для кражи данных кредитных карт.
Isadeiledd
| Enw Parth | Dyddiad darganfod / ymddangosiad |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagtracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trust-tracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-cyhoeddus.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
Teulu G-Analytics
Defnyddir y teulu hwn o sniffers i ddwyn cardiau cwsmeriaid o siopau ar-lein. Cofrestrwyd yr enw parth cyntaf un a ddefnyddiwyd gan y grŵp ym mis Ebrill 2016, a all ddangos bod y grŵp wedi dechrau gweithgaredd yng nghanol 2016.
Yn yr ymgyrch bresennol, mae'r grŵp yn defnyddio enwau parth sy'n dynwared gwasanaethau bywyd go iawn, megis Google Analytics a jQuery, gan guddio gweithgaredd sniffers gyda sgriptiau cyfreithlon ac enwau parth tebyg i rai cyfreithlon. Ymosodwyd ar safleoedd sy'n rhedeg y Magento CMS.
Sut mae G-Analytics yn cael ei roi ar waith yng nghod siop ar-lein
Nodwedd arbennig o'r teulu hwn yw'r defnydd o wahanol ddulliau i ddwyn gwybodaeth talu defnyddwyr. Yn ogystal â'r chwistrelliad clasurol o god JavaScript i ochr cleient y wefan, defnyddiodd y grŵp troseddol hefyd dechnegau pigiad cod i ochr gweinydd y wefan, sef sgriptiau PHP sy'n prosesu data a gofnodwyd gan ddefnyddwyr. Mae'r dechneg hon yn beryglus oherwydd mae'n ei gwneud hi'n anodd i ymchwilwyr trydydd parti ganfod cod maleisus. Darganfu arbenigwyr Group-IB fersiwn o synhwyro sydd wedi'i fewnosod yng nghod PHP y wefan, gan ddefnyddio parth fel giât dittm.org.
Darganfuwyd fersiwn cynnar o sniffer hefyd sy'n defnyddio'r un parth i gasglu data wedi'i ddwyn dittm.org, но эта версия предназначена уже для установки на клиентской стороне онлайн-магазина.
Yn ddiweddarach newidiodd y grŵp ei dactegau a dechreuodd ganolbwyntio mwy ar guddio gweithgaredd maleisus a chuddliw.
Ar ddechrau 2017, dechreuodd y grŵp ddefnyddio'r parth jquery-js.com, маскирующийся под CDN для jQuery: при переходе на сайт злоумышленников пользователя перенаправляет на легитимный сайт jquery.com.
Ac yng nghanol 2018, mabwysiadodd y grŵp yr enw parth g-analytics.com и начала маскировать деятельность сниффера под легитимный сервис Google Analytics.
Dadansoddiad Fersiwn
В ходе анализа доменов, используемых для хранения кода снифферов, было установлено, что на сайте располагается большое количество версий, которые различаются наличием обфускации, а также наличием или отсутствием недостижимого кода, добавленного в файл для отвлечения внимания и сокрытия вредоносного кода.
Cyfanswm ar y wefan jquery-js.com Nodwyd chwe fersiwn o sniffers. Mae'r sniffwyr hyn yn anfon y data sydd wedi'i ddwyn i gyfeiriad sydd wedi'i leoli ar yr un wefan â'r sniffer ei hun: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Parth diweddarach g-analytics.com, используемый группой в атаках с середины 2018 года, служит хранилищем для большего числа снифферов. Всего было обнаружено 16 разных версий сниффера. В этом случае гейт для отправки украденных данных был замаскирован под ссылку на изображение формата GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Rhoi gwerth ariannol ar ddata sydd wedi'i ddwyn
Преступная группа монетизирует украденные данные, продавая карты через специально созданный подпольный магазин, оказывающий услуги кардерам. Анализ доменов, используемых атакующими, позволил определить, что google-analytics.cm wedi'i gofrestru gan yr un defnyddiwr â'r parth cardz.vc. Parth cardz.vc yn cyfeirio at siop yn gwerthu cardiau banc wedi'u dwyn Cardsurfs (Flysurfs), a enillodd boblogrwydd yn ôl yn nyddiau gweithgaredd y llwyfan masnachu tanddaearol AlphaBay fel siop yn gwerthu cardiau banc wedi'u dwyn gan ddefnyddio sniffer.
Dadansoddi'r parth dadansoddol.yn, wedi'i leoli ar yr un gweinydd â'r parthau a ddefnyddir gan sniffwyr i gasglu data wedi'i ddwyn, darganfu arbenigwyr Group-IB ffeil sy'n cynnwys logiau lladrata cwci, yr ymddengys iddo gael ei adael yn ddiweddarach gan y datblygwr. Roedd un o'r cofnodion yn y log yn cynnwys parth iozoz.com, a ddefnyddiwyd yn flaenorol yn un o'r sniffers gweithredol yn 2016. Yn ôl pob tebyg, roedd y parth hwn yn cael ei ddefnyddio'n flaenorol gan ymosodwr i gasglu cardiau wedi'u dwyn gan ddefnyddio sniffiwr. Cofrestrwyd y parth hwn i gyfeiriad e-bost [e-bost wedi'i warchod], a ddefnyddiwyd hefyd i gofrestru parthau cardz.su и cardz.vc, относящихся к кардинговому магазину Cardsurfs.
Исходя из полученных даннных, можно сделать предположение, что семейство снифферов G-Analytics и подпольный магазин по продаже банковских карт Cardsurfs управляются одними и теми же людьми, а магазин используется для реализации банковских карт, украденных при помощи сниффера.
Isadeiledd
| Enw Parth | Dyddiad darganfod / ymddangosiad |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| analytic.to | 04.12.2018 |
| google-ddadansoddeg.i | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| dadansoddol.yn | 28.12.2018 |
| googlc-analytics.cm | 17.01.2019 |
teulu Illum
Illum — семейство снифферов, применяемое для атак на онлайн-магазины, работающие под управлением CMS Magento. Помимо внедрения вредоносного кода, операторы этого сниффера также используют внедрение полноценных поддельных форм оплаты, которые отправляют данные на подконтрольные злоумышленникам гейты.
Wrth ddadansoddi'r seilwaith rhwydwaith a ddefnyddir gan weithredwyr y sniffer hwn, nodwyd nifer fawr o sgriptiau maleisus, campau, ffurflenni talu ffug, yn ogystal â chasgliad o enghreifftiau o arogleuon maleisus gan gystadleuwyr. Yn seiliedig ar wybodaeth am ddyddiadau ymddangosiad yr enwau parth a ddefnyddir gan y grŵp, gellir tybio bod yr ymgyrch wedi dechrau ar ddiwedd 2016.
Sut mae Illum yn cael ei weithredu yng nghod siop ar-lein
Roedd y fersiynau cyntaf o'r sniffer a ddarganfuwyd wedi'u hymgorffori'n uniongyrchol i god y wefan dan fygythiad. Anfonwyd y data a gafodd ei ddwyn i cdn.illum[.]pw/records.php, гейт же был закодирован при помощи sylfaen64.
Yn ddiweddarach, darganfuwyd fersiwn wedi'i becynnu o'r sniffer sy'n defnyddio giât wahanol - records.nstatistics[.]com/records.php.
Yn ôl Willem de Groot, такой же хост использовался в сниффере, который был внедрен на , sy'n eiddo i blaid wleidyddol yr Almaen CSU.
Анализ сайта злоумышленников
Darganfu a dadansoddodd arbenigwyr Group-IB wefan a ddefnyddir gan y grŵp troseddol hwn i storio offer a chasglu gwybodaeth wedi'i dwyn.
Ymhlith yr offer a ddarganfuwyd ar weinydd yr ymosodwyr roedd sgriptiau a gorchestion ar gyfer breintiau cynyddol yn yr OS Linux: er enghraifft, Sgript Gwirio Cynnydd Braint Linux a ddatblygwyd gan Mike Czumak, yn ogystal â chamfanteisio ar gyfer CVE-2009-1185.
Непосредственно для атак на онлайн-магазины злоумышленники использовали два эксплойта: gallu chwistrellu cod maleisus i mewn data_config_craidd drwy fanteisio ar CVE-2016-4010, yn manteisio ar fregusrwydd RCE mewn ategion ar gyfer CMS Magento, gan ganiatáu i god mympwyol gael ei weithredu ar weinydd gwe sy'n agored i niwed.
Hefyd, yn ystod y dadansoddiad o'r gweinydd, darganfuwyd samplau amrywiol o sniffers a ffurflenni talu ffug, a ddefnyddir gan ymosodwyr i gasglu gwybodaeth am daliadau o safleoedd wedi'u hacio. Fel y gwelwch o'r rhestr isod, crëwyd rhai sgriptiau'n unigol ar gyfer pob gwefan hacio, tra defnyddiwyd datrysiad cyffredinol ar gyfer rhai CMS a phyrth talu. Er enghraifft, sgriptiau segapay_standart.js и segapay_onpage.js предназначены для внедрения на сайты, использующие платежный шлюз Sage Pay.
Rhestr o sgriptiau ar gyfer pyrth talu amrywiol
| Sgript | Porth talu |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdierenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_forminsite.js | //paymentnow[.]tk/?payment= |
Gwesteiwr paymentnow[.]tk, a ddefnyddir fel giât mewn sgript payment_forminsite.js, ei ddarganfod fel pwncAltName в нескольких сертификатах, относящихся к сервису CloudFlare. Помимо этого, на хосте располагался скрипт drwg.js. A barnu yn ôl enw'r sgript, gellid ei ddefnyddio fel rhan o ymelwa ar CVE-2016-4010, diolch i hynny mae'n bosibl chwistrellu cod maleisus i mewn i droedyn safle sy'n rhedeg y Magento CMS. Defnyddiodd y gwesteiwr y sgript hon fel giât request.requestnet[.]tkgan ddefnyddio'r un dystysgrif â'r gwesteiwr paymentnow[.]tk.
Ffurflenni talu ffug
Mae'r ffigur isod yn dangos enghraifft o ffurflen ar gyfer mewnbynnu data cerdyn. Defnyddiwyd y ffurflen hon i ymdreiddio i siop ar-lein a dwyn data cardiau.
На следующем рисунке — пример поддельной платежной формы PayPal, которую использовали злоумышленники для внедрения на сайты с этим методом оплаты.
Isadeiledd
| Enw Parth | Dyddiad darganfod / ymddangosiad |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| request.payrightnow.cf | 25/05/2018 |
| taliadnow.tk | 16/07/2017 |
| taliad-llinell.tk | 01/03/2018 |
| paypal.cf | 04/09/2017 |
| caisnet.tk | 28/06/2017 |
Teulu CoffiMokko
Mae teulu CoffeMokko o sniffwyr, sydd wedi'u cynllunio i ddwyn cardiau banc gan ddefnyddwyr siopau ar-lein, wedi bod yn cael eu defnyddio ers o leiaf Mai 2017. Yn ôl pob tebyg, gweithredwyr y teulu hwn o sniffwyr yw’r grŵp troseddol Grŵp 1, a ddisgrifiwyd gan arbenigwyr RiskIQ yn 2016. Ymosodwyd ar wefannau sy'n rhedeg CMSs fel Magento, OpenCart, WordPress, osCommerce, a Shopify.
Sut mae CoffeMokko yn cael ei weithredu yng nghod siop ar-lein
Mae gweithredwyr y teulu hwn yn creu sniffers unigryw ar gyfer pob haint: mae'r ffeil synhwyro yn y cyfeiriadur src neu js ar weinydd yr ymosodwyr. Mae corffori yng nghod y wefan yn cael ei wneud trwy ddolen uniongyrchol i'r sniffer.
Mae'r cod sniffer yn codio caled enwau'r meysydd ffurflen y mae angen dwyn data ohonynt. Mae'r sniffer hefyd yn gwirio a yw'r defnyddiwr ar y dudalen dalu trwy wirio'r rhestr o eiriau allweddol gyda chyfeiriad presennol y defnyddiwr.
Roedd rhai fersiynau a ddarganfuwyd o'r sniffer wedi'u cuddio ac yn cynnwys llinyn wedi'i amgryptio lle'r oedd y prif amrywiaeth o adnoddau'n cael ei storio: roedd yn cynnwys enwau meysydd ffurflen ar gyfer systemau talu amrywiol, yn ogystal â'r cyfeiriad giât y dylid anfon y data a ddygwyd iddo.
Anfonwyd y wybodaeth talu a ddwynwyd i sgript ar weinydd yr ymosodwyr ar hyd y ffordd /savePayment/index.php neu /tr/index.php. Предположительно, этот скрипт служит для отправки данных с гейта на основной сервер, консолидирующий данные со всех снифферов. Для сокрытия передаваемых данных вся платежная информация жертвы кодируется при помощи sylfaen64, ac yna mae sawl amnewid cymeriad yn digwydd:
- mae'r nod "e" yn cael ei ddisodli gan ":"
- mae'r symbol "w" yn cael ei ddisodli gan "+"
- mae'r nod "o" yn cael ei ddisodli gan "%"
- mae'r nod "d" yn cael ei ddisodli gan "#"
- символ «a» заменяется на «-»
- mae'r symbol "7" yn cael ei ddisodli gan "^"
- mae'r nod "h" yn cael ei ddisodli gan "_"
- mae'r symbol "T" yn cael ei ddisodli gan "@"
- disodlir y nod "0" gan "/"
- mae'r nod "Y" yn cael ei ddisodli gan "*"
В результате замен символов закодированные с помощью sylfaen64 Ni ellir dadgodio'r data heb berfformio'r trawsnewidiad cefn.
Dyma sut olwg sydd ar ddarn o god synhwyro sydd heb ei guddio:
Dadansoddiad Seilwaith
Mewn ymgyrchoedd cynnar, cofrestrodd ymosodwyr enwau parth tebyg i rai gwefannau siopa ar-lein cyfreithlon. Gallai eu parth fod yn wahanol i'r symbol cyfreithlon un wrth un neu TLD arall. Defnyddiwyd parthau cofrestredig i storio cod synhwyro, yr oedd dolen iddo wedi'i hymgorffori yng nghod y storfa.
Defnyddiodd y grŵp hwn hefyd enwau parth sy'n atgoffa rhywun o ategion jQuery poblogaidd (slickjs[.]org ar gyfer gwefannau sy'n defnyddio'r ategyn slic.js), платежных шлюзов (sagecdn[.]org ar gyfer safleoedd sy'n defnyddio system dalu Sage Pay).
Позднее группа начала создавать домены, название которых не имело ничего общего ни с доменом магазина, ни с тематикой магазина.
Roedd pob parth yn cyfateb i safle lle cafodd y cyfeiriadur ei greu /js neu /src. Storiwyd sgriptiau synhwyro yn y cyfeiriadur hwn: un sniffer ar gyfer pob haint newydd. Cafodd y sniffer ei fewnosod yng nghod y wefan trwy ddolen uniongyrchol, ond mewn achosion prin, addasodd ymosodwyr un o ffeiliau'r wefan ac ychwanegu cod maleisus ato.
Dadansoddi Cod
Algorithm obfuscation cyntaf
Mewn rhai samplau a ddarganfuwyd o sniffers o'r teulu hwn, roedd y cod wedi'i guddio ac yn cynnwys data wedi'i amgryptio sy'n angenrheidiol i'r sniffer weithio: yn benodol, cyfeiriad y giât sniffer, rhestr o feysydd ffurflen talu, ac mewn rhai achosion, cod ffug ffurflen talu. Yn y cod y tu mewn i'r swyddogaeth, cafodd yr adnoddau eu hamgryptio gan ddefnyddio XOR по ключу, который передавался аргументом этой же функции.
Trwy ddadgryptio'r llinyn gyda'r allwedd briodol, sy'n unigryw ar gyfer pob sampl, gallwch gael llinyn sy'n cynnwys yr holl linynnau o'r cod synhwyro wedi'i wahanu gan nod gwahanydd.
Algorithm obfuscation ail
Mewn samplau diweddarach o sniffers o'r teulu hwn, defnyddiwyd mecanwaith obfuscation gwahanol: yn yr achos hwn, amgryptio'r data gan ddefnyddio algorithm hunan-ysgrifenedig. Trosglwyddwyd llinyn yn cynnwys data wedi'i amgryptio sy'n angenrheidiol i'r sniffer i weithredu fel dadl i'r ffwythiant dadgryptio.
Gan ddefnyddio consol y porwr, gallwch ddadgryptio'r data wedi'i amgryptio a chael amrywiaeth sy'n cynnwys adnoddau synhwyro.
Cysylltiad ag ymosodiadau cynnar MageCart
Yn ystod y dadansoddiad o un o'r parthau a ddefnyddir gan y grŵp fel porth i gasglu data wedi'i ddwyn, canfuwyd bod y parth hwn yn cynnal seilwaith ar gyfer dwyn cardiau credyd, yn union yr un fath â'r hyn a ddefnyddiwyd gan Grŵp 1, un o'r grwpiau cyntaf, специалистами RiskIQ.
Darganfuwyd dwy ffeil ar westeiwr teulu sniffers CoffeMokko:
- mage.js — ffeil yn cynnwys cod synhwyro Grŵp 1 gyda chyfeiriad giât js-cdn.link
- mag.php — Sgript PHP sy'n gyfrifol am gasglu data a ddwynwyd gan y sniffer
Cynnwys y ffeil mage.js
Penderfynwyd hefyd bod y parthau cynharaf a ddefnyddiwyd gan y grŵp y tu ôl i deulu sniffers CoffeMokko wedi'u cofrestru ar Fai 17, 2017:
- link-js[.]link
- info-js[.]dolen
- dolen trac-js[.]
- map-js[.]link
- dolen smart-js[.]
Mae fformat yr enwau parth hyn yn cyfateb i'r enwau parth Grŵp 1 a ddefnyddiwyd yn ymosodiadau 2016.
На основе обнаруженных фактов можно сделать предположение, что между операторами снифферов CoffeMokko и преступной группой Group 1 есть связь. Предположительно, операторы CoffeMokko могли позаимствовать у своих предшественников инструменты и программное обеспечение для кражи карт. Однако более вероятно, что преступная группа, стоящая за использованием снифферов семейства CoffeMokko, — это те же люди, что осуществляли атаки в рамках деятельности Group 1. После публикации первого отчета о деятельности преступной группы все их доменные имена были заблокированы, а инструменты подробно изучены и описаны. Группа была вынуждена взять перерыв, доработать свои внутренние инструменты и переписать код снифферов для того, чтобы продолжить свои атаки и оставаться незамеченными.
Isadeiledd
| Enw Parth | Dyddiad darganfod / ymddangosiad |
|---|---|
| cyswllt-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.cyswllt | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adrebeauty.org | 03.09.2017 |
| sicrwydd-taliad.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| childsplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| siop-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| batri-rym.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parciau.su | 09.01.2018 |
| pmtonlein.su | 12.01.2018 |
| ottocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffi.org | 31.01.2018 |
| energycoffe.org | 31.01.2018 |
| energytea.org | 31.01.2018 |
| tecoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| awdurdodicdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| ffreschat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| bwydandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitnesse.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
Ffynhonnell: hab.com