Sniffers kiuj povus: kiel la FakeSecurity-familio infektis retajn butikojn

En decembro 2018, Group-IB-specialistoj malkovris novan familion de snufistoj, nomitaj Falsa SekurecoIli estis uzitaj de krima grupo kiu infektis retejojn funkciigantajn CMS-ojn. MagentoAnalizo rivelis, ke en lastatempa kampanjo, atakantoj uzis malican programaron por ŝteli pasvortojn. La viktimoj estis posedantoj de interretaj vendejoj infektitaj per JavaScript-snufigilo. La CERT de Group-IB avertis la trafitajn retejojn, kaj analizisto pri minacoj de Group-IB... Viktoro Okorokov Mi decidis paroli pri kiel ni sukcesis identigi kriman agadon.

Ni rememoru, ke en marto 2019 Group-IB publikigis raporto "Krimo sen puno: analizo de JS-sniffer-familioj", kiu analizis 15 familiojn de malsamaj JS-snuferoj uzataj por infekti pli ol du mil retajn aĉetejojn.

Ununura adreso

Dum la infekto, la atakantoj enigis ligilon al malica skripto en la retejo-kodon; ĉi tiu skripto estis ŝarĝita kaj, en la momento de pago por la varoj, kaptis la pagajn datumojn de la vizitanto de la reta vendejo, kaj poste sendis ĝin al la atakantoj. ' servilo. En la unuaj stadioj de atakoj uzantaj FakeSecurity, la malicaj skriptoj kaj pordegaj snufers mem situis sur la sama magento-security[.]org domajno.

Poste iuj Magento-retejoj estis trovitaj infektitaj de la sama snufemula familio, sed ĉi-foje la atakantoj uzis novajn domajnajn nomojn por gastigi la malican kodon:

• fiswedbesign[.]com
• alloaypparel[.]com

Ambaŭ ĉi tiuj domajnaj nomoj estis registritaj al la sama retadreso greenstreethunter@india[.]com. La sama adreso estis specifita dum registrado de la tria domajna nomo firstofbanks[.]com.

Ni afable petas

Analizo de tri novaj domajnoj uzataj de la krima grupo FakeSecurity montris, ke kelkaj el ili estis implikitaj en kampanjo de distribuo de malware, kiu komenciĝis en marto 2019. La atakantoj distribuis ligilojn al paĝoj kiuj deklaris ke la uzanto devis instali mankantan kromprogramon por montri la dokumenton ĝuste. Se uzanto komencis elŝuti la aplikaĵon, ilia komputilo estis infektita per pasvortŝtela malware.

Entute 11 unikaj ligiloj estis identigitaj, kiuj kondukis al falsaj paĝoj instigantaj la uzanton instali malware.

• hxxps://www.etodoors.com/uploads/Statement00534521[.]html
• hxxps://www.healthcare4all.co.uk/manuals/Statement00534521[.]html
• hxxps://www.healthcare4all.co.uk/lib/Statement001845[.]html
• hxxps://www.healthcare4all.co.uk/doc/BankStatement001489232[.]html
• hxxp://verticalinsider.com/bookmarks/Bank_Statement0052890[.]html
• hxxp://thepinetree.net/n/docs/Statement00159701[.]html
• hxxps://www.readicut.co.uk/media/pdf/Bank_Statement00334891[.]html
• hxxp://www.e-cig.com/doc/pdf/eStmt[.]html
• hxxps://www.genstattu.com/doc/PoliceStatement001854[.]html
• hxxps://www.tokyoflash.com/pdf/statment001854[.]html
• hxxps://www.readicut.co.uk/media/pdf/statment00789[.]html

Ebla viktimo de malica kampanjo ricevis spaman retpoŝton enhavantan ligon al unuanivela paĝo. Ĉi tiu paĝo estas malgranda HTML-dokumento kun iframo, kies enhavo estas ŝargita de la duanivela paĝo. Duanivela paĝo estas landpaĝo kun enhavo, kiu instigas la ricevanton instali plenumeblan dosieron. En la kazo de ĉi tiu malica kampanjo, la atakantoj uzis alterpaĝon kun la temo instali mankantan kromprogramon por Adobe Reader, do la unuanivela paĝo imitis ligilon al PDF-dosiero malfermita en reta rigardreĝimo en retumilo. La duanivela paĝo enhavas ligilon al malica dosiero distribuita kiel parto de malica kampanjo, kiu estos elŝutita kiam vi alklakas la butonon Elŝutu kromaĵon.

Analizo de la paĝoj uzataj en ĉi tiu kampanjo montris, ke kutime la duanivelaj paĝoj troviĝas sur la domajnoj de la atakantoj, dum la unuanivela paĝo kaj la malica dosiero mem plej ofte troviĝas sur hakitaj retkomercaj retejoj.

Ekzempla paĝa strukturo por distribuado de malware

Per spamo, ebla viktimo ricevas ligon al HTML-dosiero, ekzemple, hxxps://www.healthcare4all[.]co[.]uk/manuals/Statement00534521[.]html. La HTML-dosiero ĉe la ligilo enhavas iframe-elementon kun ligilo al la ĉefa enhavo de la paĝo; en ĉi tiu ekzemplo, la paĝa enhavo troviĝas ĉe hxxps://alloaypparel[.]com/view/public/Statement00534521/PDF/Statement001854[.]pdf. Kiel ni povas vidi el ĉi tiu ekzemplo, ĉi-kaze la atakantoj uzis registritan domajnon, kaj ne hakitan retejon, por afiŝi la paĝan enhavon. En la interfaco, kiu estas montrata ĉe ĉi tiu ligilo, estas butono Elŝutu kromaĵon. Se la viktimo klakas ĉi tiun butonon, la plenumebla dosiero estos elŝutita de la ligilo specifita en la paĝa kodo; en ĉi tiu ekzemplo, la plenumebla dosiero estas elŝutita de la ligilo hxxps://www.healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe, tio estas, la malica dosiero mem estas konservita sur la hakita retejo.

"Mefistofeles" de nia tempo

Domajna Analizo alloaypparel[.]com malkaŝis, ke la Mephistophilus phishing kit estis uzita por distribui malware, kiu permesas vin krei kaj deploji phishing paĝojn por distribui malware: Mephistophilus uzas plurajn specojn de surteriĝo paĝoj kiuj instigas la uzanton instali supozeble mankanta kromprogramon necesa por la aplikaĵo funkcii. Fakte, al la uzanto estos instalita malware, ligilo al kiu la telefonisto aldonas per la administra panelo de Mephistophilus.

La Mephistophilus laŭcela phishing ataksistemo estis sur vendo sur subteraj forumoj en aŭgusto 2016. Ĉi tio estas norma phishing-fraŭdo uzanta interretajn falsaĵojn, kiuj ofertas elŝuton de malware sub la preteksto de ĝisdatigo de kromaĵo (MS Word, MS Excel, PDF, YouTube) por vidi la enhavon de dokumento aŭ paĝo. Mephistophilus estis evoluigita kaj liberigita fare de subtera forumuzanto Kokain. Por sukcese infekti uzante phishing ilaro, la atakanto devas persvadi la uzanton alklaki ligon kondukanta al paĝo generita de Mephistophilus. Sendepende de la temo de la phishing-paĝo, mesaĝo aperos indikante, ke vi devas instali la mankantan kromprogramon por ĝuste montri interretan dokumenton aŭ YouTube-videon. Por fari tion, Mephistophilus havas plurajn specojn de phishing-paĝoj kiuj imitas laŭleĝajn servojn:

• Interreta dokumenta spektilo por Microsoft Office365 Word aŭ Excel
• Interreta PDF-spektilo
• Jutuba servo-klona paĝo

Viktimoj

Kadre de la malica kampanjo, la krima grupo ne limigis sin uzi mem-registritajn domajnnomojn: por konservi specimenojn de distribuitaj malicaj dosieroj, la atakantoj ankaŭ uzis plurajn retajn butikumadejojn, kiuj antaŭe estis infektitaj per la FakeSecurity sniffer.

Entute 5 unikaj ligiloj al 5 unikaj specimenoj de malica programaro estis detektitaj, 4 el kiuj estis konservitaj en hakitaj retejoj funkciigantaj CMS-on. Magento:

• hxxps://www.healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe
• hxxps://www.genstattu[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
• hxxps://firstofbanks[.]com/file_d/Adobe-Reader-PDF-Plugin-2.35.8.exe
• hxxp://e-cig[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
• hxxp://thepinetree[.]net/docs/msw070619.exe

La malware-specimenoj distribuitaj en ĉi tiu kampanjo estas specimenoj de la Vidar-ŝtelisto, dizajnita por ŝteli pasvortojn de retumiloj kaj iuj aplikoj. Ĝi ankaŭ povas kolekti dosierojn laŭ specifitaj parametroj kaj transdoni ilin al la administra panelo, kio faciligas, ekzemple, ŝteli dosierojn el kriptaj monujoj. Vidar enkondukas malware-kiel-servon: ĉiuj kolektitaj datumoj estas transdonitaj al la pordego, kaj tiam senditaj al centralizita administra panelo, kie ĉiu ŝtelisto-aĉetanto povas vidi protokolojn kiuj venis de infektitaj komputiloj.

Kapabla Ŝtelisto

La ŝtelisto Vidar aperis en novembro 2018. Ĝi estis evoluigita kaj liberigita por vendo sur subteraj forumoj fare de uzanto sub la pseŭdonimo Loadbaks. Laŭ la priskribo de la programisto, Vidar povas ŝteli pasvortojn de retumiloj, dosierojn uzante iujn vojojn kaj maskojn, bankkartajn datumojn, malvarmajn monujojn, korespondadon de Telegramo kaj Skype, kaj ankaŭ retejon de vizithistorio de retumiloj. La luprezo por ŝtelisto estas de $250 ĝis $300 monate. La administra panelo de la ŝtelisto kaj la domajnoj uzataj kiel pordegoj situas sur la serviloj de Vidar-aŭtoroj, kio reduktas infrastrukturajn kostojn por aĉetantoj.

En kazo de malica dosiero msw070619.exe, krom esti distribuita uzante la Mephistophilus surteriĝo-paĝon, ankaŭ malica DOC-dosiero estis detektita BankStatement0040918404.doc (MD5: 1b8a824074b414419ac10f5ded847ef1), kiu faligis ĉi tiun ruleblan dosieron al disko per makrooj. DOC dosiero BankStatement0040918404.doc estis alfiksita kiel aldonaĵo al malicaj retpoŝtoj kiuj estis senditaj kiel parto de malica kampanjo.

Disekcante la atakon

Malkovrita letero (MD5: 53554192ca888cccbb5747e71825facd) estis sendita al la kontaktadreso de la retejo funkciiganta CMS-on Magento, el kio ni povas konkludi, ke unu el la celoj de la malica kampanjo estis la administrantoj de interretaj vendejoj, kaj la celo de la infekto estis aliro al la administra panelo Magento kaj aliaj e-komercaj platformoj por la posta instalado de snufemulo kaj la ŝtelo de klientodatumoj el infektitaj vendejoj.

Tiel, la infekta skemo entute konsistis el la sekvaj paŝoj:

1. La atakantoj deplojis la administran panelon Mephistophilus Phishing Kit sur la gastiganto alloaypparel[.]com.
2. La atakantoj metis pasvorto-ŝtelan malware sur hakitaj legitimaj retejoj kaj sur siaj propraj retejoj.
3. Uzante phishing-kompleton, la atakantoj deplojis plurajn alterpaĝojn por distribui malware, kaj ankaŭ kreis malicajn dokumentojn kun makroo kiu elŝutis malbonware al la komputilo de la uzanto.
4. La atakantoj faris spam-kampanjon por sendi retpoŝtojn kun malicaj aldonaĵoj, kaj ankaŭ ligilojn al landpaĝoj por instali malware. Almenaŭ kelkaj el la celoj de la atakantoj estas administrantoj de interretaj aĉetejoj.
5. Kiam la komputilo de administranto de reta vendejo estis sukcese endanĝerigita, la ŝtelitaj akreditaĵoj estis uzataj por aliri la administran panelon de la vendejo kaj instali JS-snifer por ŝteli la bankkartojn de uzantoj farantaj pagojn sur la infektita retejo.

Rilato al aliaj atakoj

La infrastrukturo de la atakantoj estis deplojita sur servilo kun IP-adreso 200.63.40.2, kiu apartenas al servila luservo. Panamaservers[.]com. Antaŭ la kampanjo FakeSecurity, ĉi tiu servilo estis uzata por phishing, kaj ankaŭ por gastigi administrajn panelojn de diversaj malicaj programoj por ŝteli pasvortojn.

Surbaze de la specifaĵoj de la kampanjo FakeSecurity, oni povas supozi, ke la administraj paneloj de la ŝtelistoj Lokibot kaj AZORULT, situantaj sur ĉi tiu servilo, povus esti uzataj en antaŭaj atakoj de la sama grupo en januaro 2019. Laŭ ĉi tiu artikolo, La 14-an de januaro 2019, nekonataj atakantoj distribuis la malware Lokibot uzante amasajn dissendojn kun malica DOC-dosiero kiel aldonaĵo. La 18-an de januaro 2019 estis ankaŭ efektivigita distribuado de malicaj dokumentoj, kiuj instalis la malware AZORULT. Analizo de ĉi tiu kampanjo malkaŝis la jenajn administrajn panelojn situantajn sur servilo kun IP-adreso 200.63.40.2:

• http[:]//chuxagama[.]com/web-obtain/Panel/five/PvqDq929BSx_A_D_M1n_a.php (Lokibot)
• http[:]//umbra-diego[.]com/wp/Panel/five/PvqDq929BSx_A_D_M1n_a.php (Lokibot)
• http[:]//chuxagama[.]com/web-obtain/Panel/five/index.php (AZORULt)

La domajnaj nomoj chuxagama[.]com kaj umbra-diego[.]com estis registritaj de la sama uzanto kun la retpoŝtadreso dicksonfletcher@gmail.com. La sama adreso estis uzata por registri la domajnan nomon worldcourrierservices[.]com en majo 2016, kiu tiam estis uzata kiel retejo por la fraŭda kompanio World Courier Service.

Surbaze de tio, ke kadre de la malica kampanjo FakeSecurity, la atakantoj uzis malware por ŝteli pasvortojn kaj distribuis ĝin per retpoŝta spamo, kaj ankaŭ uzis servilon kun la IP-adreso 200.63.40.2, oni povas supozi, ke la malica kampanjo de januaro 2019 estis efektivigita la sama krima grupo.

Indikiloj

Dosiernomo Adobe-Reader-PDF-Plugin-2.37.2.exe

• MD5 3ec1ac0be981ce6d3f83f4a776e37622
• SHA-1 346d580ecb4ace858d71213808f4c75341a945c1
• SHA-256 6ec8b7ce6c9858755964f94acdf618773275589024e2b66583e3634127b7e32c
• grandeco 615984

Dosiernomo Adobe-Reader-PDF-Plugin-2.31.4.exe

• MD5 58476e1923de46cd4b8bee4cdeed0911
• SHA-1 aafa9885b8b686092b003ebbd9aaf8e604eea3a6
• SHA-256 15abc3f55703b89ff381880a10138591c6214dee7cc978b7040dd8b1e6f96297
• grandeco 578048

Dosiernomo Adobe-Reader-PDF-Plugin-2.35.8.exe

• MD5 286096c7e3452aad4acdc9baf897fd0c
• SHA-1 26d71553098b5c92b55e49db85c719f5bb366513
• SHA-256 af04334369878408898a223e63ec50e1434c512bc21d919769c97964492fee19
• grandeco 1069056

Dosiernomo Adobe-Reader-PDF-Plugin-2.31.4.exe

• MD5 fd0e11372a4931b262f0dd21cdc69c01
• SHA-1 54d34b6a6c4dc78e62ad03713041891b6e7eb90f
• SHA-256 4587da5dca2374fd824a15e434dae6630b24d6be6916418cee48589aa6145ef6
• grandeco 856576

Dosiernomo msw070619.exe

• MD5 772db176ff61e9addbffbb7e08d8b613
• SHA-1 6ee62834ab3aa4294eebe4a9aebb77922429cb45
• SHA-256 0660059f3e2fb2ab0349242b4dde6bf9e37305dacc2da870935f4bede78aed34
• grandeco 934448

• fiswedbesign[.]com
• alloaypparel[.]com
• firstofbanks[.]com
• magento-security[.]org
• mage-security[.]org

• https[:]//www[.]healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe
• https[:]//www[.]genstattu[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
• https[:]//firstofbanks[.]com/file_d/Adobe-Reader-PDF-Plugin-2.35.8.exe
• http[:]//e-cig[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
• http[:]//thepintree[.]net/docs/msw070619.exe

fonto: www.habr.com