Hast elk fan ús brûkt de tsjinsten fan online winkels, wat betsjut dat wy ier of letter it risiko rinne om in slachtoffer te wurden fan JavaScript-sniffer - in spesjale koade dy't oanfallers yn in webside ynjeksje om bankkaartgegevens, adressen, brûkersnammen en wachtwurden te stellen. .
Hast 400 brûkers fan 'e webside en mobile app fan British Airways binne al beynfloede troch sniffers, en ek besikers fan' e Britske sportgigant FILA webside en de Amerikaanske kaartferdeler Ticketmaster. PayPal, Chase Paymenttech, USAePay, Moneris - dizze en in protte oare betellingssystemen binne ynfekteare.
Threat Intelligence Group-IB-analist Viktor Okorokov praat oer hoe't sniffers websidekoade ynfiltrearje en betellingsynformaasje stelle, lykas hokker CRM's se oanfalle.
"Ferburgen bedriging"
It barde sa dat JS-sniffers foar in lange tiid út it sicht bleaunen fan anty-firusanalisten, en banken en betellingssystemen seagen se net as in serieuze bedriging. En absolút om 'e nocht. Group-IB Experts
Lit ús yn detail wenje op 'e fjouwer famyljes fan sniffers dy't yn' e rin fan 'e stúdzje studearre binne.
ReactGet famylje
Sniffers fan 'e ReactGet-famylje wurde brûkt om bankkaartgegevens te stellen op online winkelsites. De sniffer kin wurkje mei in grut oantal ferskillende betellingssystemen dy't op 'e side brûkt wurde: ien parameterwearde komt oerien mei ien betellingssysteem, en yndividuele ûntdutsen ferzjes fan' e sniffer kinne brûkt wurde om bewiisbrieven te stellen, en ek om bankkaartgegevens te stellen fan 'e betellingsfoarmen fan ferskate betellingssystemen tagelyk, lykas de saneamde universele sniffer. It waard fûn dat yn guon gefallen oanfallers phishing-oanfallen útfiere op online winkelbehearders om tagong te krijen ta it bestjoerlike paniel fan 'e side.
De kampanje mei dizze famylje fan sniffers begon yn maaie 2017. Sites dy't CMS en platfoarms Magento, Bigcommerce, Shopify rinne, waarden oanfallen.
Hoe ReactGet is ynbêde yn 'e koade fan in online winkel
Neist de "klassike" skriptynjeksje troch keppeling, brûke ReactGet-famylje sniffer-operators in spesjale technyk: mei JavaScript-koade kontrolearret it oft it hjoeddeistige adres wêr't de brûker leit oan bepaalde kritearia foldocht. De kweade koade sil allinich rinne as de hjoeddeistige URL in substring befettet betelje of ien stap checkout, ien side/, út/onepag, kassa / ien, ckout / ien. Sa sil de snifferkoade krekt wurde útfierd op it momint dat de brûker trochgiet om te beteljen foar oankeapen en betellingsynformaasje yn it formulier op 'e side ynfiert.
Dizze sniffer brûkt in net-standert technyk. De betelling en persoanlike gegevens fan it slachtoffer wurde byinoar sammele, kodearre mei basis64, en dan wurdt de resultearjende tekenrige brûkt as parameter om in fersyk nei de kweade side te stjoeren. Meastentiids imitearret it paad nei de poarte bygelyks in JavaScript-bestân resp.js, data.js ensafuorthinne, mar keppelings nei ôfbyldingsbestannen wurde ek brûkt, GIF и JPG. De eigenaardichheid is dat de sniffer in ôfbyldingsobjekt makket mei in grutte fan 1 by 1 piksel en brûkt de earder krigen keppeling as parameter src Ofbyldings. Dat is, foar de brûker sil sa'n fersyk yn ferkear lykje op in fersyk foar in gewoane foto. In ferlykbere technyk waard brûkt yn 'e ImageID-famylje fan sniffers. Dêrnjonken wurdt de 1x1 pixel-ôfbyldingstechnyk brûkt yn in protte legitime online analytyske skripts, dy't ek de brûker misliede kinne.
Ferzje analyze
In analyze fan de aktive domeinen brûkt troch ReactGet sniffer operators die bliken in protte ferskillende ferzjes fan dizze famylje fan sniffers. Ferzjes ferskille yn 'e oanwêzigens of ôfwêzigens fan obfuscaasje, en boppedat is elke sniffer ûntwurpen foar in spesifyk betellingssysteem dat bankkaartbetellingen ferwurket foar online winkels. Nei it sortearjen fan 'e wearde fan' e parameter dy't oerienkomt mei it ferzjenûmer, krigen Group-IB-spesjalisten in folsleine list mei beskikbere snifferfarianten, en troch de nammen fan 'e formulierfjilden dy't elke sniffer siket yn' e sidekoade, bepale se de betellingssystemen dat de sniffer doelt.
List fan sniffers en harren oerienkommende betelling systemen
Sniffer URL | Betelsysteem |
---|---|
|
Autorisearje.Net |
Cardsave | |
|
Autorisearje.Net |
Autorisearje.Net | |
|
eWAY Rapid |
Autorisearje.Net | |
Adyen | |
|
USAePay |
Autorisearje.Net | |
USAePay | |
|
Autorisearje.Net |
Moneris | |
USAePay | |
PayPal | |
SagePay | |
Verisign | |
PayPal | |
stripe | |
|
Realex |
PayPal | |
LinkPoint | |
PayPal | |
PayPal | |
datacash | |
|
PayPal |
|
Autorisearje.Net |
|
Autorisearje.Net |
Autorisearje.Net | |
Autorisearje.Net | |
|
Verisign |
|
Autorisearje.Net |
Moneris | |
|
SagePay |
|
USAePay |
|
Autorisearje.Net |
|
Autorisearje.Net |
|
ANZ eGate |
|
Autorisearje.Net |
|
Moneris |
|
SagePay |
SagePay | |
|
Chase Paymentech |
|
Autorisearje.Net |
|
Adyen |
PsiGate | |
Cyber Boarne | |
ANZ eGate | |
Realex | |
|
USAePay |
|
Autorisearje.Net |
|
Autorisearje.Net |
|
ANZ eGate |
|
PayPal |
|
PayPal |
Realex | |
|
SagePay |
|
PayPal |
|
Verisign |
Autorisearje.Net | |
|
Verisign |
Autorisearje.Net | |
|
ANZ eGate |
PayPal | |
Cyber Boarne | |
|
Autorisearje.Net |
|
SagePay |
Realex | |
|
Cyber Boarne |
PayPal | |
PayPal | |
|
PayPal |
|
Verisign |
|
eWAY Rapid |
|
SagePay |
SagePay | |
|
Verisign |
Autorisearje.Net | |
Autorisearje.Net | |
|
Earste Data Global Gateway |
Autorisearje.Net | |
Autorisearje.Net | |
Moneris | |
|
Autorisearje.Net |
|
PayPal |
|
Verisign |
|
USAePay |
USAePay | |
Autorisearje.Net | |
Verisign | |
PayPal | |
|
Autorisearje.Net |
stripe | |
|
Autorisearje.Net |
eWAY Rapid | |
|
SagePay |
Autorisearje.Net | |
|
Braintree |
|
Braintree |
|
PayPal |
|
SagePay |
|
SagePay |
|
Autorisearje.Net |
|
PayPal |
|
Autorisearje.Net |
Verisign | |
|
PayPal |
|
Autorisearje.Net |
|
stripe |
|
Autorisearje.Net |
eWAY Rapid | |
SagePay | |
|
Autorisearje.Net |
Braintree | |
|
PayPal |
|
SagePay |
SagePay | |
|
Autorisearje.Net |
PayPal | |
Autorisearje.Net | |
|
Verisign |
|
Autorisearje.Net |
|
Autorisearje.Net |
|
Autorisearje.Net |
|
Autorisearje.Net |
|
SagePay |
SagePay | |
|
Westpac PayWay |
|
payfort |
|
PayPal |
|
Autorisearje.Net |
|
stripe |
|
Earste Data Global Gateway |
|
PsiGate |
Autorisearje.Net | |
Autorisearje.Net | |
|
Moneris |
|
Autorisearje.Net |
SagePay | |
|
Verisign |
Moneris | |
PayPal | |
|
LinkPoint |
|
Westpac PayWay |
Autorisearje.Net | |
|
Moneris |
|
PayPal |
Adyen | |
PayPal | |
Autorisearje.Net | |
USAePay | |
EBizCharge | |
|
Autorisearje.Net |
|
Verisign |
Verisign | |
Autorisearje.Net | |
|
PayPal |
|
Moneris |
Autorisearje.Net | |
|
PayPal |
PayPal | |
Westpac PayWay | |
Autorisearje.Net | |
|
Autorisearje.Net |
SagePay | |
|
Verisign |
|
Autorisearje.Net |
|
PayPal |
|
payfort |
Cyber Boarne | |
PayPal Payflow Pro | |
|
Autorisearje.Net |
|
Autorisearje.Net |
Verisign | |
|
Autorisearje.Net |
|
Autorisearje.Net |
SagePay | |
Autorisearje.Net | |
|
stripe |
|
Autorisearje.Net |
Autorisearje.Net | |
Verisign | |
|
PayPal |
Autorisearje.Net | |
|
Autorisearje.Net |
SagePay | |
|
Autorisearje.Net |
|
Autorisearje.Net |
|
PayPal |
|
Flint |
|
PayPal |
SagePay | |
Verisign | |
|
Autorisearje.Net |
|
Autorisearje.Net |
|
stripe |
|
Dikke Zebra |
SagePay | |
|
Autorisearje.Net |
Earste Data Global Gateway | |
|
Autorisearje.Net |
|
eWAY Rapid |
Adyen | |
|
PayPal |
QuickBooks Merchant Services | |
Verisign | |
|
SagePay |
Verisign | |
|
Autorisearje.Net |
|
Autorisearje.Net |
SagePay | |
|
Autorisearje.Net |
|
eWAY Rapid |
Autorisearje.Net | |
|
ANZ eGate |
|
PayPal |
Cyber Boarne | |
|
Autorisearje.Net |
SagePay | |
|
Realex |
Cyber Boarne | |
|
PayPal |
|
PayPal |
|
PayPal |
|
Verisign |
eWAY Rapid | |
|
SagePay |
|
SagePay |
|
Verisign |
Autorisearje.Net | |
|
Autorisearje.Net |
|
Earste Data Global Gateway |
Autorisearje.Net | |
Autorisearje.Net | |
|
Moneris |
|
Autorisearje.Net |
|
PayPal |
Wachtwurd sniffer
Ien fan 'e foardielen fan JavaScript-sniffers dy't wurkje oan' e kliïntkant fan in webside is har veelzijdigheid: kweade koade ynbêde op in webside kin elke soart gegevens stelle, of it is betellingsynformaasje as in oanmelding en wachtwurd fan in brûkersaccount. Group-IB-spesjalisten ûntdutsen in stekproef fan in sniffer dy't ta de ReactGet-famylje heart, ûntworpen om e-postadressen en wachtwurden fan side-brûkers te stellen.
Krúspunt mei ImageID sniffer
Tidens de analyze fan ien fan 'e ynfekteare winkels waard fûn dat syn webside twa kear ynfektearre wie: neist de kweade koade fan' e ReactGet-famylje-sniffer, waard de koade fan 'e ImageID-famyljesniffer fûn. Dizze oerlaap kin bewiis wêze dat de operators efter beide sniffers ferlykbere techniken brûke om kweade koade te ynjeksje.
Universele sniffer
Tidens de analyze fan ien fan 'e domeinnammen relatearre oan 'e ReactGet sniffer-ynfrastruktuer, waard fûn dat deselde brûker trije oare domeinnammen registrearre. Dizze trije domeinen imiteare de domeinen fan echte siden en waarden earder brûkt om sniffers te hostjen. By it analysearjen fan de koade fan trije legitime siden, waard in ûnbekende sniffer fûn, en fierdere analyze die bliken dat dit in ferbettere ferzje is fan 'e ReactGet sniffer. Alle earder folge ferzjes fan dizze famylje fan sniffers waarden rjochte op ien betellingssysteem, dat is, in spesjale ferzje fan 'e sniffer wie nedich foar elk betellingssysteem. Yn dit gefal waard lykwols in universele ferzje fan 'e sniffer ûntdutsen, by steat om ynformaasje te stellen fan formulieren dy't relatearre binne oan 15 ferskillende betellingssystemen en modules fan e-commerce-siden foar online betellingen.
Sa, oan it begjin fan it wurk, de sniffer socht nei basis formulier fjilden mei dêryn de persoanlike ynformaasje fan it slachtoffer: folsleine namme, fysyk adres, telefoannûmer.
De sniffer socht doe oer 15 ferskillende foarheaksels dy't oerienkomme mei ferskate betellingssystemen en modules foar online betellingen.
Dêrnei waarden de persoanlike gegevens en betellingsynformaasje fan it slachtoffer byinoar sammele en stjoerd nei in side kontrolearre troch de oanfaller: yn dit bysûndere gefal waarden twa ferzjes fan 'e ReactGet universele sniffer fûn op twa ferskillende hackde siden. Beide ferzjes stjoerde de stellen gegevens lykwols nei deselde hackde side. zoobashop.com.
In analyze fan 'e foarheaksels brûkt troch de sniffer om fjilden te finen dy't de betellingsynformaasje fan it slachtoffer befette, bepaalde dat dit sniffer-monster rjochte op de folgjende betellingssystemen:
- Autorisearje.Net
- Verisign
- Earste gegevens
- USAePay
- stripe
- PayPal
- ANZ eGate
- Braintree
- Data Cash (MasterCard)
- Realex betellingen
- PsiGate
- Heartland Payment Systems
Hokker ark wurde brûkt om betellingsynformaasje te stellen
It earste ark dat ûntdutsen is tidens de analyze fan 'e ynfrastruktuer fan' e oanfallers tsjinnet om kweade skripts te ferwiderjen dy't ferantwurdlik binne foar it stellen fan bankkaarten. In bash-skript mei de CLI fan it projekt waard fûn op ien fan 'e hosts fan' e oanfallers.
It twadde ûntdutsen ark is ûntworpen om de koade te generearjen dy't ferantwurdlik is foar it laden fan 'e wichtichste sniffer. Dit ark genereart in JavaSkript-koade dy't kontrolearret as de brûker op 'e kassaside is troch it aktuele adres fan de brûker te sykjen foar de strings betelje, karre ensafuorthinne, en as it resultaat posityf is, dan laadt de koade de wichtichste sniffer fan 'e tsjinner fan 'e ynkringer. Om kweade aktiviteit te ferbergjen, wurde alle rigels, ynklusyf testrigels foar it bepalen fan de betellingsside, lykas in keppeling nei de sniffer, kodearre mei basis64.
Phishing oanfallen
Tidens de analyze fan 'e netwurkynfrastruktuer fan' e oanfallers waard fûn dat de kriminele groep faak phishing brûkt om tagong te krijen ta it bestjoerlike paniel fan 'e doelwebwinkel. De oanfallers registrearje in domein dat liket op in winkeldomein en sette dêr dan in falsk Magento admin-oanmeldformulier op yn. As suksesfol, sille de oanfallers tagong krije ta it Magento CMS adminpaniel, dat har de mooglikheid jout om sidekomponinten te bewurkjen en in sniffer te ymplementearjen om kredytkaartgegevens te stellen.
Ynfrastruktuer
Domein | Datum fan ûntdekking / ferskining |
---|---|
mediapack.info | 04.05.2017 |
adsgetapi.com | 15.06.2017 |
simcounter.com | 14.08.2017 |
mageanalytics.com | 22.12.2017 |
maxstatics.com | 16.01.2018 |
reactjsapi.com | 19.01.2018 |
mxcounter.com | 02.02.2018 |
apitstatus.com | 01.03.2018 |
orderracker.com | 20.04.2018 |
tagtracking.com | 25.06.2018 |
adsapigate.com | 12.07.2018 |
trusttracker.com | 15.07.2018 |
fbstatspartner.com | 02.10.2018 |
billgetstatus.com | 12.10.2018 |
www.aldenmlilhouse.com | 20.10.2018 |
balletbeautlful.com | 20.10.2018 |
bargalnjunkie.com | 20.10.2018 |
payselector.com | 21.10.2018 |
tagsmediaget.com | 02.11.2018 |
hs-payments.com | 16.11.2018 |
ordercheckpays.com | 19.11.2018 |
geisseie.com | 24.11.2018 |
gtmproc.com | 29.11.2018 |
livegetpay.com | 18.12.2018 |
sydneysalonsupplies.com | 18.12.2018 |
newrelicnet.com | 19.12.2018 |
nr-public.com | 03.01.2019 |
cloudodesc.com | 04.01.2019 |
ajaxstatic.com | 11.01.2019 |
livecheckpay.com | 21.01.2019 |
asianfoodgracer.com | 25.01.2019 |
G-Analytics famylje
Dizze famylje fan sniffers wurdt brûkt om klantkaarten te stellen fan online winkels. De alderearste domeinnamme brûkt troch de groep waard registrearre yn april 2016, wat it begjin fan 'e aktiviteit fan' e groep yn 'e midden fan 2016 kin oanjaan.
Yn 'e aktuele kampanje brûkt de groep domeinnammen dy't echte tsjinsten lykas Google Analytics en jQuery mimike, maskering fan snifferaktiviteit mei legitime skripts en legitime-looking domeinnammen. Websiden dy't rinne ûnder CMS Magento waarden oanfallen.
Hoe G-Analytics wurdt ymplementearre yn de online winkel koade
In ûnderskiedend skaaimerk fan dizze famylje is it brûken fan ferskate metoaden foar it stellen fan brûkersbetingsynformaasje. Neist de klassike JavaScript-ynjeksje yn 'e kliïntside fan' e side, brûkte de kriminele groep ek de technyk fan it ynjeksje fan koade yn 'e serverkant fan' e side, nammentlik PHP-skripts dy't brûkersynput ferwurkje. Dizze technyk is gefaarlik om't it it dreech makket foar ûndersikers fan tredden om kweade koade te ûntdekken. Group-IB-spesjalisten ûntdutsen in ferzje fan 'e sniffer ynbêde yn' e PHP-koade fan 'e side, mei it domein as poarte dittm.org.
In iere ferzje fan in sniffer waard ek ûntdutsen dy't itselde domein brûkt om stellen gegevens te sammeljen. dittm.org, mar dizze ferzje is al bedoeld foar ynstallaasje op 'e kliïntside fan' e online winkel.
Letter feroare de groep har taktyk en begon mear omtinken te jaan oan it ferbergjen fan kweade aktiviteiten en camouflage.
Begjin 2017 begon de groep it domein te brûken jquery-js.commasquerading as CDN foar jQuery: ferwiist de brûker nei in legitime side by it gean nei in kweade side jquery.com.
En healwei 2018 naam de groep in domeinnamme oan g-analytics.com en begon de aktiviteit fan 'e sniffer te ferklaaien as in legitime Google Analytics-tsjinst.
Ferzje analyze
Tidens de analyze fan 'e domeinen dy't brûkt wurde om de sniffer-koade op te slaan, waard fûn dat de side in grut oantal ferzjes hat dy't ferskille yn' e oanwêzigens fan obfuscation, lykas de oanwêzigens of ôfwêzigens fan ûnberikbere koade tafoege oan it bestân om oandacht ôf te lieden en ferbergje kweade koade.
Totaal op site jquery-js.com seis ferzjes fan sniffers waarden identifisearre. Dizze sniffers stjoere de stellen gegevens nei in adres dat op deselde side leit as de sniffer sels: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Letter domein g-analytics.com, brûkt troch de groep yn oanfallen sûnt mids 2018, tsjinnet as repository foar mear sniffers. Yn totaal waarden 16 ferskillende ferzjes fan de sniffer ûntdutsen. Yn dit gefal waard de poarte foar it ferstjoeren fan de stellen gegevens ferklaaid as in keppeling nei in ôfbylding fan it formaat GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Monetarisaasje fan stellen gegevens
De kriminele groep jildt de stellen gegevens troch kaarten te ferkeapjen fia in spesjaal makke ûndergrûnske winkel dy't tsjinsten leveret oan carders. In analyze fan de domeinen brûkt troch de oanfallers makke it mooglik om te bepalen dat google-analytics.cm waard registrearre troch deselde brûker as it domein cardz.vc. Domein cardz.vc ferwiist nei Cardsurfs (Flysurfs), in winkel dy't stellen bankkaarten ferkeapet, dy't populariteit krige tidens de AlphaBay ûndergrûnske merk as in winkel dy't bankkaarten ferkeapet dy't stellen binne mei in sniffer.
Analyse fan it domein analytical.is, leit op deselde tsjinner as de domeinen brûkt troch sniffers te sammeljen stellen gegevens, Group-IB spesjalisten fûn in triem mei Cookie stealer logs, dat, it liket, waard letter ferlitten troch de ûntwikkelder. Ien fan de yngongen yn it log befette in domein iozoz.com, dy't earder brûkt waard yn ien fan 'e sniffers dy't yn 2016 aktyf binne. Nei alle gedachten, dit domein waard earder brûkt troch in oanfaller te sammeljen kaarten stellen mei help fan in sniffer. Dit domein is registrearre op in e-mailadres [e-post beskerme], dy't ek brûkt waard om domeinen te registrearjen cardz.su и cardz.vcrelatearre oan de Cardsurfs carding winkel.
Op grûn fan de gegevens krigen, kin oannommen wurde dat de G-Analytics sniffer famylje en de ûndergrûnske Cardsurfs bank card winkel wurde rinne troch deselde minsken, en de winkel wurdt brûkt om te ferkeapjen bankkaarten stellen mei help fan in sniffer.
Ynfrastruktuer
Domein | Datum fan ûntdekking / ferskining |
---|---|
iozoz.com | 08.04.2016 |
dittm.org | 10.09.2016 |
jquery-js.com | 02.01.2017 |
g-analytics.com | 31.05.2018 |
google-analytics.is | 21.11.2018 |
analytics.to | 04.12.2018 |
google-analytics.to | 06.12.2018 |
google-analytics.cm | 28.12.2018 |
analytical.is | 28.12.2018 |
googlelc-analytics.cm | 17.01.2019 |
Illum famylje
Illum is in famylje fan sniffers dy't brûkt wurdt om online winkels oan te fallen mei Magento CMS. Neist de yntroduksje fan kweade koade brûke de operators fan dizze sniffer ek de ynfiering fan folweardige falske betellingsformulieren dy't gegevens stjoere nei poarten kontrolearre troch oanfallers.
By it analysearjen fan de netwurkynfrastruktuer brûkt troch de operators fan dizze sniffer, waarden in grut oantal kweade skripts, eksploaten, falske betellingsformulieren opmurken, en ek in samling foarbylden mei kweade sniffer-konkurrinten. Op grûn fan de ynformaasje oer de datums fan it ferskinen fan de domeinnammen brûkt troch de groep, kin oannommen wurde dat it begjin fan 'e kampanje falt op' e ein fan 2016.
Hoe Illum wurdt ymplementearre yn de koade fan in online winkel
De earste ûntdutsen ferzjes fan 'e sniffer waarden direkt ynbêde yn' e koade fan 'e kompromittearre side. De stellen gegevens binne stjoerd nei cdn.illum[.]pw/records.php, de poarte waard kodearre mei help basis64.
Letter waard in ferpakte ferzje fan 'e sniffer ûntdutsen mei in oare poarte - records.nstatistics[.]com/records.php.
Neffens
Oanfal site analyze
Group-IB spesjalisten ûntdutsen en analysearre de side brûkt troch dizze kriminele groep te bewarjen ark en sammelje stellen ynformaasje.
Under de ark fûn op 'e tsjinner fan' e oanfaller waarden skripts en eksploaten fûn foar privileezje-eskalaasje yn Linux OS: bygelyks Linux Privilege Escalation Check Script, ûntwikkele troch Mike Czumak, lykas ek in eksploitaasje foar CVE-2009-1185.
Oanfallers brûkten twa eksploaten direkt om online winkels oan te fallen:
Ek binne tidens de analyze fan 'e server ferskate samples fan sniffers en falske betellingsformulieren fûn, brûkt troch oanfallers om betellingsynformaasje te sammeljen fan hackte siden. Sa't jo sjen kinne út de list hjirûnder, guon skripts waarden makke yndividueel foar elke hacked side, wylst in universele oplossing waard brûkt foar bepaalde CMS en betelling poarten. Bygelyks, skripts segapay_standard.js и segapay_onpage.js ûntworpen om ynbêde te wurden op siden mei de Sage Pay betellingspoarte.
List fan skripts foar ferskate betelling poarten
Skrift | Payment Gateway |
---|---|
|
//request.payrightnow[.]cf/checkpayment.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
//request.payrightnow[.]cf/checkpayment.php | |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//cdn.illum[.]pw/records.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
//request.payrightnow[.]cf/checkpayment.php | |
|
//cdn.illum[.]pw/records.php |
//payrightnow[.]cf/?payment= | |
|
//payrightnow[.]cf/?payment= |
|
//paymentnow[.]tk/?payment= |
Gasthear betellingnou[.]tk, brûkt as poarte yn in skript payment_forminsite.js, waard ûntdutsen as subjectAltName yn ferskate sertifikaten yn ferbân mei de CloudFlare-tsjinst. Derneist wie it skript op 'e host te finen evil.js. Troch de namme fan it skript te beoardieljen, koe it brûkt wurde as ûnderdiel fan it eksploitearjen fan CVE-2016-4010, wêrtroch't it mooglik is om kweade koade te ynjeksje yn 'e foettekst fan in side dy't de Magento CMS draait. Dit skript brûkte de host as in poarte request.requestnet[.]tk, mei itselde sertifikaat as de host betellingnou[.]tk.
Fake betelling formulieren
De figuer hjirûnder lit in foarbyld sjen fan in formulier foar it ynfieren fan kaartgegevens. Dit formulier waard brûkt om in webstee fan in online winkel te ynfiltrearjen en kaartgegevens te stellen.
De folgjende figuer is in foarbyld fan in falsk PayPal-betelformulier dat waard brûkt troch oanfallers om siden te ynfiltrearjen mei dizze betelmetoade.
Ynfrastruktuer
Domein | Datum fan ûntdekking / ferskining |
---|---|
cdn.illum.pw | 27/11/2016 |
records.nstatistics.com | 06/09/2018 |
request.payrightnow.cf | 25/05/2018 |
paymentnow.tk | 16/07/2017 |
payment-line.tk | 01/03/2018 |
paymentpal.cf | 04/09/2017 |
requestnet.tk | 28/06/2017 |
CoffeeMokko famylje
De CoffeMokko-famylje fan sniffers ûntworpen om bankkaarten fan brûkers fan online winkel te stellen is sûnt op syn minst maaie 2017 brûkt. Nei alle gedachten is de groep 1 kriminele groep beskreaun troch RiskIQ-eksperts yn 2016 de operator fan dizze famylje fan sniffers. Websiden dy't sa'n CMS draaie lykas Magento, OpenCart, WordPress, osCommerce, Shopify waarden oanfallen.
Hoe CoffeMokko is ynbêde yn 'e koade fan in online winkel
Operators fan dizze famylje meitsje unike sniffers foar elke ynfeksje: it sniffertriem sit yn de map src of js op de tsjinner fan de oanfaller. Ymplemintaasje yn 'e sidekoade wurdt útfierd troch in direkte keppeling nei de sniffer.
De snifferkoade hurd-koades de nammen fan 'e formulierfjilden wêrfan jo gegevens stelle wolle. De sniffer kontrolearret ek oft de brûker op de kassaside is troch de list mei kaaiwurden te kontrolearjen tsjin it hjoeddeistige adres fan de brûker.
Guon ûntdutsen ferzjes fan 'e sniffer waarden obfuscated en befette in fersifere tekenrige dy't de wichtichste array fan boarnen opslein: it befette de nammen fan formulierfjilden foar ferskate betellingssystemen, en ek it adres fan 'e poarte wêrnei't de stellen gegevens stjoerd wurde moatte.
De stellen betellingsynformaasje waard ûnderweis stjoerd nei in skript op de tsjinner fan 'e oanfallers. /savePayment/index.php of /tr/index.php. Nei alle gedachten, dit skript wurdt brûkt om te stjoeren gegevens út de poarte nei de wichtichste tsjinner, dy't konsolidearret gegevens fan alle sniffers. Om de oerdroegen gegevens te ferbergjen, wurdt alle betellingsynformaasje fan it slachtoffer kodearre mei help fan basis64, en dan barre ferskate karakterferfangings:
- karakter "e" wurdt ferfongen troch ":"
- it symboal "w" wurdt ferfongen troch "+"
- karakter "o" wurdt ferfongen troch "%"
- it karakter "d" wurdt ferfongen troch "#"
- karakter "a" wurdt ferfongen troch "-"
- it symboal "7" wurdt ferfongen troch "^"
- karakter "h" wurdt ferfongen troch "_"
- it symboal "T" wurdt ferfongen troch "@"
- it karakter "0" wurdt ferfongen troch "/"
- it karakter "Y" wurdt ferfongen troch "*"
As gefolch fan karakter ferfangings kodearre mei basis64 gegevens kinne net dekodearre wurde sûnder inverse transformaasje.
Dit is hoe't in fragmint fan 'e sniffer-koade derút sjocht dat net fersierd is:
Ynfrastruktuer analyze
Yn iere kampanjes registrearre de oanfallers domeinnammen fergelykber mei dy fan legitime online winkelplakken. Har domein koe ferskille fan it legitime ien foar ien karakter as in oare TLD. Registrearre domeinen waarden brûkt om de snifferkoade op te slaan, de keppeling wêrnei't yn 'e winkelkoade ynbêde wie.
Dizze groep brûkte ek domeinnammen dy't tinke oan populêre jQuery-plugins (slickjs[.]org foar siden dy't de plugin brûke slick.js), betellingspoarten (sagecdn[.]org foar siden dy't it Sage Pay-betelsysteem brûke).
Letter begon de groep domeinen te meitsjen wêrfan de namme neat te krijen hie mei it domein fan 'e winkel of it tema fan 'e winkel.
Elk domein kaam oerien mei de side wêrop de map makke is /js of / src. Sniffer-skripts waarden opslein yn dizze map: ien sniffer foar elke nije ynfeksje. De sniffer waard yntrodusearre yn 'e sidekoade fia in direkte keppeling, mar yn seldsume gefallen hawwe oanfallers ien fan' e bestannen fan 'e side oanpast en der kweade koade oan tafoege.
Koade analyze
Earste obfuscaasje-algoritme
Yn guon sniffer samples fan dizze famylje, de koade wie obfuscated en befette fersifere gegevens nedich foar de sniffer om te wurkjen: benammen, de sniffer syn poarte adres, in list fan betelling formulier fjilden, en yn guon gefallen, in falske betelling formulier koade. Yn 'e koade binnen de funksje waarden de boarnen fersifere mei XOR troch de kaai dy't waard trochjûn as argumint oan deselde funksje.
Troch de tekenrige te ûntsiferjen mei de oerienkommende kaai, unyk foar elke stekproef, kinne jo in tekenrige krije mei alle rigels fan 'e snifferkoade skieden troch in skiedingsteken.
Twadde obfuscation algoritme
Yn lettere samples fan dizze famylje fan sniffers waard in oare obfuscaasjemeganisme brûkt: yn dit gefal waarden de gegevens fersifere mei in selsskreaun algoritme. In tekenrige mei fersifere gegevens dy't nedich binne foar de sniffer om te wurkjen waard trochjûn as argumint foar de ûntsiferfunksje.
Mei de browserkonsole kinne jo de fersifere gegevens ûntsiferje en in array krije mei de sniffer-boarnen.
Link nei iere MageCart oanfallen
Yn in analyze fan ien fan 'e domeinen brûkt troch de groep as in poarte te sammeljen stellen gegevens, it waard fûn dat de ynfrastruktuer foar stelle credit cards waard ynset op dit domein, identyk oan dat brûkt troch Group 1, ien fan de earste groepen,
Twa bestannen waarden fûn op de host fan 'e CoffeMokko sniffer famylje:
- mage.js - bestân mei groep 1 snifferkoade mei poarteadres js-cdn.link
- mag.php - PHP-skript ferantwurdlik foar it sammeljen fan de gegevens stellen troch de sniffer
De ynhâld fan de mage.js triem
It is ek bepaald dat de ierste domeinen brûkt troch de groep efter de CoffeMokko sniffer famylje waarden registrearre op 17 maaie 2017:
- link-js[.]link
- info-js[.]link
- track-js[.]link
- map-js[.]link
- smart-js[.]link
It formaat fan dizze domeinnammen is itselde as de groep 1-domeinnammen dy't waarden brûkt yn 'e oanfallen fan 2016.
Op grûn fan de ûntdutsen feiten kin oannommen wurde dat der in ferbining is tusken de CoffeMokko-snuffeloperators en de groep 1-kriminele groep. Nei alle gedachten kinne CoffeMokko-operators ark en software liend hawwe om kaarten fan har foargongers te stellen. It is lykwols wierskynliker dat de kriminele groep efter it brûken fan CoffeMokko famylje sniffers deselde minsken binne dy't de oanslaggen útfierd as ûnderdiel fan Groep 1. Nei it publisearjen fan it earste rapport oer de aktiviteiten fan 'e kriminele groep, al har domeinnammen waarden blokkearre, en de ark waarden yn detail bestudearre en beskreaun. De groep waard twongen om in skoft te nimmen, har ynterne ark te fine en de snifferkoade opnij te skriuwen om har oanfallen troch te gean en ûngemurken te bliuwen.
Ynfrastruktuer
Domein | Datum fan ûntdekking / ferskining |
---|---|
link-js.link | 17.05.2017 |
info-js.link | 17.05.2017 |
track-js.link | 17.05.2017 |
map-js.link | 17.05.2017 |
smart-js.link | 17.05.2017 |
adorebeauty.org | 03.09.2017 |
security-payment.su | 03.09.2017 |
braincdn.org | 04.09.2017 |
sagecdn.org | 04.09.2017 |
slickjs.org | 04.09.2017 |
oakandfort.org | 10.09.2017 |
citywlnery.org | 15.09.2017 |
dobell.su | 04.10.2017 |
childrensplayclothing.org | 31.10.2017 |
jewsondirect.com | 05.11.2017 |
shop-rnib.org | 15.11.2017 |
closetlondon.org | 16.11.2017 |
misshaus.org | 28.11.2017 |
battery-force.org | 01.12.2017 |
kik-vape.org | 01.12.2017 |
greatfurnituretradingco.org | 02.12.2017 |
etradesupply.org | 04.12.2017 |
replacemyremote.org | 04.12.2017 |
all-about-sneakers.org | 05.12.2017 |
mage-checkout.org | 05.12.2017 |
nililotan.org | 07.12.2017 |
lamoodbghats.net | 08.12.2017 |
walletgear.org | 10.12.2017 |
dahlie.org | 12.12.2017 |
davidsfootwear.org | 20.12.2017 |
blackriverimaging.org | 23.12.2017 |
exrpesso.org | 02.01.2018 |
parks.su | 09.01.2018 |
pmtonline.com | 12.01.2018 |
otocap.org | 15.01.2018 |
christohperward.org | 27.01.2018 |
coffeetea.org | 31.01.2018 |
energycoffe.org | 31.01.2018 |
energytea.org | 31.01.2018 |
teaffe.net | 31.01.2018 |
adaptivecss.org | 01.03.2018 |
coffemokko.com | 01.03.2018 |
londontea.net | 01.03.2018 |
ukcoffe.com | 01.03.2018 |
labbe.biz | 20.03.2018 |
batterynart.com | 03.04.2018 |
btosports.net | 09.04.2018 |
chicksaddlery.net | 16.04.2018 |
paypaypay.org | 11.05.2018 |
ar500arnor.com | 26.05.2018 |
authorizecdn.com | 28.05.2018 |
slickmin.com | 28.05.2018 |
bannerbuzz.info | 03.06.2018 |
kandypens.net | 08.06.2018 |
mylrendyphone.com | 15.06.2018 |
freshchat.info | 01.07.2018 |
3lift.org | 02.07.2018 |
abtasty.net | 02.07.2018 |
mechat.info | 02.07.2018 |
zoplm.com | 02.07.2018 |
zapaljs.com | 02.09.2018 |
foodandcot.com | 15.09.2018 |
freshdepor.com | 15.09.2018 |
swappastore.com | 15.09.2018 |
verywellfitness.com | 15.09.2018 |
elegrina.com | 18.11.2018 |
majsurplus.com | 19.11.2018 |
top5value.com | 19.11.2018 |
Boarne: www.habr.com