Ia guztiok erabiltzen ditugu lineako dendetako zerbitzuak, eta horrek esan nahi du lehenago edo beranduago JavaScript sniffer-en biktima izateko arriskua dugula -erasotzaileek webgune batean ezartzen duten kode berezia banku-txartelen datuak, helbideak, saio-saioak eta erabiltzaileen pasahitzak lapurtzeko. .
British Airways webgunearen eta mugikorretarako aplikazioaren ia 400 erabiltzaileri kalte egin die dagoeneko sniffer-ek, baita FILA kirol erraldoiaren britainiar webgunearen eta Ticketmaster estatubatuar txartel banatzaileen webguneko bisitariak ere. PayPal, Chase Paymenttech, USAePay, Moneris - hauek eta beste ordainketa sistema asko kutsatuta zeuden.
Threat Intelligence Group-IBko analista Viktor Okorokov-ek sniffer-ek webgunearen kodea nola infiltratu eta ordainketa-informazioa lapurtzen duten buruz hitz egiten du, baita zer erasotzen duten CRMei buruz ere.
"Ezkutuko mehatxua"
Gertatu zen denbora luzez JS sniffer-ek birusen aurkako analistek begietatik kanpo egon zirela eta bankuek eta ordainketa-sistemek ez zituzten mehatxu larri gisa ikusi. Eta guztiz alferrik. Talde-IB adituak Kutsatutako 2440 lineako dendak, bisitariek (eguneko 1,5 milioi pertsona inguru guztira) arriskuan zeuden. Biktimen artean erabiltzaileak ez ezik, lineako dendak, ordainketa sistemak eta konprometitutako txartelak jaulki zituzten bankuak ere daude.
Group-IB sniffer-en darknet merkatuaren lehen azterketa bihurtu zen, haien azpiegiturak eta dirua irabazteko metodoak, eta horrek haien sortzaileei milioika dolar ekartzen dizkie. 38 sniffer-familia identifikatu genituen, eta horietatik 12 baino ez ziren aurretik ikertzaileek ezagutzen.
Azterlanean zehar aztertutako lau sniffer-familietan sakondu gaitezen.
ReactGet Familia
ReactGet familiako sniffer-ak banku-txartelen datuak lapurtzeko erabiltzen dira lineako erosketa guneetan. Sniffer-ak gunean erabiltzen diren ordainketa-sistema ezberdin ugarirekin lan egin dezake: parametro-balio bat ordainketa-sistema bati dagokio, eta sniffer-aren detektatutako bertsio indibidualak erabil daitezke kredentzialak lapurtzeko, baita ordainketatik banku-txartelen datuak lapurtzeko ere. aldi berean hainbat ordainketa-sistemaren formak, sniffer unibertsala deritzona bezala. Zenbait kasutan, erasotzaileek phishing-erasoak egiten dituztela lineako dendako administratzaileei, guneko administrazio panelera sarbidea izateko.
2017ko maiatzean hasi zen sniffer familia hau erabiltzen duen kanpaina bat; CMS eta Magento, Bigcommerce eta Shopify plataformak dituzten guneei eraso zitzaien.
Nola inplementatzen den ReactGet lineako denda baten kodean
Esteka baten bidez script baten inplementazio “klasikoa”z gain, ReactGet sniffer familiako operadoreek teknika berezi bat erabiltzen dute: JavaScript kodea erabiliz, erabiltzailea dagoen uneko helbideak irizpide batzuk betetzen dituen egiaztatzen dute. Kode gaiztoa uneko URLan azpikatea badago soilik exekutatuko da checkout edo urrats bakarreko ordainketa, orrialde bat/, atera/pag, checkout/bat, ckout/bat. Horrela, sniffer kodea erabiltzaileak erosketak ordaintzen hasten den unean zehatz-mehatz exekutatuko da eta webguneko formularioan ordainketa-informazioa sartzen duen unean.
Sniffer honek teknika ez-estandar bat erabiltzen du. Biktimaren ordainketa eta datu pertsonalak batera biltzen eta kodetzen dira base64, eta, ondoren, ondoriozko katea parametro gisa erabiltzen da erasotzaileen webgunera eskaera bat bidaltzeko. Gehienetan, aterako bideak JavaScript fitxategi bat imitatzen du, adibidez resp.js, datuak.js eta abar, baina irudi fitxategietarako estekak ere erabiltzen dira, GIF и JPG. Berezitasuna da sniffer-ak 1 x 1 pixel neurtzen duen irudi objektu bat sortzen duela eta aldez aurretik jasotako esteka parametro gisa erabiltzen duela. src Irudiak. Hau da, erabiltzailearentzat trafikoan horrelako eskaerak argazki arrunt baten eskaera baten itxura izango du. ImageID sniffer familian antzeko teknika bat erabili zen. Gainera, 1 by 1 pixeleko irudia erabiltzeko teknika lineako analitikozko script askotan erabiltzen da, eta horrek erabiltzailea engaina dezake.
Bertsioen analisia
ReactGet sniffer-eko operadoreek erabiltzen dituzten domeinu aktiboen analisiak sniffer-en familia honen bertsio desberdinak agerian utzi zituen. Bertsioak desberdintzen dira offuskazioaren presentzian edo ezean, eta, gainera, sniffer bakoitza lineako dendetako banku-txartelen ordainketak prozesatzen dituen ordainketa-sistema zehatz baterako diseinatuta dago. Bertsio-zenbakiari dagokion parametroaren balioa ordenatuta, Talde-IBko espezialistek eskuragarri dauden sniffer-en aldaketen zerrenda osoa jaso zuten, eta sniffer bakoitzak orrialde-kodean bilatzen dituen formulario-eremuen izenen arabera, ordainketa-sistemak identifikatu zituzten. snifferra zuzenduta dagoela.
Sniffer-en zerrenda eta dagozkion ordainketa-sistemak
| Sniffer URLa | Ordainketa sistema |
|---|---|
| Authorize.Net | |
| Txartelak gordetzea | |
| Authorize.Net | |
| Authorize.Net | |
| eWAY Azkar | |
| Authorize.Net | |
| adyen | |
| USAePay | |
| Authorize.Net | |
| USAePay | |
| Authorize.Net | |
| Moneris | |
| USAePay | |
| PayPal | |
| Sage Pay | |
| Verisign | |
| PayPal | |
| Stripe | |
| Realex | |
| PayPal | |
| LinkPoint | |
| PayPal | |
| PayPal | |
| DataCash | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Moneris | |
| Sage Pay | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| Authorize.Net | |
| Moneris | |
| Sage Pay | |
| Sage Pay | |
| Chase Paymentech | |
| Authorize.Net | |
| adyen | |
| PsiGate | |
| Cyber iturria | |
| ANZ eGate | |
| Realex | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| Realex | |
| Sage Pay | |
| PayPal | |
| Verisign | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Cyber iturria | |
| Authorize.Net | |
| Sage Pay | |
| Realex | |
| Cyber iturria | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Azkar | |
| Sage Pay | |
| Sage Pay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| First Data Global Gateway | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| PayPal | |
| Verisign | |
| USAePay | |
| USAePay | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| Stripe | |
| Authorize.Net | |
| eWAY Azkar | |
| Sage Pay | |
| Authorize.Net | |
| Braintree | |
| Braintree | |
| PayPal | |
| Sage Pay | |
| Sage Pay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| Stripe | |
| Authorize.Net | |
| eWAY Azkar | |
| Sage Pay | |
| Authorize.Net | |
| Braintree | |
| PayPal | |
| Sage Pay | |
| Sage Pay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Sage Pay | |
| Sage Pay | |
| Westpac PayWay | |
| PayFort | |
| PayPal | |
| Authorize.Net | |
| Stripe | |
| First Data Global Gateway | |
| PsiGate | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| Sage Pay | |
| Verisign | |
| Moneris | |
| PayPal | |
| LinkPoint | |
| Westpac PayWay | |
| Authorize.Net | |
| Moneris | |
| PayPal | |
| adyen | |
| PayPal | |
| Authorize.Net | |
| USAePay | |
| EBizCharge | |
| Authorize.Net | |
| Verisign | |
| Verisign | |
| Authorize.Net | |
| PayPal | |
| Moneris | |
| Authorize.Net | |
| PayPal | |
| PayPal | |
| Westpac PayWay | |
| Authorize.Net | |
| Authorize.Net | |
| Sage Pay | |
| Verisign | |
| Authorize.Net | |
| PayPal | |
| PayFort | |
| Cyber iturria | |
| PayPal Payflow Pro | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Sage Pay | |
| Authorize.Net | |
| Stripe | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Sage Pay | |
| Authorize.Net | |
| Authorize.Net | |
| PayPal | |
| Flint | |
| PayPal | |
| Sage Pay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Stripe | |
| Zebra lodia | |
| Sage Pay | |
| Authorize.Net | |
| First Data Global Gateway | |
| Authorize.Net | |
| eWAY Azkar | |
| adyen | |
| PayPal | |
| QuickBooks merkatariaren zerbitzuak | |
| Verisign | |
| Sage Pay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Sage Pay | |
| Authorize.Net | |
| eWAY Azkar | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Cyber iturria | |
| Authorize.Net | |
| Sage Pay | |
| Realex | |
| Cyber iturria | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Azkar | |
| Sage Pay | |
| Sage Pay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| First Data Global Gateway | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| PayPal |
Pasahitza sniffer
Gune baten bezero aldean lan egiten duten JavaScript sniffer-en abantailetako bat aldakortasuna da: gune batean txertatutako kode gaiztoak edozein motatako datuak lapur ditzake, izan ordainketa-datuak edo erabiltzaile-kontu baten saioa eta pasahitza. IB Taldeko espezialistek ReactGet familiako sniffer baten lagin bat aurkitu zuten, guneko erabiltzaileen helbide elektronikoak eta pasahitzak lapurtzeko diseinatua.
ImageID sniffer-ekin elkargunea
Kutsatutako dendaren baten azterketan, bere webgunea bi aldiz kutsatuta zegoela ikusi zen: ReactGet familiaren sniffer-aren kode gaiztoaz gain, ImageID familiaren sniffer-aren kodea detektatu zen. Gainjartze hori bi sniffer atzean dauden operadoreek kode gaiztoa injektatzeko antzeko teknikak erabiltzen dituztela froga liteke.
Sniffer unibertsala
ReactGet sniffer azpiegiturarekin lotutako domeinu-izenetako baten azterketak agerian utzi zuen erabiltzaile berak beste hiru domeinu-izen erregistratu zituela. Hiru domeinu hauek bizitza errealeko webguneen domeinuak imitatzen zituzten eta lehenago sniffer-ak ostatatzeko erabiltzen ziren. Hiru gune legitimoren kodea aztertzean, sniffer ezezagun bat detektatu zen, eta azterketa gehiagok erakutsi zuen ReactGet sniffer-aren bertsio hobetua zela. Aurretik monitorizatutako sniffer-en familia honen bertsio guztiak ordainketa-sistema bakar batera zuzenduta zeuden, hau da, ordainketa-sistema bakoitzak sniffer-aren bertsio berezi bat behar zuen. Hala ere, kasu honetan, sniffer-aren bertsio unibertsal bat aurkitu zen, lineako ordainketak egiteko merkataritza elektronikoko guneetako 15 ordainketa-sistema ezberdinekin eta moduluekin lotutako inprimakietatik informazioa lapurtzeko gai dena.
Beraz, lanaren hasieran, sniffer-ak biktimaren informazio pertsonala zuten oinarrizko formulario-eremuak bilatu zituen: izen-abizenak, helbide fisikoa, telefono-zenbakia.
Ondoren, sniffer-ak ordainketa-sistema eta lineako ordainketa-modulu desberdinei dagozkien 15 aurrizki ezberdinetan bilatu zituen.
Ondoren, biktimaren datu pertsonalak eta ordainketa-informazioa batera bildu eta erasotzaileak kontrolatutako gune batera bidali ziren: kasu zehatz honetan, ReactGet sniffer unibertsalaren bi bertsio aurkitu ziren, hackeatutako bi gune ezberdinetan kokatuak. Hala ere, bi bertsioek hackeatutako gune berera bidali zituzten lapurtutako datuak zoobashop.com.
Sniffer-ak biktimaren ordainketa-informazioa duten eremuak bilatzeko erabili zituen aurrizkien analisiari esker, sniffer-aren lagin hau ordainketa-sistema hauetara zuzenduta zegoen:
- Authorize.Net
- Verisign
- Lehen Datuen
- USAePay
- Stripe
- PayPal
- ANZ eGate
- Braintree
- DataCash (MasterCard)
- Realex Ordainketak
- PsiGate
- Heartland Ordainketa Sistemak
Zein tresna erabiltzen dira ordainketa-informazioa lapurtzeko?
Erasotzaileen azpiegitura aztertzean aurkitutako lehen tresna, banku-txartelen lapurretaz arduratzen diren script gaiztoak nahasteko erabiltzen da. Erasotzailearen ostalarietako batean proiektuaren CLI erabiltzen duen bash script bat aurkitu da sniffer kodea lausotzea automatizatzeko.
Aurkitutako bigarren tresna sniffer nagusia kargatzeko ardura duen kodea sortzeko diseinatuta dago. Tresna honek JavaScript kodea sortzen du, erabiltzailea ordainketa-orrian dagoen ala ez egiaztatzen erabiltzailearen uneko helbidean kateak bilatuz. checkout, saskia eta abar, eta emaitza positiboa bada, orduan kodeak erasotzaileen zerbitzaritik sniffer nagusia kargatzen du. Jarduera gaiztoak ezkutatzeko, lerro guztiak, ordainketa-orria zehazteko proba-lerroak barne, baita sniffer-erako esteka ere, erabiliz kodetzen dira. base64.
Phishing erasoak
Erasotzaileen sare-azpiegituraren azterketak agerian utzi zuen talde kriminalak maiz erabiltzen duela phishing-a xede den lineako administrazio panelera sartzeko. Erasotzaileek denda baten domeinuaren ikusmenaren antzekoa den domeinu bat erregistratzen dute eta, ondoren, Magentoko administrazio-paneleko saio-inprimaki faltsu bat zabaltzen dute bertan. Arrakasta izanez gero, erasotzaileek Magento CMSko administrazio panelera sarbidea izango dute, eta horrek aukera ematen die webgunearen osagaiak editatzeko eta kreditu-txartelen datuak lapurtzeko sniffer bat ezartzeko.
Azpiegitura
| Домен | Aurkikuntza/agerraldiaren data |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagstracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trust-tracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
G-Analytics Familia
Sniffer familia hau lineako dendetako bezeroen txartelak lapurtzeko erabiltzen da. Taldeak erabilitako lehen domeinu-izena 2016ko apirilean erregistratu zen, eta horrek esan dezake taldea 2016aren erdialdean hasi zela jarduera.
Egungo kanpainan, taldeak bizitza errealeko zerbitzuak imitatzen dituzten domeinu-izenak erabiltzen ditu, hala nola Google Analytics eta jQuery, sniffer-en jarduera legezko scriptekin eta domeinu-izenekin estaliz. Magento CMS exekutatzen duten guneei eraso egin zitzaien.
G-Analytics nola inplementatzen den lineako denda baten kodean
Familia honen ezaugarri bereizgarri bat erabiltzaileen ordainketa-informazioa lapurtzeko hainbat metodo erabiltzea da. Gunearen bezero aldean JavaScript kodea injekzio klasikoaz gain, talde kriminalak gunearen zerbitzariaren aldean kodea injekzio teknikak ere erabili zituen, hots, erabiltzaileak sartutako datuak prozesatzen dituzten PHP scriptak. Teknika hau arriskutsua da, hirugarrenen ikertzaileei kode gaiztoa detektatzeko zaila egiten zaielako. Talde-IBko espezialistek guneko PHP kodean txertatutako sniffer baten bertsioa aurkitu zuten, domeinu bat ate gisa erabiliz. dittm.org.
Lapurtutako datuak biltzeko domeinu bera erabiltzen duen sniffer baten lehen bertsio bat ere aurkitu zen dittm.org, baina bertsio hau lineako denda baten bezero aldean instalatzeko pentsatuta dago.
Taldeak bere taktikak aldatu zituen gero eta jarduera gaiztoak eta kamuflajeak ezkutatzean gehiago bideratzen hasi zen.
2017. urte hasieran, taldea domeinua erabiltzen hasi zen jquery-js.com, jQuery-rako CDN gisa maskaratuta: erasotzaileen gunera joatean, erabiltzailea legezko gune batera birbideratzen da jquery.com.
Eta 2018 erdialdean, taldeak domeinu izena hartu zuen g-analytics.com eta sniffer-aren jarduerak Google Analytics zerbitzu legitimo gisa mozorrotzen hasi zen.
Bertsioen analisia
Sniffer kodea gordetzeko erabiltzen diren domeinuen azterketan, aurkitu da webguneak bertsio ugari dituela, eta horiek ez datoz bat ofuskearen presentzian, baita fitxategian atzeman ezinezko kodearen presentzia edo eza ere, arreta distraitzeko. eta kode gaiztoa ezkutatu.
Guztira gunean jquery-js.com Sniffer-en sei bertsio identifikatu ziren. Sniffer hauek lapurtutako datuak bidaltzen dituzte sniffer beraren webgune berean dagoen helbide batera: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Geroago domeinua g-analytics.com, taldeak erasoetan 2018 erdialdetik erabiltzen duena, sniffer gehiagoren biltegi gisa balio du. Guztira, sniffer-aren 16 bertsio ezberdin aurkitu ziren. Kasu honetan, lapurtutako datuak bidaltzeko atea irudi formatu baterako esteka gisa mozorrotuta zegoen GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Lapurtutako datuen dirua irabaztea
Talde kriminalak lapurtutako datuekin dirua irabazten du txartelak salduz, berariaz sortutako lurpeko denda baten bidez, txartelari zerbitzuak eskaintzen dizkien. Erasotzaileek erabilitako domeinuen azterketak hori zehaztea ahalbidetu digu google-analytics.cm domeinuaren erabiltzaile berak erregistratu zuen cardz.vc. Domeinua cardz.vc Cardsurfs (Flysurfs) lapurtutako banku-txartelak saltzen dituen denda bati egiten dio erreferentzia, AlphaBay lurpeko merkataritza-plataformaren jardueraren garaian ospea lortu zuen sniffer bat erabiliz lapurtutako banku-txartelak saltzen zituen denda gisa.
Domeinua aztertzea analitikoa.da, sniffer-ek lapurtutako datuak biltzeko erabiltzen dituzten domeinuen zerbitzari berean kokatuta, Group-IBko espezialistek cookie-lapurren erregistroak zituen fitxategi bat aurkitu zuten, eta badirudi beranduago garatzaileak abandonatu zuela. Erregistroko sarreretako batek domeinu bat zuen iozoz.com, lehenago 2016an aktibo dauden snifferretako batean erabiltzen zena. Ustez, domeinu hau erasotzaile batek erabiltzen zuen sniffer bat erabiliz lapurtutako txartelak biltzeko. Domeinu hau helbide elektroniko batean erregistratu zen [posta elektroniko bidez babestua], domeinuak erregistratzeko ere erabiltzen zen cardz.su и cardz.vc, Cardsurfs karta-dendari lotutakoa.
Lortutako datuen arabera, pentsa daiteke G-Analytics sniffer familia eta Cardsurfs banku-txartelak saltzen dituen lurpeko denda pertsona berdinek kudeatzen dituztela, eta denda sniffer-a erabiliz lapurtutako banku-txartelak saltzeko erabiltzen dela.
Azpiegitura
| Домен | Aurkikuntza/agerraldiaren data |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| analitikoa.to | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| analitikoa.da | 28.12.2018 |
| googlc-analytics.cm | 17.01.2019 |
Illum familia
Illum Magento CMSa erabiltzen duten lineako dendetara erasotzeko erabiltzen den sniffer familia bat da. Kode gaiztoa sartzeaz gain, sniffer honen operadoreek erasotzaileek kontrolatutako ateetara datuak bidaltzen dituzten ordainketa-inprimaki faltsuak ere erabiltzen dituzte.
Sniffer honen operadoreek erabiltzen duten sare-azpiegitura aztertzean, script maltzur, esplotazio, ordainketa-inprimaki faltsu ugari eta lehiakideen sniffer maltzurrekin dituzten adibideen bilduma antzeman zen. Taldeak erabiltzen dituen domeinu-izenen agerpen-datei buruzko informazioan oinarrituta, kanpaina 2016. urte amaieran hasi zela pentsa daiteke.
Nola inplementatzen den Illum lineako denda baten kodean
Aurkitutako sniffer-aren lehen bertsioak zuzenean txertatu ziren arriskuan dagoen gunearen kodean. Lapurtutako datuak helbidera bidali ziren cdn.illum[.]pw/records.php, atea erabiliz kodetu zen base64.
Geroago, sniffer-aren bertsio paketatu bat aurkitu zen, beste ate bat erabiltzen duena - records.nstatistics[.]com/records.php.
Arabera Willem de Groot, ostalari bera erabili zen sniffer-ean, inplementatu zena , Alemaniako CSU alderdi politikoaren jabetzakoa.
Erasotzaileen webgunearen azterketa
Talde-IBko espezialistek talde kriminal honek tresnak gordetzeko eta lapurtutako informazioa biltzeko erabiltzen duen webgune bat aurkitu eta aztertu zuten.
Erasotzaileen zerbitzarian aurkitutako tresnen artean, Linux sistema eragilean pribilegioak areagotzeko script-ak eta ustiapenak zeuden: adibidez, Mike Czumak-ek garatutako Linux Privilege Escalation Check Script-a, baita CVE-2009-1185-rako exploit bat ere.
Erasotzaileek bi ustiapen erabili zituzten zuzenean lineako dendetara erasotzeko: kode gaiztoa injektatzeko gai da core_config_data CVE-2016-4010 ustiatuz, CMS Magentorako pluginetan RCE ahultasun bat ustiatzen du, web zerbitzari zaurgarri batean kode arbitrarioa exekutatzeko aukera emanez.
Era berean, zerbitzariaren analisian zehar, sniffer eta ordainketa-inprimaki faltsuen hainbat lagin aurkitu ziren, erasotzaileek hackeatutako guneetatik ordainketa-informazioa biltzeko erabiltzen zituztenak. Beheko zerrendan ikus dezakezun bezala, script batzuk banan-banan sortu ziren hackeatutako gune bakoitzerako, eta irtenbide unibertsala erabili zen CMS eta ordainketa-pasabide batzuetarako. Adibidez, gidoiak segapay_standart.js и segapay_onpage.js Sage Pay ordainketa-pasabidea erabiltzen duten guneetan ezartzeko diseinatua.
Hainbat ordainketa-pasaretarako scripten zerrenda
| Gidoia | Ordainketa pasabidea |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdierenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_forminsite.js | //paymentnow[.]tk/?payment= |
Ostalaria ordainketa orain[.]tk, gidoi batean ate gisa erabiltzen da payment_forminsite.js, gisa aurkitu zen subjectAltName CloudFlare zerbitzuarekin lotutako hainbat ziurtagiritan. Horrez gain, ostalariak gidoi bat zuen gaiztoa.js. Scriptaren izena ikusita, CVE-2016-4010 ustiapenaren parte gisa erabil liteke, eta horri esker, CMS Magento exekutatzen duen gune baten oinean kode gaiztoa sar daiteke. Ostalariak script hau ate gisa erabili zuen eskaera.requestnet[.]tkostalariaren ziurtagiri bera erabiliz ordainketa orain[.]tk.
Ordainketa inprimaki faltsuak
Beheko irudiak txartelaren datuak sartzeko formulario baten adibidea erakusten du. Inprimaki hau lineako denda batean sartu eta txartelaren datuak lapurtzeko erabiltzen zen.
Hurrengo irudian erasotzaileek ordainketa-metodo honekin guneetan sartzeko erabili zuten PayPal-eko ordainketa-inprimaki faltsu baten adibidea erakusten da.
Azpiegitura
| Домен | Aurkikuntza/agerraldiaren data |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| eskaera.ordaindu.cf | 25/05/2018 |
| ordainketa orain.tk | 16/07/2017 |
| ordainketa-lerroa.tk | 01/03/2018 |
| paymentpal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
KafeaMokko familia
Lineako dendako erabiltzaileei banku-txartelak lapurtzeko diseinatutako CoffeMokko sniffer-en familia, gutxienez, 2017ko maiatzetik erabiltzen da. Ustez, sniffer-en familia honen eragileak 1an RiskIQko espezialistek deskribatutako 2016. taldea dira. Magento, OpenCart, WordPress, osCommerce eta Shopify bezalako CMSak erabiltzen dituzten guneak eraso zituzten.
Nola inplementatzen den CoffeMokko lineako denda baten kodean
Familia honetako operadoreek sniffer bakarrak sortzen dituzte infekzio bakoitzerako: sniffer fitxategia direktorioan dago. src edo js erasotzaileen zerbitzarian. Gunearen kodean sartzea sniffer-erako esteka zuzen baten bidez egiten da.
Sniffer-kodeak datuak lapurtu behar dituen formulario-eremuen izenak kodetzen ditu. Sniffer-ek ere egiaztatzen du erabiltzailea ordainketa-orrian dagoen ala ez, erabiltzailearen uneko helbidea duten gako-hitz zerrenda egiaztatuz.
Aurkitutako sniffer-aren bertsio batzuk lausotuta zeuden eta enkriptatutako kate bat zuten, non baliabideen multzo nagusia gordetzen zen: hainbat ordainketa-sistemaren inprimaki-eremuen izenak jasotzen zituzten, baita lapurtutako datuak bidali behar ziren atearen helbidea ere.
Bidean zehar erasotzaileen zerbitzariko script batera bidali zuten lapurtutako ordainketa-informazioa /savePayment/index.php edo /tr/index.php. Ustez, script hau atetik zerbitzari nagusira datuak bidaltzeko erabiltzen da, eta horrek sniffer guztien datuak finkatzen ditu. Igorritako datuak ezkutatzeko, biktimaren ordainketa-informazio guztia enkriptatu egiten da base64, eta orduan hainbat karaktere-ordezkapen gertatzen dira:
- "e" karakterea ":"-rekin ordezkatzen da
- "w" ikurra "+"rekin ordezkatzen da
- "o" karakterea "%"-rekin ordezkatzen da
- "d" karakterea "#"rekin ordezkatzen da
- "a" karakterea "-"rekin ordezkatzen da
- "7" ikurra "^"-rekin ordezkatzen da
- "h" karakterea "_"rekin ordezkatzen da
- "T" ikurra "@"-rekin ordezkatzen da
- "0" karakterea "/"-rekin ordezkatzen da
- "Y" karakterea "*"-rekin ordezkatzen da
Erabiliz kodetutako karaktere ordezkapenen ondorioz base64 Datuak ezin dira deskodetu alderantzizko bihurketa egin gabe.
Hau da lausotu ez den sniffer kodearen zati batek:
Azpiegituren Analisia
Hasierako kanpainetan, erasotzaileek lineako erosketa gune legitimoen antzeko domeinu-izenak erregistratu zituzten. Haien domeinua zilegizkoarengandik desberdina izan daiteke ikur bat edo beste TLD batengatik. Erregistratutako domeinuak erabili ziren sniffer kodea gordetzeko, eta esteka bat denda kodean txertatu zen.
Talde honek jQuery plugin ezagunak gogorarazten dituzten domeinu-izenak ere erabili zituen (slickjs[.]org plugina erabiltzen duten guneetarako slick.js), ordainketa-pasabideak (sagecdn[.]org Sage Pay ordainketa-sistema erabiltzen duten guneetarako).
Geroago, taldea domeinuak sortzen hasi zen, zeinen izenak dendaren domeinuarekin edo dendaren gaiarekin zerikusirik ez zuten.
Domeinu bakoitza direktorioa sortu den gune bati dagokio /js edo /src. Sniffer script-ak direktorio honetan gordetzen ziren: sniffer bat infekzio berri bakoitzeko. Sniffer-a webgunearen kodean txertatu zen zuzeneko esteka baten bidez, baina kasu bakanetan, erasotzaileek webguneko fitxategietako bat aldatu zuten eta kode gaiztoa gehitu zioten.
Kodeen Azterketa
Lehen lausotze algoritmoa
Familia honetako sniffer-en lagin batzuetan, kodea lausotu egin zen eta sniffer-ak funtzionatzeko beharrezkoak diren datu enkriptatuta zeuden: bereziki, sniffer-ateko helbidea, ordainketa-inprimakiaren eremuen zerrenda eta, kasu batzuetan, faltsu baten kodea. ordainketa formularioa. Funtzioaren barneko kodean, baliabideak erabiliz enkriptatu ziren XOR funtzio berari argumentu gisa pasatu zitzaion gakoaren bidez.
Katea gako egokiarekin deszifratuz, lagin bakoitzerako bakarra, kate guztiak dituen kate bat lor dezakezu sniffer-kodetik bereizle karaktere batez bereizita.
Bigarren offuskazio algoritmoa
Familia honetako sniffer-en geroagoko laginetan, beste nahaste-mekanismo bat erabili zen: kasu honetan, datuak auto-idatzitako algoritmo baten bidez zifratu ziren. Sniffer funtzionatzeko beharrezkoak diren datu enkriptatuak dituen kate bat pasa da deszifratze funtzioari argumentu gisa.
Arakatzailearen kontsola erabiliz, enkriptatutako datuak deszifratu eta sniffer baliabideak dituen array bat lor dezakezu.
MageCart-en hasierako erasoetarako konexioa
Taldeak lapurtutako datuak biltzeko atebide gisa erabilitako domeinuetako baten azterketan, domeinu honek kreditu-txartelak lapurtzeko azpiegitura bat zabaldu zuela ikusi zen, 1. Taldeak lehen taldeetako batek erabilitakoaren berdina. RiskIQ espezialistek.
Bi fitxategi aurkitu zituzten CoffeMokko sniffer familiako ostalariari:
- mago.js — 1. taldeko sniffer kodea duen fitxategia atearen helbidea duena js-cdn.link
- mag.php — Sniffer-ek lapurtutako datuak biltzeko ardura duen PHP scripta
mage.js fitxategiaren edukia
Era berean, CoffeMokko sniffer-en atzean dagoen taldeak erabilitako lehen domeinuak 17ko maiatzaren 2017an erregistratu zirela zehaztu zen:
- esteka-js[.]esteka
- info-js[.]esteka
- track-js[.]esteka
- mapa-js[.]esteka
- smart-js[.]esteka
Domeinu-izen horien formatua 1ko erasoetan erabili ziren 2016. taldeko domeinu-izenekin bat dator.
Aurkitutako gertaeretan oinarrituta, CoffeMokko sniffer-en operadoreen eta 1 Talde kriminalaren arteko konexioa dagoela pentsa daiteke. Ustez, CoffeMokko-ko operadoreek beren aurrekoengandik tresnak eta softwareak maileguan har ditzakete txartelak lapurtzeko. Hala ere, litekeena da CoffeMokko sniffer-en familiaren erabileraren atzean dagoen talde kriminala 1. Taldeko erasoak egin zituzten pertsona berberak izatea. Talde kriminalaren jarduerei buruzko lehen txostena argitaratu ondoren, haien domeinu-izen guztiak izan ziren. blokeatu eta tresnak zehatz-mehatz aztertu eta deskribatu ziren. Taldea atseden bat hartzera, barne-tresnak hobetzera eta sniffer kodea berridatzi behar izan zuen bere erasoekin jarraitzeko eta detektatu gabe jarraitzeko.
Azpiegitura
| Домен | Aurkikuntza/agerraldiaren data |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| segurtasun-ordainketa.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| denda-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| bateria-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackririveimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parkeak.su | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffetea.org | 31.01.2018 |
| energycoffe.org | 31.01.2018 |
| energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| baterianart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| authorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitnesse.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
Iturria: www.habr.com