Preskaŭ ĉiuj ni uzas la servojn de interretaj vendejoj, kio signifas, ke baldaŭ aŭ malfrue ni riskas fariĝi viktimo de JavaScript-snufers - speciala kodo, kiun atakantoj efektivigas en retejo por ŝteli bankkartajn datumojn, adresojn, ensalutojn kaj pasvortojn de uzantoj. .
Preskaŭ 400 000 uzantoj de la retejo kaj poŝtelefona aplikaĵo de British Airways jam estis tuŝitaj de snufistoj, same kiel vizitantoj de la brita retejo de la sporta giganto FILA kaj de la usona biletdistribuisto Ticketmaster. PayPal, Chase Paymenttech, USAePay, Moneris - ĉi tiuj kaj multaj aliaj pagsistemoj estis infektitaj.
Threat Intelligence Group-IB-analizisto Viktor Okorokov parolas pri kiel snufistoj infiltras retejan kodon kaj ŝtelas pagajn informojn, same kiel kiajn CRMojn ili atakas.
"Kaŝa minaco"
Okazis, ke dum longa tempo JS-snufistoj restis ekster la vido de kontraŭvirusaj analizistoj, kaj bankoj kaj pagsistemoj ne vidis ilin kiel gravan minacon. Kaj tute vane. Fakuloj de Grupo-IB 2440 1,5 infektitaj interretaj vendejoj, kies vizitantoj - entute ĉirkaŭ XNUMX milionoj da homoj tage - riskis kompromisi. Inter la viktimoj estas ne nur uzantoj, sed ankaŭ interretaj vendejoj, pagsistemoj kaj bankoj, kiuj eldonis kompromititajn kartojn.
Group-IB fariĝis la unua studo pri la darknet-merkato por sniffers, ilia infrastrukturo kaj metodoj de monetigo, kiu alportas al iliaj kreintoj milionojn da dolaroj. Ni identigis 38 familiojn de snufistoj, el kiuj nur 12 estis antaŭe konataj de esploristoj.
Ni detale prizorgu la kvar familiojn de snufistoj studitaj dum la studo.
ReactGet Family
Flarantoj de la familio ReactGet estas uzataj por ŝteli bankkartajn datumojn en interretaj butikumadaj retejoj. La snufisto povas funkcii kun granda nombro da malsamaj pagsistemoj uzataj en la retejo: unu parametrovaloro respondas al unu pagsistemo, kaj individuaj detektitaj versioj de la snuro povas esti uzataj por ŝteli akreditaĵojn, kaj ankaŭ por ŝteli bankkartajn datumojn de pago. formoj de pluraj pagsistemoj samtempe, kiel la tiel nomata universala snufilo. Oni trovis, ke en iuj kazoj, atakantoj faras phishing-atakojn kontraŭ administrantoj de interretaj vendejoj por akiri aliron al la administra panelo de la retejo.
Kampanjo uzanta ĉi tiun familion de snufistoj komenciĝis en majo 2017; retejoj funkciantaj CMS kaj Magento, Bigcommerce kaj Shopify-platformoj estis atakitaj.
Kiel ReactGet estas efektivigita en la kodon de reta butiko
Krom la "klasika" efektivigo de skripto per ligilo, la funkciigistoj de la familio de snufistoj ReactGet uzas specialan teknikon: uzante JavaScript-kodon, ili kontrolas ĉu la aktuala adreso, kie troviĝas la uzanto, plenumas iujn kriteriojn. La malica kodo estos ekzekutita nur se la subĉeno ĉeestas en la nuna URL kaso aŭ unupaŝa kaso, unu paĝo/, el/onepag, kaso/unu, ckout/unu. Tiel, la sniffer-kodo estos ekzekutita ĝuste en la momento, kiam la uzanto pagi por aĉetoj kaj enmetas pagajn informojn en la formularon en la retejo.
Ĉi tiu snufilo uzas nenorman teknikon. La pago kaj personaj datumoj de la viktimo estas kolektitaj kune kaj kodigitaj uzante bazo64, kaj tiam la rezulta ĉeno estas uzata kiel parametro por sendi peton al la retejo de la atakantoj. Plej ofte, la vojo al la pordego imitas ekzemple JavaScript-dosieron resp.js, datumo.js kaj tiel plu, sed ligiloj al bilddosieroj ankaŭ estas uzataj, GIF и JPG. La propreco estas, ke la snufisto kreas bildan objekton je 1 per 1 pikselo kaj uzas la antaŭe ricevitan ligilon kiel parametron. src Bildoj. Tio estas, por la uzanto tia peto en trafiko aspektos kiel peto por ordinara bildo. Simila tekniko estis uzita en la ImageID-familio de snufistoj. Aldone, la tekniko uzi 1 per 1 piksela bildo estas uzata en multaj legitimaj interretaj analizaj skriptoj, kiuj ankaŭ povas trompi la uzanton.
Versia Analizo
Analizo de la aktivaj domajnoj uzataj de ReactGet-snufer-funkciigistoj rivelis multajn malsamajn versiojn de ĉi tiu familio de snufistoj. Versioj diferencas pro la ĉeesto aŭ foresto de malklariĝo, kaj krome, ĉiu sniffer estas desegnita por specifa pagsistemo, kiu prilaboras bankkartajn pagojn por interretaj butikoj. Ordigis la valoron de la parametro responda al la versio-numero, la specialistoj de Group-IB ricevis kompletan liston de disponeblaj snufvarioj, kaj laŭ la nomoj de la formularaj kampoj, kiujn ĉiu snufisto serĉas en la paĝkodo, ili identigis la pagsistemojn. ke la flaranto celas.
Listo de snufistoj kaj iliaj respondaj pagsistemoj
| Sniffer URL | Pagsistemo |
|---|---|
| Authorize.Net | |
| Kartoŝparo | |
| Authorize.Net | |
| Authorize.Net | |
| eWAY Rapida | |
| Authorize.Net | |
| Adyen | |
| USAePay | |
| Authorize.Net | |
| USAePay | |
| Authorize.Net | |
| Moneris | |
| USAePay | |
| PayPal | |
| Saĝa Pago | |
| Verisigno | |
| PayPal | |
| strio | |
| Realex | |
| PayPal | |
| LinkPoint | |
| PayPal | |
| PayPal | |
| DataCash | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Verisigno | |
| Authorize.Net | |
| Moneris | |
| Saĝa Pago | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| Authorize.Net | |
| Moneris | |
| Saĝa Pago | |
| Saĝa Pago | |
| Ĉasu Paymentech | |
| Authorize.Net | |
| Adyen | |
| PsiGate | |
| Ciberfonto | |
| ANZ eGate | |
| Realex | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| Realex | |
| Saĝa Pago | |
| PayPal | |
| Verisigno | |
| Authorize.Net | |
| Verisigno | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Ciberfonto | |
| Authorize.Net | |
| Saĝa Pago | |
| Realex | |
| Ciberfonto | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisigno | |
| eWAY Rapida | |
| Saĝa Pago | |
| Saĝa Pago | |
| Verisigno | |
| Authorize.Net | |
| Authorize.Net | |
| Unua Data Global Gateway | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| PayPal | |
| Verisigno | |
| USAePay | |
| USAePay | |
| Authorize.Net | |
| Verisigno | |
| PayPal | |
| Authorize.Net | |
| strio | |
| Authorize.Net | |
| eWAY Rapida | |
| Saĝa Pago | |
| Authorize.Net | |
| Braintree | |
| Braintree | |
| PayPal | |
| Saĝa Pago | |
| Saĝa Pago | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Verisigno | |
| PayPal | |
| Authorize.Net | |
| strio | |
| Authorize.Net | |
| eWAY Rapida | |
| Saĝa Pago | |
| Authorize.Net | |
| Braintree | |
| PayPal | |
| Saĝa Pago | |
| Saĝa Pago | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Verisigno | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Saĝa Pago | |
| Saĝa Pago | |
| Westpac Payway | |
| PayFort | |
| PayPal | |
| Authorize.Net | |
| strio | |
| Unua Data Global Gateway | |
| PsiGate | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| Saĝa Pago | |
| Verisigno | |
| Moneris | |
| PayPal | |
| LinkPoint | |
| Westpac Payway | |
| Authorize.Net | |
| Moneris | |
| PayPal | |
| Adyen | |
| PayPal | |
| Authorize.Net | |
| USAePay | |
| EBizCharge | |
| Authorize.Net | |
| Verisigno | |
| Verisigno | |
| Authorize.Net | |
| PayPal | |
| Moneris | |
| Authorize.Net | |
| PayPal | |
| PayPal | |
| Westpac Payway | |
| Authorize.Net | |
| Authorize.Net | |
| Saĝa Pago | |
| Verisigno | |
| Authorize.Net | |
| PayPal | |
| PayFort | |
| Ciberfonto | |
| PayPal Payflow Pro | |
| Authorize.Net | |
| Authorize.Net | |
| Verisigno | |
| Authorize.Net | |
| Authorize.Net | |
| Saĝa Pago | |
| Authorize.Net | |
| strio | |
| Authorize.Net | |
| Authorize.Net | |
| Verisigno | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Saĝa Pago | |
| Authorize.Net | |
| Authorize.Net | |
| PayPal | |
| siliko | |
| PayPal | |
| Saĝa Pago | |
| Verisigno | |
| Authorize.Net | |
| Authorize.Net | |
| strio | |
| Dika Zebro | |
| Saĝa Pago | |
| Authorize.Net | |
| Unua Data Global Gateway | |
| Authorize.Net | |
| eWAY Rapida | |
| Adyen | |
| PayPal | |
| Komercaj Servoj de QuickBooks | |
| Verisigno | |
| Saĝa Pago | |
| Verisigno | |
| Authorize.Net | |
| Authorize.Net | |
| Saĝa Pago | |
| Authorize.Net | |
| eWAY Rapida | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Ciberfonto | |
| Authorize.Net | |
| Saĝa Pago | |
| Realex | |
| Ciberfonto | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisigno | |
| eWAY Rapida | |
| Saĝa Pago | |
| Saĝa Pago | |
| Verisigno | |
| Authorize.Net | |
| Authorize.Net | |
| Unua Data Global Gateway | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| PayPal |
Pasvortflaristo
Unu el la avantaĝoj de JavaScript-sniffers laborantaj ĉe la klienta flanko de retejo estas ilia ĉiuflankeco: malica kodo enigita en retejo povas ŝteli ajnan tipon de datumoj, ĉu ĝi pagas datumojn aŭ la ensaluton kaj pasvorton de uzantkonto. Specialistoj de Group-IB malkovris specimenon de snufisto apartenanta al la familio ReactGet, desegnita por ŝteli retadresojn kaj pasvortojn de uzantoj de la retejo.
Intersekciĝo kun ImageID sniffer
Dum la analizo de unu el la infektitaj vendejoj, oni trovis, ke ĝia retejo estis infektita dufoje: krom la malica kodo de la familia sniffer ReactGet, estis detektita kodo de la familio ImageID. Ĉi tiu interkovro povus esti indico ke la funkciigistoj malantaŭ ambaŭ snufistoj uzas similajn teknikojn por injekti malican kodon.
Universala flaristo
Analizo de unu el la domajnaj nomoj asociitaj kun la sniffer-infrastrukturo ReactGet rivelis, ke la sama uzanto registris tri aliajn domajnajn nomojn. Ĉi tiuj tri domajnoj imitis la domajnojn de realaj retejoj kaj antaŭe estis uzataj por gastigi snufistojn. Analizante la kodon de tri legitimaj retejoj, nekonata snufisto estis detektita, kaj plia analizo montris, ke ĝi estas plibonigita versio de la snufisto ReactGet. Ĉiuj antaŭe monitoritaj versioj de ĉi tiu familio de snufistoj celis ununuran pagsistemon, tio estas, ĉiu pagsistemo postulis specialan version de la snuffer. Tamen, en ĉi tiu kazo, universala versio de la sniffer estis malkovrita, kiu kapablas ŝteli informojn de formoj rilataj al 15 malsamaj pagsistemoj kaj moduloj de retkomercaj retejoj por fari interretajn pagojn.
Do, komence de la laboro, la snufisto serĉis bazajn formularajn kampojn enhavantajn la personajn informojn de la viktimo: plena nomo, fizika adreso, telefonnumero.
La snufisto tiam serĉis pli ol 15 malsamajn prefiksojn respondantajn al malsamaj pagsistemoj kaj retaj pagmoduloj.
Poste, la personaj datumoj kaj pago-informoj de la viktimo estis kolektitaj kune kaj senditaj al retejo kontrolita de la atakanto: en ĉi tiu aparta kazo, du versioj de la universala sniffer ReactGet estis malkovritaj, situantaj sur du malsamaj hakitaj retejoj. Tamen ambaŭ versioj sendis ŝtelitajn datumojn al la sama hakita retejo zoobashop.com.
Analizo de la prefiksoj, kiujn la snufisto uzis por serĉi kampojn enhavantajn la pagajn informojn de la viktimo, permesis al ni determini, ke ĉi tiu flara specimeno celis la sekvajn pagsistemojn:
- Authorize.Net
- Verisigno
- Unua Datumo
- USAePay
- strio
- PayPal
- ANZ eGate
- Braintree
- DataCash (MasterCard)
- Realex Pagoj
- PsiGate
- Heartland Pagsistemoj
Kiuj iloj estas uzataj por ŝteli pagajn informojn?
La unua ilo, malkovrita dum la analizo de la infrastrukturo de la atakantoj, estas uzata por malklarigi malicajn skriptojn respondecajn pri ŝtelo de bankkartoj. Bash-skripto uzanta la CLI de la projekto estis malkovrita sur unu el la gastigantoj de la atakanto por aŭtomatigi malklarigadon de flarkodo.
La dua malkovrita ilo estas desegnita por generi kodon respondeca por ŝarĝo de la ĉefa sniffer. Ĉi tiu ilo generas JavaScript-kodon, kiu kontrolas ĉu la uzanto estas sur la pagpaĝo serĉante la nunan adreson de la uzanto por ĉenoj kaso, ĉaro kaj tiel plu, kaj se la rezulto estas pozitiva, tiam la kodo ŝarĝas la ĉefan snufilon de la servilo de la atakantoj. Por kaŝi malican agadon, ĉiuj linioj, inkluzive de testlinioj por determini la pagpaĝon, same kiel ligilon al la sniffer, estas koditaj uzante bazo64.
Phishing-atakoj
Analizo de la reta infrastrukturo de la atakantoj malkaŝis, ke la krima grupo ofte uzas phishing por akiri aliron al la administra panelo de la cela reta butiko. Atakantoj registras domajnon, kiu estas videble simila al la domajno de vendejo, kaj poste deplojas falsan ensalutformularon de Magento-administra panelo sur ĝi. Se sukcesas, la atakantoj akiros aliron al la administra panelo de la Magento CMS, kiu donas al ili la ŝancon redakti retejojn komponantojn kaj efektivigi sniffer por ŝteli kreditkartajn datumojn.
Infrastrukturo
| Demando | Dato de malkovro/apero |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagstracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trust-tracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| etikedojmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
G-Analitika Familio
Ĉi tiu familio de snufistoj estas uzata por ŝteli klientkartojn de interretaj butikoj. La unua domajna nomo uzata de la grupo estis registrita en aprilo 2016, kio povas indiki, ke la grupo komencis agadon meze de 2016.
En la nuna kampanjo, la grupo uzas domajnajn nomojn, kiuj imitas realajn servojn, kiel Google Analytics kaj jQuery, maskante la agadon de sniffers per legitimaj skriptoj kaj domajnaj nomoj similaj al legitimaj. Retejoj kurantaj la Magento CMS estis atakitaj.
Kiel G-Analytics estas efektivigita en la kodon de reta butiko
Karakterizaĵo de ĉi tiu familio estas la uzo de diversaj metodoj por ŝteli uzantajn pagajn informojn. Krom la klasika injekto de JavaScript-kodo en la klientflankon de la retejo, la krima grupo ankaŭ uzis kodajn injektajn teknikojn en la servilflankon de la retejo, nome PHP-skriptoj, kiuj prilaboras datumojn enmetitajn de uzanto. Ĉi tiu tekniko estas danĝera ĉar ĝi malfaciligas al triaj esploristoj detekti malican kodon. Specialistoj de Grupo-IB malkovris version de snufilo enigita en la PHP-kodo de la retejo, uzante domajnon kiel pordegon. dittm.org.
Frua versio de snufisto ankaŭ estis malkovrita, kiu uzas la saman domajnon por kolekti ŝtelitajn datumojn dittm.org, sed ĉi tiu versio estas destinita por instalado ĉe la klienta flanko de reta butiko.
La grupo poste ŝanĝis siajn taktikojn kaj komencis temigi pli kaŝi malican agadon kaj kamufladon.
Komence de 2017, la grupo komencis uzi la domajnon jquery-js.com, maskante kiel CDN por jQuery: irante al la retejo de atakantoj, la uzanto estas redirektita al legitima retejo jquery.com.
Kaj meze de 2018, la grupo adoptis la domajnan nomon g-analytics.com kaj komencis kaŝvesti la agadojn de la snufisto kiel laŭleĝa Google Analytics-servo.
Versia Analizo
Dum la analizo de la domajnoj uzataj por stoki sniffer-kodon, oni trovis, ke la retejo enhavas grandan nombron da versioj, kiuj diferencas pro la ĉeesto de malklariĝo, same kiel la ĉeesto aŭ foresto de neatingebla kodo aldonita al la dosiero por distri la atenton. kaj kaŝi malican kodon.
Entute surloke jquery-js.com Ses versioj de snufistoj estis identigitaj. Ĉi tiuj snufistoj sendas la ŝtelitajn datumojn al adreso situanta en la sama retejo kiel la snufisto mem: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Poste domajno g-analytics.com, uzata de la grupo en atakoj ekde meze de 2018, funkcias kiel deponejo por pli da snufantoj. Entute, 16 malsamaj versioj de la snufisto estis malkovritaj. En ĉi tiu kazo, la pordego por sendi ŝtelitajn datumojn estis kaŝvestita kiel ligo al bildformato GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Monetigo de ŝtelitaj datumoj
La krima grupo monetigas la ŝtelitajn datumojn vendante kartojn per speciale kreita subtera vendejo, kiu provizas servojn al kardistoj. Analizo de la domajnoj uzataj de la atakantoj permesis al ni determini tion google-analytics.cm estis registrita de la sama uzanto kiel la domajno cardz.vc. Domajno cardz.vc rilatas al vendejo vendanta ŝtelitajn bankkartojn Cardsurfs (Flysurfs), kiu akiris popularecon reen en la tagoj de la agado de la subtera komerca platformo AlphaBay kiel vendejo vendanta bankkartojn ŝtelitajn uzante sniffer.
Analizante la domajnon analiza.is, situanta sur la sama servilo kiel la domajnoj uzataj de snufistoj por kolekti ŝtelitajn datumojn, la specialistoj de Group-IB malkovris dosieron enhavantan kuketajn ŝtelistojn, kiu ŝajnas estinti poste forlasita de la programisto. Unu el la enskriboj en la protokolo enhavis domajnon iozoz.com, kiu antaŭe estis uzita en unu el la snufistoj aktivaj en 2016. Supozeble, ĉi tiu domajno antaŭe estis uzita de atakanto por kolekti kartojn ŝtelitajn per snufilo. Ĉi tiu domajno estis registrita al retadreso [retpoŝte protektita], kiu ankaŭ estis uzata por registri domajnojn cardz.su и cardz.vc, rilata al la kardbutiko Cardsurfs.
Surbaze de la datumoj akiritaj, oni povas supozi, ke la G-Analytics-familio de sniffers kaj la subtera vendejo vendanta bankkartojn Cardsurfs estas administritaj de la samaj homoj, kaj la vendejo estas uzata por vendi bankkartojn ŝtelitajn per la sniffer.
Infrastrukturo
| Demando | Dato de malkovro/apero |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| analiza.to | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| analiza.is | 28.12.2018 |
| googlc-analytics.cm | 17.01.2019 |
Illum-familio
Illum estas familio de snufistoj uzataj por ataki retajn butikojn pri Magento CMS. Krom enkonduko de malica kodo, la funkciigistoj de ĉi tiu sniffer ankaŭ uzas la enkondukon de plenrajtaj falsaj pagformularoj kiuj sendas datumojn al pordegoj kontrolitaj de atakantoj.
Analizinte la retan infrastrukturon uzatan de la funkciigistoj de ĉi tiu sniffer, oni rimarkis grandan nombron da malicaj skriptoj, ekspluatoj, falsaj pagformoj, kaj ankaŭ kolekto de ekzemploj kun malicaj snufantoj de konkurantoj. Surbaze de informoj pri la datoj de apero de la domajnaj nomoj uzataj de la grupo, oni povas supozi, ke la kampanjo komenciĝis fine de 2016.
Kiel Illum estas efektivigita en la kodon de reta butiko
La unuaj versioj de la sniffer malkovrita estis enigitaj rekte en la kodon de la kompromitita retejo. La ŝtelitaj datumoj estis senditaj al cdn.illum[.]pw/records.php, la pordego estis kodita uzante bazo64.
Poste, pakita versio de la snuro estis malkovrita kiu uzas malsaman pordegon - records.nstatistics[.]com/records.php.
Laŭ Willem de Groot, la sama gastiganto estis uzita en la snufisto, kiu estis efektivigita sur , posedata fare de la germana partio CSU.
Analizo de la retejo de la atakantoj
Specialistoj de Grupo-IB malkovris kaj analizis retejon uzatan de ĉi tiu krima grupo por konservi ilojn kaj kolekti ŝtelitajn informojn.
Inter la iloj trovitaj sur la servilo de la atakantoj estis skriptoj kaj atingoj por eskalado de privilegioj en la Linux OS: ekzemple, la Linux Privilege Escalation Check Script evoluigita fare de Mike Czumak, same kiel ekspluataĵo por CVE-2009-1185.
La atakantoj uzis du atingojn rekte por ataki retajn butikojn: kapabla injekti malican kodon en kernaj_agordaj_datumoj per ekspluatado de CVE-2016-4010, ekspluatas RCE-vundeblecon en kromaĵojn por CMS Magento, permesante al arbitra kodo esti efektivigita sur vundebla retservilo.
Ankaŭ, dum la analizo de la servilo, diversaj specimenoj de sniffers kaj falsaj pagformularoj estis malkovritaj, uzitaj de atakantoj por kolekti pagajn informojn de hakitaj retejoj. Kiel vi povas vidi el la suba listo, iuj skriptoj estis kreitaj individue por ĉiu hakita retejo, dum universala solvo estis uzata por certaj CMS kaj pagaj enirejoj. Ekzemple, skriptoj segapay_standart.js и segapay_onpage.js desegnita por efektivigo en retejoj uzantaj la pagpordon de Sage Pay.
Listo de skriptoj por diversaj pagaj enirejoj
| Skripto | Paga enirejo |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdierenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_forminsite.js | //paymentnow[.]tk/?payment= |
Gastiganto pagonun[.]tk, uzata kiel pordego en manuskripto pago_forminsite.js, estis malkovrita kiel subjectAltName en pluraj atestiloj rilataj al la servo CloudFlare. Krome, la gastiganto enhavis skripton malbono.js. Juĝante laŭ la nomo de la skripto, ĝi povus esti uzata kiel parto de la ekspluatado de CVE-2016-4010, dank' al kiu eblas injekti malican kodon en la piedlinion de retejo, kiu funkcias CMS Magento. La gastiganto uzis ĉi tiun skripton kiel pordegon peto.petoreto[.]tkuzante la saman atestilon kiel la gastiganto pagonun[.]tk.
Falsaj pagoformularoj
La suba figuro montras ekzemplon de formo por enigi kartajn datumojn. Ĉi tiu formo estis uzata por infiltri interretan vendejon kaj ŝteli kartdatenojn.
La sekva figuro montras ekzemplon de falsa PayPal-pagformularo, kiu estis uzata de atakantoj por enfiltri retejojn per ĉi tiu pagmetodo.
Infrastrukturo
| Demando | Dato de malkovro/apero |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| peto.payrightnow.cf | 25/05/2018 |
| pagonun.tk | 16/07/2017 |
| pago-linio.tk | 01/03/2018 |
| paymentpal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
KafoMokko-familio
La familio de snufistoj CoffeMokko, desegnita por ŝteli bankkartojn de uzantoj de interretaj vendejoj, estas uzata ekde almenaŭ majo 2017. Supozeble, la telefonistoj de ĉi tiu familio de snufistoj estas la krima grupo Grupo 1, priskribita de specialistoj de RiskIQ en 2016. Retejoj kurantaj CMS kiel Magento, OpenCart, WordPress, osCommerce kaj Shopify estis atakitaj.
Kiel CoffeMokko estas efektivigita en la kodon de reta butiko
Operaciistoj de ĉi tiu familio kreas unikajn flaraĵojn por ĉiu infekto: la flardosiero troviĝas en la dosierujo src aŭ js sur la servilo de la atakantoj. Enkorpiĝo en la retejo-kodon estas farita per rekta ligo al la sniffer.
La flarkodo fikskodas la nomojn de la formularaj kampoj, el kiuj datumoj devas esti ŝtelitaj. La snufisto ankaŭ kontrolas ĉu la uzanto estas sur la pagpaĝo kontrolante la liston de ŝlosilvortoj kun la aktuala adreso de la uzanto.
Kelkaj malkovritaj versioj de la snufisto estis malklarigitaj kaj enhavis ĉifritan ŝnuron en kiu la ĉefa aro de resursoj estis stokita: ĝi enhavis la nomojn de formkampoj por diversaj pagsistemoj, same kiel la pordego-adreson al kiu la ŝtelitaj datenoj devus esti senditaj.
La ŝtelita pago-informo estis sendita al skripto sur la servilo de la atakantoj survoje /savePayment/index.php aŭ /tr/index.php. Supozeble, ĉi tiu skripto estas uzata por sendi datumojn de la pordego al la ĉefa servilo, kiu solidigas datumojn de ĉiuj sniffers. Por kaŝi la transdonitajn datumojn, ĉiuj pago-informoj de la viktimo estas ĉifrita uzante bazo64, kaj tiam okazas pluraj signo-anstataŭaĵoj:
- la signo "e" estas anstataŭigita per ":"
- la "w" simbolo estas anstataŭigita per "+"
- la "o" signo estas anstataŭigita per "%"
- la "d" signo estas anstataŭigita per "#"
- la signo "a" estas anstataŭigita per "-"
- la simbolo "7" estas anstataŭigita per "^"
- la signo "h" estas anstataŭigita per "_"
- la simbolo "T" estas anstataŭigita per "@"
- la signo "0" estas anstataŭigita per "/"
- la signo "Y" estas anstataŭigita per "*"
Kiel rezulto de signo-anstataŭaĵoj koditaj uzante bazo64 La datumoj ne povas esti malkoditaj sen inversa konvertiĝo.
Jen kiel aspektas fragmento de snufa kodo, kiu ne estis malklarigita:
Analizo de Infrastrukturo
En fruaj kampanjoj, atakantoj registris domajnajn nomojn similajn al tiuj de legitimaj interretaj aĉetejoj. Ilia domajno povus diferenci de la legitima unu per unu simbolo aŭ alia TLD. Registritaj domajnoj estis uzitaj por stoki flarkodon, ligo al kiu estis enigita en la butikkodo.
Ĉi tiu grupo ankaŭ uzis domajnajn nomojn rememorigajn pri popularaj jQuery-aldonaĵoj (slickjs[.]org por retejoj uzantaj la kromprogramon slick.js), pagaj enirejoj (sagecdn[.]org por retejoj uzantaj la pagsistemon Sage Pay).
Poste, la grupo komencis krei domajnojn kies nomoj havis nenion farendaĵo kun la domajno de la butiko aŭ la temo de la butiko.
Ĉiu domajno egalrilatis al retejo sur kiu la dosierujo estis kreita /js aŭ / src. Sniffer-skriptoj estis konservitaj en ĉi tiu dosierujo: unu snuffer por ĉiu nova infekto. La snufisto estis enigita en la retejo-kodo per rekta ligo, sed en maloftaj kazoj, atakantoj modifis unu el la retejo-dosieroj kaj aldonis malican kodon al ĝi.
Koda Analizo
Unua malklariga algoritmo
En kelkaj malkovritaj specimenoj de snufantoj de ĉi tiu familio, la kodo estis malklarigita kaj enhavis ĉifritajn datumojn necesajn por ke la snufisto funkciu: precipe, la snuf-pordego-adreso, listo de pagformkampoj, kaj en kelkaj kazoj, la kodo de falsaĵo. pagformularo. En la kodo ene de la funkcio, la rimedoj estis ĉifritaj uzante FREE per la ŝlosilo kiu estis pasita kiel argumento al la sama funkcio.
Malĉifrinte la ŝnuron per la taŭga ŝlosilo, unika por ĉiu specimeno, vi povas akiri ŝnuron enhavantan ĉiujn ŝnurojn el la snuf-kodo apartigitaj per limsigna signo.
Dua malklariga algoritmo
En pli postaj provaĵoj de snufantoj de ĉi tiu familio, malsama malklarigmekanismo estis uzita: en tiu kazo, la datenoj estis ĉifritaj uzante mem-skribitan algoritmon. Ŝnuro enhavanta ĉifritajn datumojn necesajn por ke la snufisto funkciigu estis pasita kiel argumento al la malĉifra funkcio.
Uzante la retumila konzolo, vi povas deĉifri la ĉifritajn datumojn kaj akiri tabelon enhavantan snifer-resursojn.
Konekto al fruaj MageCart-atakoj
Dum la analizo de unu el la domajnoj uzataj de la grupo kiel enirejo por kolekti ŝtelitajn datumojn, oni trovis, ke ĉi tiu domajno gastigis infrastrukturon por ŝtelo de kreditkartoj, identa al tiu uzata de Grupo 1, unu el la unuaj grupoj, de RiskIQ-specialistoj.
Du dosieroj estis trovitaj sur la gastiganto de la CoffeMokko-familio de snufistoj:
- mage.js — dosiero enhavanta Grupo 1 sniffer kodon kun pordego adreso js-cdn.link
- mag.php — PHP-skripto respondeca pri kolektado de datumoj ŝtelitaj de la snufisto
Enhavo de la mage.js dosiero
Estis ankaŭ determinite, ke la plej fruaj domajnoj uzataj de la grupo malantaŭ la familio de snufistoj CoffeMokko estis registritaj la 17-an de majo 2017:
- ligilo-js[.]ligo
- info-js[.]ligo
- track-js[.]ligo
- mapo-js[.]ligo
- smart-js[.]ligo
La formato de ĉi tiuj domajnaj nomoj kongruas kun la grupo 1 domajnaj nomoj kiuj estis uzitaj en la 2016-atakoj.
Surbaze de la malkovritaj faktoj, oni povas supozi, ke ekzistas rilato inter la funkciigistoj de la CoffeMokko-snufistoj kaj la krima grupo Grupo 1. Supozeble, CoffeMokko-funkciigistoj povus esti pruntinta ilojn kaj programaron de siaj antaŭuloj por ŝteli kartojn. Tamen, estas pli verŝajne, ke la krima grupo malantaŭ la uzo de la familio de snufistoj CoffeMokko estas la samaj homoj, kiuj faris la atakojn de la Grupo 1. Post la publikigo de la unua raporto pri la agadoj de la krima grupo, ĉiuj iliaj domajnaj nomoj estis blokita kaj la iloj estis detale studitaj kaj priskribitaj. La grupo estis devigita preni paŭzon, rafini siajn internajn ilojn kaj reverki flarkodon por daŭrigi siajn atakojn kaj resti nerimarkita.
Infrastrukturo
| Demando | Dato de malkovro/apero |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| sekureco-pago.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriveimaging.org | 23.12.2017 |
| eksrpesso.org | 02.01.2018 |
| parkoj.su | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffetea.org | 31.01.2018 |
| energycoffe.org | 31.01.2018 |
| energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| authorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitnesse.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
fonto: www.habr.com