Úsáideann beagnach gach duine againn seirbhísí siopaí ar líne, rud a chiallaíonn go bhfuil an baol ann go n-íospartaigh sniffers JavaScript luath nó mall - cód speisialta a chuireann ionsaitheoirí i bhfeidhm ar shuíomh Gréasáin chun sonraí cártaí bainc, seoltaí, logáil isteach agus pasfhocail úsáideoirí a ghoid. .
Chuir sniffers isteach ar bheagnach 400 úsáideoir láithreán gréasáin agus feidhmchlár soghluaiste British Airways cheana féin, chomh maith le cuairteoirí chuig láithreán gréasáin na Breataine den fathach spóirt FILA agus an dáileoir ticéad Meiriceánach Ticketmaster. PayPal, Chase Paymenttech, USAePay, Moneris - bhí siad seo agus go leor córais íocaíochta eile ionfhabhtaithe.
Labhraíonn anailísí an Ghrúpa Faisnéise Bagairt-IB Viktor Okorokov faoi conas a dhéanann sniffers insíothlú cód láithreán gréasáin agus faisnéis íocaíochta a ghoid, chomh maith leis na CRManna a ionsaíonn siad.
"Bagairt i bhfolach"
Tharla sé sin gur fhan sniffers JS as radharc na n-anailísithe frithvíreas ar feadh i bhfad, agus níor mheas na bainc ná na córais íocaíochta gur bagairt thromchúiseach iad. Agus go hiomlán i vain. Saineolaithe Grúpa-IB Bhí 2440 siopa ar líne ionfhabhtaithe, a raibh a gcuairteoirí - thart ar 1,5 milliún duine san iomlán in aghaidh an lae - i mbaol comhréitigh. I measc na n-íospartach tá ní hamháin úsáideoirí, ach freisin siopaí ar líne, córais íocaíochta agus bainc a d'eisigh cártaí comhréiteach.
Ba é Group-IB an chéad staidéar ar an margadh darknet le haghaidh sniffers, a mbonneagar agus a modhanna airgeadaithe, rud a thugann na milliúin dollar dá gcuid cruthaitheoirí. D'aithníomar 38 teaghlach sniffers, agus ní raibh ach 12 díobh ar eolas ag taighdeoirí roimhe seo.
Déanaimis cónaí go mion ar na ceithre theaghlach sniffers a ndearnadh staidéar orthu le linn an staidéir.
Teaghlaigh ReactGet
Úsáidtear sniffers de theaghlach ReactGet chun sonraí cárta bainc a ghoid ar shuíomhanna siopadóireachta ar líne. Is féidir leis an sniffer oibriú le líon mór córais íocaíochta éagsúla a úsáidtear ar an suíomh: comhfhreagraíonn luach paraiméadar amháin do chóras íocaíochta amháin, agus is féidir leaganacha braite aonair den sniffer a úsáid chun dintiúir a ghoid, chomh maith le sonraí cárta bainc a ghoid ó íocaíocht. cineálacha éagsúla córas íocaíochta ag an am céanna, cosúil leis an sniffer uilíoch mar a thugtar air. Fuarthas amach, i gcásanna áirithe, go ndéanann ionsaitheoirí ionsaithe fioscaireachta ar riarthóirí siopaí ar líne chun rochtain a fháil ar phainéal riaracháin an tsuímh.
Cuireadh tús le feachtas ag baint úsáide as an teaghlach sniffers seo i mBealtaine 2017; ionsaíodh láithreáin a reáchtáil ardáin CMS agus Magento, Bigcommerce agus Shopify.
Conas a chuirtear ReactGet i bhfeidhm i gcód siopa ar líne
Chomh maith le script a chur i bhfeidhm “clasaiceach” trí nasc, úsáideann oibreoirí an teaghlaigh sniffers ReactGet teicníc speisialta: ag baint úsáide as cód JavaScript, seiceálann siad an gcomhlíonann an seoladh reatha ina bhfuil an t-úsáideoir suite critéir áirithe. Ní dhéanfar an cód mailíseach a fhorghníomhú ach amháin má tá an fhotheaghrán i láthair sa URL reatha Seiceáil nó Seiceáil céim amháin, leathanach amháin/, amach / leathanach amháin, Seiceáil amach/ceann, cnag/ceann. Mar sin, déanfar an cód sniffer a fhorghníomhú go díreach nuair a théann an t-úsáideoir ar aghaidh ag íoc as ceannacháin agus ag cur faisnéis íocaíochta isteach san fhoirm ar an suíomh.
Úsáideann an sniffer seo teicníc neamhchaighdeánach. Bailítear íocaíocht agus sonraí pearsanta an íospartaigh le chéile agus ionchódaítear iad ag baint úsáide as base64, agus ansin úsáidtear an teaghrán mar thoradh air mar pharaiméadar chun iarratas a sheoladh chuig suíomh Gréasáin an ionsaitheoirí. Is minic a dhéanann an cosán go dtí an geata aithris ar chomhad JavaScript, mar shampla resp.js, sonraí.js agus mar sin de, ach úsáidtear naisc chuig comhaid íomhá freisin, GIF и JPG. Is é an rud is suntasaí ná go gcruthaíonn an sniffer réadíomhá a thomhaiseann 1 faoi 1 picteilín agus go n-úsáideann sé an nasc a fuarthas roimhe seo mar pharaiméadar src Íomhánna. Is é sin, don úsáideoir beidh a leithéid d’iarratas sa trácht cosúil le hiarratas ar ghnáthphictiúr. Baineadh úsáid as teicníc den chineál céanna i dteaghlach sniffers ImageID. Ina theannta sin, úsáidtear an teicníc chun íomhá 1 ar 1 picteilín a úsáid i go leor scripteanna dlisteanacha anailíse ar líne, rud a d’fhéadfadh an t-úsáideoir a chur amú freisin.
Anailís leagan
Nocht anailís ar na fearainn ghníomhacha a úsáideann oibritheoirí sniffer ReactGet go leor leaganacha éagsúla den teaghlach sniffers seo. Tá difríocht idir leaganacha ó thaobh láithreacht nó easpa obfuscation, agus ina theannta sin, tá gach sniffer deartha do chóras íocaíochta ar leith a phróiseálann íocaíochtaí cárta bainc le haghaidh siopaí ar líne. Tar éis dóibh luach an pharaiméadar a fhreagraíonn don uimhir leagain a shórtáil, fuair speisialtóirí Group-IB liosta iomlán de na héagsúlachtaí sniffer a bhí ar fáil, agus de réir ainmneacha na réimsí foirme a lorgaíonn gach sniffer sa chód leathanaigh, d'aithin siad na córais íocaíochta ar a bhfuil an sniffer dírithe.
Liosta de na sniffers agus a gcórais íocaíochta comhfhreagrach
| URL sniffer | Córas íocaíochta |
|---|---|
| Údarú.Net | |
| Sábháil cártaí | |
| Údarú.Net | |
| Údarú.Net | |
| eWAY Mear | |
| Údarú.Net | |
| Adyen | |
| USAePay | |
| Údarú.Net | |
| USAePay | |
| Údarú.Net | |
| Móinéiris | |
| USAePay | |
| PayPal | |
| SagePay | |
| Verisign | |
| PayPal | |
| Stripe | |
| Realex | |
| PayPal | |
| NascPoint | |
| PayPal | |
| PayPal | |
| SonraíCash | |
| PayPal | |
| Údarú.Net | |
| Údarú.Net | |
| Údarú.Net | |
| Údarú.Net | |
| Verisign | |
| Údarú.Net | |
| Móinéiris | |
| SagePay | |
| USAePay | |
| Údarú.Net | |
| Údarú.Net | |
| eGate ANZ | |
| Údarú.Net | |
| Móinéiris | |
| SagePay | |
| SagePay | |
| Chase Paymentech | |
| Údarú.Net | |
| Adyen | |
| PsiGate | |
| Cibearfhoinse | |
| eGate ANZ | |
| Realex | |
| USAePay | |
| Údarú.Net | |
| Údarú.Net | |
| eGate ANZ | |
| PayPal | |
| PayPal | |
| Realex | |
| SagePay | |
| PayPal | |
| Verisign | |
| Údarú.Net | |
| Verisign | |
| Údarú.Net | |
| eGate ANZ | |
| PayPal | |
| Cibearfhoinse | |
| Údarú.Net | |
| SagePay | |
| Realex | |
| Cibearfhoinse | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Mear | |
| SagePay | |
| SagePay | |
| Verisign | |
| Údarú.Net | |
| Údarú.Net | |
| An Chéad Gheata Domhanda Sonraí | |
| Údarú.Net | |
| Údarú.Net | |
| Móinéiris | |
| Údarú.Net | |
| PayPal | |
| Verisign | |
| USAePay | |
| USAePay | |
| Údarú.Net | |
| Verisign | |
| PayPal | |
| Údarú.Net | |
| Stripe | |
| Údarú.Net | |
| eWAY Mear | |
| SagePay | |
| Údarú.Net | |
| Braintree | |
| Braintree | |
| PayPal | |
| SagePay | |
| SagePay | |
| Údarú.Net | |
| PayPal | |
| Údarú.Net | |
| Verisign | |
| PayPal | |
| Údarú.Net | |
| Stripe | |
| Údarú.Net | |
| eWAY Mear | |
| SagePay | |
| Údarú.Net | |
| Braintree | |
| PayPal | |
| SagePay | |
| SagePay | |
| Údarú.Net | |
| PayPal | |
| Údarú.Net | |
| Verisign | |
| Údarú.Net | |
| Údarú.Net | |
| Údarú.Net | |
| Údarú.Net | |
| SagePay | |
| SagePay | |
| Payway Westpac | |
| PayFort | |
| PayPal | |
| Údarú.Net | |
| Stripe | |
| An Chéad Gheata Domhanda Sonraí | |
| PsiGate | |
| Údarú.Net | |
| Údarú.Net | |
| Móinéiris | |
| Údarú.Net | |
| SagePay | |
| Verisign | |
| Móinéiris | |
| PayPal | |
| NascPoint | |
| Payway Westpac | |
| Údarú.Net | |
| Móinéiris | |
| PayPal | |
| Adyen | |
| PayPal | |
| Údarú.Net | |
| USAePay | |
| EBiz Muirear | |
| Údarú.Net | |
| Verisign | |
| Verisign | |
| Údarú.Net | |
| PayPal | |
| Móinéiris | |
| Údarú.Net | |
| PayPal | |
| PayPal | |
| Payway Westpac | |
| Údarú.Net | |
| Údarú.Net | |
| SagePay | |
| Verisign | |
| Údarú.Net | |
| PayPal | |
| PayFort | |
| Cibearfhoinse | |
| PayPal Payflow Pro | |
| Údarú.Net | |
| Údarú.Net | |
| Verisign | |
| Údarú.Net | |
| Údarú.Net | |
| SagePay | |
| Údarú.Net | |
| Stripe | |
| Údarú.Net | |
| Údarú.Net | |
| Verisign | |
| PayPal | |
| Údarú.Net | |
| Údarú.Net | |
| SagePay | |
| Údarú.Net | |
| Údarú.Net | |
| PayPal | |
| Flint | |
| PayPal | |
| SagePay | |
| Verisign | |
| Údarú.Net | |
| Údarú.Net | |
| Stripe | |
| Séabra Saill | |
| SagePay | |
| Údarú.Net | |
| An Chéad Gheata Domhanda Sonraí | |
| Údarú.Net | |
| eWAY Mear | |
| Adyen | |
| PayPal | |
| Seirbhísí Ceannaíochta QuickBooks | |
| Verisign | |
| SagePay | |
| Verisign | |
| Údarú.Net | |
| Údarú.Net | |
| SagePay | |
| Údarú.Net | |
| eWAY Mear | |
| Údarú.Net | |
| eGate ANZ | |
| PayPal | |
| Cibearfhoinse | |
| Údarú.Net | |
| SagePay | |
| Realex | |
| Cibearfhoinse | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Mear | |
| SagePay | |
| SagePay | |
| Verisign | |
| Údarú.Net | |
| Údarú.Net | |
| An Chéad Gheata Domhanda Sonraí | |
| Údarú.Net | |
| Údarú.Net | |
| Móinéiris | |
| Údarú.Net | |
| PayPal |
Sniffer pasfhocal
Ceann de na buntáistí a bhaineann le sniffers JavaScript a bheith ag obair ar thaobh an chliaint de shuíomh Gréasáin ná a solúbthacht: is féidir le cód mailíseach atá leabaithe ar shuíomh Gréasáin aon chineál sonraí a ghoid, bíodh sé ina shonraí íocaíochta nó mar logáil isteach agus pasfhocal do chuntas úsáideora. D’aimsigh speisialtóirí Group-IB sampla de sniffer a bhain leis an teaghlach ReactGet, a bhí deartha chun seoltaí ríomhphoist agus pasfhocail úsáideoirí láithreáin a ghoid.
Trasnú le sniffer ImageID
Le linn na hanailíse ar cheann de na siopaí ionfhabhtaithe, fuarthas amach go raibh a láithreán ionfhabhtaithe faoi dhó: i dteannta le cód mailíseach an sniffer teaghlaigh ReactGet, aimsíodh cód an sniffer teaghlaigh ImageID. D’fhéadfadh an forluí seo a bheith ina fhianaise go n-úsáideann na hoibreoirí taobh thiar den dá sniffers teicnící comhchosúla chun cód mailíseach a instealladh.
Sniffer Uilíoch
Léirigh anailís ar cheann de na hainmneacha fearainn a bhaineann le bonneagar sniffer ReactGet go raibh trí ainm fearainn eile cláraithe ag an úsáideoir céanna. D'aithris na trí fhearann seo fearainn na suíomhanna gréasáin fíorshaoil agus úsáideadh iad roimhe seo chun sniffers a óstáil. Nuair a rinneadh anailís ar chód trí shuíomh dhlisteanacha, aimsíodh sniffer anaithnid, agus léirigh anailís bhreise gur leagan feabhsaithe den sniffer ReactGet a bhí ann. Bhí gach leagan den teaghlach sniffers seo a ndearnadh monatóireacht orthu roimhe seo dírithe ar chóras íocaíochta aonair, is é sin, bhí leagan speisialta den sniffer ag teastáil ó gach córas íocaíochta. Mar sin féin, sa chás seo, thángthas ar leagan uilíoch den sniffer atá in ann faisnéis a ghoid ó fhoirmeacha a bhaineann le 15 chóras íocaíochta éagsúla agus modúil de shuíomhanna ríomhthráchtála chun íocaíochtaí ar líne a dhéanamh.
Mar sin, ag tús na hoibre, chuardaigh an sniffer réimsí foirme bunúsacha ina raibh faisnéis phearsanta an íospartaigh: ainm iomlán, seoladh fisiceach, uimhir theileafóin.
Ansin chuardaigh an sniffer níos mó ná 15 réimír dhifriúla a fhreagraíonn do chórais íocaíochta éagsúla agus do mhodúil íocaíochta ar líne.
Ansin, bailíodh sonraí pearsanta an íospartaigh agus faisnéis íocaíochta le chéile agus seoladh iad chuig suíomh arna rialú ag an ionsaitheoir: sa chás áirithe seo, thángthas ar dhá leagan den sniffer ReactGet uilíoch, atá suite ar dhá shuíomh hackáilte éagsúla. Mar sin féin, sheol an dá leagan sonraí goidte chuig an suíomh hacked céanna zoobashop.com.
Cheadaigh anailís ar na réimíreanna a d’úsáid an sniffer chun réimsí a chuardach ina raibh faisnéis íocaíochta an íospartaigh dúinn a chinneadh go raibh an sampla sniffer seo dírithe ar na córais íocaíochta seo a leanas:
- Údarú.Net
- Verisign
- Na Chéad Sonraí
- USAePay
- Stripe
- PayPal
- eGate ANZ
- Braintree
- DataCash (MasterCard)
- Íocaíochtaí Realex
- PsiGate
- Córais Íocaíochta Heartland
Cad iad na huirlisí a úsáidtear chun faisnéis íocaíochta a ghoid?
Úsáidtear an chéad uirlis, a aimsíodh le linn anailíse ar bhonneagar na n-ionsaitheoirí, chun scripteanna mailíseacha atá freagrach as goid cártaí bainc a cheilt. Thángthas ar script bash ag baint úsáide as CLI an tionscadail ar cheann d'óstach an ionsaitheora chun an cód sniffer a imscaradh a uathoibriú.
Tá an dara uirlis aimsithe deartha chun cód a ghiniúint atá freagrach as an bpríomhbholadh a luchtú. Gineann an uirlis seo cód JavaScript a sheiceálann an bhfuil an t-úsáideoir ar an leathanach íocaíochta trí sheoladh reatha an úsáideora a chuardach le haghaidh teaghráin Seiceáil, cart agus mar sin de, agus má tá an toradh dearfach, ansin luchtaíonn an cód an príomh-sniffer ó fhreastalaí an ionsaitheoirí. Chun gníomhaíocht mhailíseach a cheilt, déantar gach líne, lena n-áirítear línte tástála chun an leathanach íocaíochta a chinneadh, chomh maith le nasc chuig an sniffer, a ionchódú le húsáid base64.
Ionsaithe fioscaireachta
Léirigh anailís ar bhonneagar líonra na n-ionsaitheoirí gur minic a úsáideann an grúpa coiriúil fioscaireacht chun rochtain a fháil ar phainéal riaracháin an tsiopa ar líne sprice. Cláraíonn ionsaitheoirí fearann atá cosúil ó thaobh amhairc le fearann siopa, agus ansin imscarann siad foirm logáil isteach painéal riaracháin Magento falsa air. Má éiríonn leo, gheobhaidh na hionsaitheoirí rochtain ar phainéal riaracháin an Magento CMS, a thugann deis dóibh comhpháirteanna an láithreáin ghréasáin a chur in eagar agus sniffer a chur i bhfeidhm chun sonraí cárta creidmheasa a ghoid.
Bonneagar
| Ainm Fearainn | Dáta fionnachtana/chuma |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| ordúracker.com | 20.04.2018 |
| tagstracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trust-tracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordúcheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| beogetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| scamallodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
Teaghlaigh G-Anailís
Úsáidtear an teaghlach sniffers seo chun cártaí custaiméirí a ghoid ó shiopaí ar líne. Cláraíodh an chéad ainm fearainn a d’úsáid an grúpa i mí Aibreáin 2016, rud a d’fhéadfadh a léiriú gur thosaigh an grúpa ar ghníomhaíocht i lár 2016.
San fheachtas reatha, úsáideann an grúpa ainmneacha fearainn a dhéanann aithris ar sheirbhísí fíorshaoil, ar nós Google Analytics agus jQuery, rud a chumhdaíonn gníomhaíocht sniffers le scripteanna dlisteanacha agus ainmneacha fearainn cosúil leis na cinn dlisteanacha. Rinneadh ionsaí ar shuíomhanna a bhfuil an Magento CMS á rith acu.
Conas a chuirtear G-Analytics i bhfeidhm i gcód siopa ar líne
Gné shainiúil den teaghlach seo is ea úsáid modhanna éagsúla chun faisnéis íocaíochta úsáideoirí a ghoid. Chomh maith leis an instealladh clasaiceach de chód JavaScript isteach ar thaobh na gcliant den láithreán, d'úsáid an grúpa coiriúil teicníochtaí instealladh cód isteach ar thaobh freastalaí an tsuímh freisin, is iad sin scripteanna PHP a phróiseálann sonraí a iontráladh úsáideoirí. Tá an teicníocht seo contúirteach mar go ndéanann sé deacair do thaighdeoirí tríú páirtí cód mailíseach a bhrath. D’aimsigh speisialtóirí Group-IB leagan de sniffer atá leabaithe i gcód PHP an tsuímh, ag baint úsáide as fearann mar gheata dittm.org.
Fuarthas amach freisin leagan luath de sniffer a úsáideann an fearann céanna chun sonraí goidte a bhailiú dittm.org, ach tá an leagan seo beartaithe le suiteáil ar thaobh an chliaint de siopa ar líne.
D'athraigh an grúpa a chuid tactics ina dhiaidh sin agus thosaigh siad ag díriú níos mó ar ghníomhaíocht mhailíseach agus duaithníocht a cheilt.
Ag tús 2017, thosaigh an grúpa ag baint úsáide as an bhfearann jquery-js.com, masquerading mar CDN do jQuery: nuair a théann sé chuig an suíomh ionsaitheoirí, an t-úsáideoir a atreorú chuig suíomh dlisteanach jquery.com.
Agus i lár 2018, ghlac an grúpa an t-ainm fearainn g-analytics.com agus thosaigh sé ar ghníomhaíochtaí an sniffer a cheilt mar sheirbhís dlisteanach Google Analytics.
Anailís leagan
Le linn na hanailíse ar na fearainn a úsáideadh chun cód sniffer a stóráil, fuarthas amach go bhfuil líon mór leaganacha ar an suíomh, atá difriúil ó thaobh láithreacht obfuscation, chomh maith le láithreacht nó easpa cód dorochtana a cuireadh leis an gcomhad chun aird a tharraingt ar shiúl. agus cód mailíseach a cheilt.
Iomlán ar an suíomh jquery-js.com Aithníodh sé leagan de sniffers. Seolann na sniffers seo na sonraí goidte chuig seoladh atá suite ar an suíomh Gréasáin céanna leis an sniffer féin: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Fearainn níos déanaí g-analytics.com, in úsáid ag an ngrúpa in ionsaithe ó lár 2018, feidhmíonn sé mar stór le haghaidh níos mó sniffers. San iomlán, thángthas ar 16 leagan éagsúla den sniffer. Sa chás seo, bhí an geata chun sonraí goidte a sheoladh faoi cheilt mar nasc chuig formáid íomhá GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Airgead a thabhairt ar shonraí goidte
Déanann an grúpa coiriúil airgead ar na sonraí goidte trí chártaí a dhíol trí stór faoi thalamh a cruthaíodh go speisialta a sholáthraíonn seirbhísí do chártaí. Thug anailís ar na fearainn a d'úsáid na hionsaitheoirí deis dúinn é sin a chinneadh google-anailís.cm cláraithe ag an úsáideoir céanna leis an bhfearann cardz.vc. Fearann cardz.vc Tagraíonn siopa ag díol cártaí bainc goidte Cardsurfs (Flysurfs), a fuair tóir ar ais i laethanta na gníomhaíochta ar an ardán trádála faoi thalamh AlphaBay mar siopa ag díol cártaí bainc goidte ag baint úsáide as sniffer.
Anailís a dhéanamh ar an bhfearann anailíse.is, atá suite ar an bhfreastalaí céanna leis na fearainn a úsáideann sniffers chun sonraí goidte a bhailiú, d'aimsigh speisialtóirí Group-IB comhad ina raibh logaí stealer fianán, a bhfuil an chuma air gur thréig an forbróir é níos déanaí. Bhí fearann i gceann de na hiontrálacha sa loga iozoz.com, a úsáideadh roimhe seo i gceann de na sniffers gníomhach in 2016. Is dócha gur bhain ionsaitheoir úsáid as an bhfearann seo roimhe seo chun cártaí a goideadh a bhailiú ag baint úsáide as sniffer. Cláraíodh an fearann seo chuig seoladh ríomhphoist [ríomhphost faoi chosaint], a úsáideadh freisin chun fearainn a chlárú cardz.su и cardz.vc, a bhaineann leis an siopa cardála Cardsurfs.
Bunaithe ar na sonraí a fuarthas, is féidir glacadh leis go bhfuil an teaghlach G-Analytics de sniffers agus an siopa faoi thalamh ag díol cártaí bainc Cardsurfs á bhainistiú ag na daoine céanna, agus tá an siopa a úsáidtear chun a dhíol cártaí bainc goidte ag baint úsáide as an sniffer.
Bonneagar
| Ainm Fearainn | Dáta fionnachtana/chuma |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| anailíseach.go | 04.12.2018 |
| google-anailís.chuig | 06.12.2018 |
| google-anailís.cm | 28.12.2018 |
| anailíse.is | 28.12.2018 |
| googlc-analytics.cm | 17.01.2019 |
teaghlach Illum
Is teaghlach sniffers é Illum a úsáidtear chun ionsaí a dhéanamh ar shiopaí ar líne a ritheann an Magento CMS. Chomh maith le cód mailíseach a thabhairt isteach, úsáideann oibreoirí an sniffer seo freisin foirmeacha íocaíochta falsa iomlána a thabhairt isteach a sheolann sonraí chuig geataí arna rialú ag ionsaitheoirí.
Agus anailís á déanamh ar an mbonneagar líonra a úsáideann oibreoirí an sniffer seo, tugadh faoi deara líon mór scripteanna mailíseacha, shaothrú, foirmeacha íocaíochta bréige, chomh maith le bailiúchán samplaí le sniffers mailíseach ó iomaitheoirí. Bunaithe ar fhaisnéis faoi dhátaí cuma na n-ainmneacha fearainn atá in úsáid ag an ngrúpa, is féidir glacadh leis gur ag deireadh na bliana 2016 a thosaigh an feachtas.
Mar a chuirtear Illum i bhfeidhm i gcód siopa ar líne
Bhí na chéad leaganacha den sniffer a thángthas orthu leabaithe go díreach i gcód an tsuímh chontúirte. Seoladh na sonraí goidte chuig cdn.illum[.]pw/records.php, ionchódaíodh an geata ag baint úsáide as base64.
Níos déanaí, thángthas ar leagan pacáistithe den sniffer a úsáideann geata eile - taifid.nstatistics[.]com/records.php.
De réir Willem de Groot, baineadh úsáid as an óstach céanna sa sniffer, a cuireadh i bhfeidhm ar , atá ar úinéireacht ag páirtí polaitíochta Gearmánach CSU.
Anailís ar shuíomh Gréasáin na n-ionsaitheoirí
D’aimsigh speisialtóirí Group-IB agus rinne siad anailís ar shuíomh Gréasáin a d’úsáid an grúpa coiriúil seo chun uirlisí a stóráil agus faisnéis ghoidte a bhailiú.
I measc na n-uirlisí a fuarthas ar fhreastalaí na n-ionsaitheoirí bhí scripteanna agus taiscéalta chun pribhléidí a mhéadú sa Linux OS: mar shampla, Script Seiceála Ardaithe Pribhléid Linux arna fhorbairt ag Mike Czumak, chomh maith le leas a bhaint as CVE-2009-1185.
Bhain na hionsaitheoirí úsáid as dhá thaisce go díreach chun ionsaí a dhéanamh ar shiopaí ar líne: in ann cód mailíseach a instealladh isteach croí_config_sonraí trí leas a bhaint as CVE-2016-4010, baineann sé leas as leochaileacht RCE i bhforlíontáin do CMS Magento, rud a ligeann do chód treallach a fhorghníomhú ar fhreastalaí gréasáin leochaileach.
Chomh maith leis sin, le linn na hanailíse ar an bhfreastalaí, thángthas ar shamplaí éagsúla de sniffers agus foirmeacha íocaíochta falsa, a úsáideann ionsaitheoirí chun faisnéis íocaíochta a bhailiú ó láithreáin hacked. Mar a fheiceann tú ón liosta thíos, cruthaíodh roinnt scripteanna ina n-aonar do gach láithreán hacked, agus úsáideadh réiteach uilíoch le haghaidh CMS áirithe agus geataí íocaíochta. Mar shampla, scripteanna segapay_standart.js и segapay_onpage.js deartha le cur i bhfeidhm ar shuímh a úsáideann geata íocaíochta Sage Pay.
Liosta de na scripteanna le haghaidh geataí íocaíochta éagsúla
| Script | Geata íocaíochta |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdierenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.] pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_forminsite.js | //paymentnow[.]tk/?payment= |
Óstach íocaíocht anois[.]tk, a úsáidtear mar gheata i script íocaíocht_forminsite.js, fuarthas amach mar ábharAltName i roinnt deimhnithe a bhaineann leis an tseirbhís CloudFlare. Ina theannta sin, bhí script ag an ósta olc.js. Ag déanamh breithiúnas ar ainm na scripte, d'fhéadfaí é a úsáid mar chuid de shaothrú CVE-2016-4010, a bhuíochas sin is féidir cód mailíseach a instealladh isteach i mbuntásc suímh a bhfuil an Magento CMS á rith aige. D'úsáid an t-óstach an script seo mar gheata request.requestnet[.]tkag baint úsáide as an deimhniú céanna leis an ósta íocaíocht anois[.]tk.
Foirmeacha íocaíochta falsa
Taispeánann an figiúr thíos sampla d'fhoirm chun sonraí cárta a iontráil. Baineadh úsáid as an bhfoirm seo chun siopa ar líne a insíothlú agus sonraí cárta a ghoid.
Léiríonn an figiúr seo a leanas sampla d’fhoirm íocaíochta falsa PayPal a d’úsáid ionsaitheoirí chun láithreáin a insíothlú leis an modh íocaíochta seo.
Bonneagar
| Ainm Fearainn | Dáta fionnachtana/chuma |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| taifid.nstatistics.com | 06/09/2018 |
| iarratas.payrightnow.cf | 25/05/2018 |
| íocaíochtnow.tk | 16/07/2017 |
| íocaíocht-líne.tk | 01/03/2018 |
| paypal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
Teaghlaigh CoffeeMokko
Tá an teaghlach sniffers CoffeMokko, atá deartha chun cártaí bainc a ghoid ó úsáideoirí siopaí ar líne, in úsáid ó mhí na Bealtaine 2017 ar a laghad. Is dócha gurb iad oibreoirí an teaghlaigh sniffers seo an grúpa coiriúil Grúpa 1, a ndearna speisialtóirí RiskIQ cur síos air in 2016. Rinneadh ionsaí ar shuíomhanna a bhfuil CMSanna á rith acu mar Magento, OpenCart, WordPress, osCommerce, agus Shopify.
Conas a chuirtear CoffeMokko i bhfeidhm i gcód siopa ar líne
Cruthaíonn oibreoirí an teaghlaigh seo sniffers uathúla do gach ionfhabhtú: tá an comhad sniffer lonnaithe san eolaire src nó js ar fhreastalaí na n-ionsaitheoirí. Déantar corprú isteach i gcód an tsuímh trí nasc díreach chuig an sniffer.
Déanann an cód sniffer ainmneacha na réimsí foirme ónar gá sonraí a ghoid. Seiceálann an sniffer freisin an bhfuil an t-úsáideoir ar an leathanach íocaíochta trí liosta na n-eochairfhocail a sheiceáil le seoladh reatha an úsáideora.
Bhí roinnt leaganacha aimsithe den sniffer claonta agus bhí teaghrán criptithe ann inar stóráladh an príomhréimse acmhainní: chuimsigh sé ainmneacha na réimsí foirmeacha do chórais íocaíochta éagsúla, chomh maith leis an seoladh geata ar cheart na sonraí goidte a sheoladh chuige.
Seoladh an fhaisnéis íocaíochta a goideadh chuig script ar fhreastalaí an ionsaitheora feadh na slí /savePayment/index.php nó /tr/index.php. Is dócha go n-úsáidtear an script seo chun sonraí a sheoladh ón ngeata chuig an bpríomhfhreastalaí, a chomhdhlúthaíonn sonraí ó gach sniffer. Chun na sonraí tarchurtha a cheilt, déantar faisnéis íocaíochta uile an íospartaigh a chriptiú ag baint úsáide as base64, agus ansin tarlaíonn roinnt ionadú carachtar:
- cuirtear ":" in ionad an charachtair "e"
- cuirtear "+" in ionad na siombaile "w"
- cuirtear "%" in ionad an charachtair "o"
- cuirtear "#" in ionad an charachtair "d"
- cuirtear "-" in ionad an charachtair "a"
- cuirtear "^" in ionad na siombaile "7"
- cuirtear "_" in ionad an charachtair "h"
- cuirtear "@" in ionad na siombaile "T"
- cuirtear "/" in ionad an charachtair "0"
- cuirtear "*" in ionad an charachtair "Y"
Mar thoradh ar ionadú carachtar ionchódaithe ag baint úsáide as base64 Ní féidir na sonraí a dhíchódú gan an tiontú droim ar ais a dhéanamh.
Seo an chuma atá ar blúire de chód sniffer nár cuireadh isteach air:
Anailís Bonneagair
I bhfeachtais luatha, chláraigh ionsaitheoirí ainmneacha fearainn cosúil leis na cinn ar shuíomhanna dlisteanacha siopadóireachta ar líne. D’fhéadfadh go mbeadh a bhfearann difriúil ón gceann dlisteanach ar shiombail amháin nó ó TLD eile. Baineadh úsáid as fearainn chláraithe chun cód sniffer a stóráil, a raibh nasc dó leabaithe sa chód stórais.
Bhain an grúpa seo úsáid freisin as ainmneacha fearainn a mheabhraíonn na forlíontáin jQuery coitianta (slickjs[.]org le haghaidh suíomhanna a úsáideann an breiseán slic.js), geataí íocaíochta (sagecdn[.]org do shuímh a úsáideann córas íocaíochta Sage Pay).
Níos déanaí, thosaigh an grúpa ag cruthú fearainn nach raibh baint ar bith ag a n-ainmneacha le fearann na siopa nó le téama an tsiopa.
Bhí gach fearann ag freagairt do shuíomh ar a cruthaíodh an t-eolaire /js nó /src. Stóráladh scripteanna sniffer san eolaire seo: sniffer amháin do gach ionfhabhtú nua. Bhí an sniffer leabaithe i gcód an tsuímh Ghréasáin trí nasc díreach, ach i gcásanna neamhchoitianta, d'athraigh ionsaitheoirí ceann de chomhaid an tsuímh Ghréasáin agus chuir siad cód mailíseach leis.
Anailís Cóid
An chéad algartam obfuscation
I roinnt samplaí aimsithe de sniffers den teaghlach seo, bhí an cód obfuscated agus bhí sonraí criptithe is gá chun go n-oibreoidh an sniffer: go háirithe, an seoladh geata sniffer, liosta de na réimsí foirmeacha íocaíochta, agus i gcásanna áirithe, an cód bréige. foirm íocaíochta. Sa chód taobh istigh den fheidhm, criptíodh na hacmhainní ag baint úsáide as XOR ag an eochair a ritheadh mar argóint leis an bhfeidhm chéanna.
Tríd an teaghrán a dhíchriptiú leis an eochair chuí, uathúil do gach sampla, is féidir leat teaghrán a fháil ina bhfuil na teaghráin go léir ón gcód sniffer scartha le carachtar deighilteoir.
An dara algartam obfuscation
I samplaí níos déanaí de sniffers den teaghlach seo, baineadh úsáid as meicníocht obfuscation difriúil: sa chás seo, criptíodh na sonraí ag baint úsáide as algartam féinscríofa. Cuireadh teaghrán ina raibh na sonraí criptithe is gá chun go n-oibreodh an sniffer mar argóint don fheidhm dhíchriptithe.
Trí úsáid a bhaint as consól an bhrabhsálaí, is féidir leat na sonraí criptithe a dhíchriptiú agus sraith a fháil ina bhfuil acmhainní sniffer.
Ceangal le hionsaithe luatha MageCart
Le linn na hanailíse ar cheann de na fearainn a d’úsáid an grúpa mar thairseach chun sonraí goidte a bhailiú, fuarthas go raibh an fearann seo ina óstach ar bhonneagar le haghaidh goid cártaí creidmheasa, comhionann leis an gceann a d’úsáid Grúpa 1, ceann de na chéad ghrúpaí, ag speisialtóirí RiskIQ.
Fuarthas dhá chomhad ar óstach an teaghlaigh sniffers CoffeMokko:
- magaidh.js — comhad ina bhfuil cód sniffer Grúpa 1 agus seoladh geata js-cdn.nasc
- mag.php — Script PHP atá freagrach as sonraí a ghoid an sniffer a bhailiú
Ábhar an chomhaid mage.js
Cinneadh freisin gur cláraíodh na fearainn is luaithe a d’úsáid an grúpa taobh thiar de theaghlach sniffers CoffeMokko an 17 Bealtaine 2017:
- nasc-js[.]nasc
- info-js[.]nasc
- track-js[.]nasc
- mapa-js[.]nasc
- nasc cliste-js[.]
Meaitseálann formáid na n-ainmneacha fearainn seo na hainmneacha fearainn Grúpa 1 a úsáideadh in ionsaithe 2016.
Bunaithe ar na fíricí a fuarthas, is féidir glacadh leis go bhfuil nasc idir oibreoirí na sniffers CoffeMokko agus an grúpa coiriúil Grúpa 1. Is dócha go bhféadfadh oibreoirí CoffeMokko uirlisí agus bogearraí a fháil ar iasacht óna réamhtheachtaithe chun cártaí a ghoid. Mar sin féin, is dóichí gurb iad na daoine céanna a rinne ionsaithe Ghrúpa 1. Tar éis fhoilsiú na chéad tuarascála ar ghníomhaíochtaí an ghrúpa choiriúil, bhí a n-ainmneacha fearainn go léir taobh thiar d'úsáid theaghlach sniffers CoffeMokko. bac agus rinneadh mionstaidéar agus cur síos ar na huirlisí. Cuireadh iallach ar an ngrúpa sos a ghlacadh, a uirlisí inmheánacha a bheachtú agus cód sniffer a athscríobh chun leanúint lena n-ionsaithe agus fanacht gan aithne.
Bonneagar
| Ainm Fearainn | Dáta fionnachtana/chuma |
|---|---|
| nasc-js.link | 17.05.2017 |
| eolas-js.link | 17.05.2017 |
| rian-js.nasc | 17.05.2017 |
| léarscáil-js.nasc | 17.05.2017 |
| cliste-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| slándáil-íocaíocht.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| leanaísplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| siopa-rnib.org | 15.11.2017 |
| closdain.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| sparán.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| páirceanna.su | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| caife.org | 31.01.2018 |
| fuinneamhcoffe.org | 31.01.2018 |
| fuinneamhtea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| caifemokko.com | 01.03.2018 |
| londain.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| údarúcdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| candypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| úrchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| biaandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitnesse.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| barr5value.com | 19.11.2018 |
Foinse: will.com