Bidh cha mhòr a h-uile duine againn a’ cleachdadh seirbheisean stòran air-loidhne, a tha a’ ciallachadh gum bi sinn ann an cunnart nas luaithe no nas fhaide air adhart fulang le sniffers JavaScript - còd sònraichte a bhios luchd-ionnsaigh a’ stealladh a-steach do làrach-lìn gus dàta cairt banca, seòlaidhean, ainmean-cleachdaidh agus faclan-faire a ghoid. .
Tha sniffers air buaidh a thoirt air faisg air 400 neach-cleachdaidh làrach-lìn agus app gluasadach British Airways mu thràth, a bharrachd air luchd-tadhail air làrach-lìn fuamhaire spòrs Bhreatainn FILA agus neach-cuairteachaidh thiocaidean na SA Ticketmaster. PayPal, Chase Paymenttech, USAePay, Moneris - tha iad sin agus mòran de shiostaman pàighidh eile air an galar.
Tha mion-sgrùdaire Buidheann Fiosrachaidh Cunnart-IB Viktor Okorokov a’ bruidhinn air mar a bhios sniffers a’ cuir a-steach còd làrach-lìn agus a’ goid fiosrachadh pàighidh, a bharrachd air na CRM a bhios iad a’ toirt ionnsaigh.
"Bagairt falaichte"
Thachair e airson ùine mhòr gun do dh'fhuirich JS-sniffers a-mach à sealladh luchd-anailis an-aghaidh bhìoras, agus cha robh bancaichean agus siostaman pàighidh gam faicinn mar dhroch chunnart. Agus gu tur dìomhain. Eòlaichean Buidheann-IB 2440 stòr air-loidhne le galair, aig an robh luchd-tadhail - timcheall air 1,5 millean neach gach latha - ann an cunnart co-rèiteachadh. Am measg an luchd-fulaing chan e a-mhàin luchd-cleachdaidh, ach cuideachd stòran air-loidhne, siostaman pàighidh agus bancaichean a chuir a-mach cairtean cuibhrichte.
Thàinig Group-IB gu bhith mar a’ chiad sgrùdadh air a’ mhargaidh darknet de sniffers, am bun-structar agus na dòighean air airgead a dhèanamh, a’ toirt milleanan dolar don luchd-cruthachaidh. Chomharraich sinn 38 teaghlaichean sniffer, agus cha robh ach 12 dhiubh sin aithnichte do luchd-rannsachaidh roimhe seo.
Gabhamaid gu mionaideach mu na ceithir teaghlaichean de luchd-sniffers a chaidh a sgrùdadh rè an sgrùdaidh.
ReactGet teaghlach
Bithear a’ cleachdadh sniffers den teaghlach ReactGet gus dàta cairt banca a ghoid air làraich bhùthan air-loidhne. Faodaidh an sniffer obrachadh le àireamh mhòr de shiostaman pàighidh eadar-dhealaichte air an cleachdadh air an làrach: tha aon luach paramadair a’ freagairt ri aon shiostam pàighidh, agus faodar dreachan lorgte fa leth den sniffer a chleachdadh gus teisteanasan a ghoid, a bharrachd air dàta cairt banca a ghoid bhon foirmean pàighidh de ghrunn shiostaman pàighidh aig an aon àm, mar an t-ainm sniffer uile-choitcheann. Chaidh a lorg, ann an cuid de chùisean, gu bheil luchd-ionnsaigh a’ dèanamh ionnsaighean fiasgaich air luchd-rianachd stòran air-loidhne gus faighinn gu pannal rianachd na làraich.
Thòisich an iomairt a 'cleachdadh an teaghlaich seo de luchd-sniffers sa Chèitean 2017. Chaidh ionnsaigh a thoirt air làraichean a 'ruith CMS agus àrd-ùrlaran Magento, Bigcommerce, Shopify.
Mar a tha ReactGet freumhaichte ann an còd stòr air-loidhne
A bharrachd air an in-stealladh sgriobt “clasaigeach” le ceangal, bidh gnìomhaichean sniffer teaghlaich ReactGet a’ cleachdadh innleachd sònraichte: a’ cleachdadh còd JavaScript, bidh e a’ sgrùdadh a bheil an seòladh gnàthach far a bheil an neach-cleachdaidh suidhichte a’ coinneachadh ri slatan-tomhais sònraichte. Cha ruith an còd droch-rùnach ach ma tha fo-sreang san URL làithreach Dèan sgrùdadh air no aon cheum checkout, aon duilleag/, a-mach / aon duilleag, checkout/aon, ckout/aon. Mar sin, thèid an còd sniffer a chuir an gnìomh dìreach aig an àm a thèid an neach-cleachdaidh air adhart gus pàigheadh airson ceannach agus cuir a-steach fiosrachadh pàighidh a-steach don fhoirm air an làrach.
Bidh an sniffer seo a’ cleachdadh innleachd neo-àbhaisteach. Tha pàigheadh agus dàta pearsanta an neach-fulang air a chruinneachadh còmhla, air a chòdachadh le bhith a’ cleachdadh base64, agus an uairsin thèid an sreang a thig às a chleachdadh mar pharamadair gus iarrtas a chuir chun làrach droch-rùnach. Mar as trice, bidh an t-slighe chun gheata a’ dèanamh atharrais air faidhle JavaScript, mar eisimpleir freagairt.js, data.js agus mar sin air adhart, ach thathas a’ cleachdadh ceanglaichean gu faidhlichean ìomhaigh cuideachd, GIF и JPG. Is e an rud sònraichte gu bheil an sniffer a’ cruthachadh nì ìomhaigh le meud 1 le 1 piogsail agus a’ cleachdadh a’ cheangal a fhuaireadh roimhe mar pharamadair SRC Dealbhan. Is e sin, airson an neach-cleachdaidh, bidh iarrtas mar sin ann an trafaic coltach ri iarrtas airson dealbh cunbhalach. Chaidh innleachd coltach ris a chleachdadh anns an teaghlach sniffers ImageID. A bharrachd air an sin, tha an dòigh ìomhaigh 1 × 1 piogsail air a chleachdadh ann an iomadh sgriobt anailitigeach dligheach air-loidhne, a dh’ fhaodadh an neach-cleachdaidh a mhealladh.
Mion-sgrùdadh Tionndadh
Nochd mion-sgrùdadh air na raointean gnìomhach a chleachd luchd-obrachaidh sniffer ReactGet mòran dhreachan eadar-dhealaichte den teaghlach sniffers seo. Tha dreachan eadar-dhealaichte a thaobh làthaireachd no neo-làthaireachd, agus a bharrachd air an sin, tha gach sniffer air a dhealbhadh airson siostam pàighidh sònraichte a bhios a ’giullachd pàighidhean cairt banca airson stòran air-loidhne. Às deidh dhaibh luach a’ pharamadair a rèir àireamh an tionndaidh a rèiteach, fhuair eòlaichean Group-IB liosta iomlan de na h-atharrachaidhean sniffer a bha rim faighinn, agus le ainmean nan raointean foirm a tha gach sniffer a’ sireadh ann an còd na duilleige, cho-dhùin iad na siostaman pàighidh. gu bheil an sniffer ag amas.
Liosta de luchd-sniffers agus na siostaman pàighidh co-fhreagarrach aca
| URL Sniffer | Siostam pàighidh |
|---|---|
| Authorize.Net | |
| Sàbhaladh cairt | |
| Authorize.Net | |
| Authorize.Net | |
| eWAY Rapid | |
| Authorize.Net | |
| Adyen | |
| USAePay | |
| Authorize.Net | |
| USAePay | |
| Authorize.Net | |
| Moneris | |
| USAePay | |
| PayPal | |
| SagePay | |
| Air adhart | |
| PayPal | |
| Stiall | |
| Realex | |
| PayPal | |
| CeangalPoint | |
| PayPal | |
| PayPal | |
| airgead-dàta | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Air adhart | |
| Authorize.Net | |
| Moneris | |
| SagePay | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| Authorize.Net | |
| Moneris | |
| SagePay | |
| SagePay | |
| Chase Paymentech | |
| Authorize.Net | |
| Adyen | |
| PsiGate | |
| Stòr saidhbear | |
| ANZ eGate | |
| Realex | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| Realex | |
| SagePay | |
| PayPal | |
| Air adhart | |
| Authorize.Net | |
| Air adhart | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Stòr saidhbear | |
| Authorize.Net | |
| SagePay | |
| Realex | |
| Stòr saidhbear | |
| PayPal | |
| PayPal | |
| PayPal | |
| Air adhart | |
| eWAY Rapid | |
| SagePay | |
| SagePay | |
| Air adhart | |
| Authorize.Net | |
| Authorize.Net | |
| A’ chiad gheata dàta cruinne | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| PayPal | |
| Air adhart | |
| USAePay | |
| USAePay | |
| Authorize.Net | |
| Air adhart | |
| PayPal | |
| Authorize.Net | |
| Stiall | |
| Authorize.Net | |
| eWAY Rapid | |
| SagePay | |
| Authorize.Net | |
| Braintree | |
| Braintree | |
| PayPal | |
| SagePay | |
| SagePay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Air adhart | |
| PayPal | |
| Authorize.Net | |
| Stiall | |
| Authorize.Net | |
| eWAY Rapid | |
| SagePay | |
| Authorize.Net | |
| Braintree | |
| PayPal | |
| SagePay | |
| SagePay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Air adhart | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| SagePay | |
| Slighe pàighidh Westpac | |
| Pàigheadh | |
| PayPal | |
| Authorize.Net | |
| Stiall | |
| A’ chiad gheata dàta cruinne | |
| PsiGate | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| SagePay | |
| Air adhart | |
| Moneris | |
| PayPal | |
| CeangalPoint | |
| Slighe pàighidh Westpac | |
| Authorize.Net | |
| Moneris | |
| PayPal | |
| Adyen | |
| PayPal | |
| Authorize.Net | |
| USAePay | |
| Cìs EBiz | |
| Authorize.Net | |
| Air adhart | |
| Air adhart | |
| Authorize.Net | |
| PayPal | |
| Moneris | |
| Authorize.Net | |
| PayPal | |
| PayPal | |
| Slighe pàighidh Westpac | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Air adhart | |
| Authorize.Net | |
| PayPal | |
| Pàigheadh | |
| Stòr saidhbear | |
| PayPal PayflowPro | |
| Authorize.Net | |
| Authorize.Net | |
| Air adhart | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| Stiall | |
| Authorize.Net | |
| Authorize.Net | |
| Air adhart | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| Authorize.Net | |
| PayPal | |
| Flint | |
| PayPal | |
| SagePay | |
| Air adhart | |
| Authorize.Net | |
| Authorize.Net | |
| Stiall | |
| Saill Zebra | |
| SagePay | |
| Authorize.Net | |
| A’ chiad gheata dàta cruinne | |
| Authorize.Net | |
| eWAY Rapid | |
| Adyen | |
| PayPal | |
| Seirbheisean ceannaiche QuickBooks | |
| Air adhart | |
| SagePay | |
| Air adhart | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| eWAY Rapid | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Stòr saidhbear | |
| Authorize.Net | |
| SagePay | |
| Realex | |
| Stòr saidhbear | |
| PayPal | |
| PayPal | |
| PayPal | |
| Air adhart | |
| eWAY Rapid | |
| SagePay | |
| SagePay | |
| Air adhart | |
| Authorize.Net | |
| Authorize.Net | |
| A’ chiad gheata dàta cruinne | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| PayPal |
Sniffer facal-faire
Is e aon de na buannachdan a tha an lùib sniffers JavaScript a tha ag obair air taobh teachdaiche làrach-lìn cho sùbailteachd a tha e: faodaidh còd droch-rùnach a tha freumhaichte air làrach-lìn seòrsa sam bith de dhàta a ghoid, biodh e fiosrachadh pàighidh no logadh a-steach agus facal-faire bho chunntas neach-cleachdaidh. Lorg eòlaichean Group-IB sampall de sniffer a bhuineadh don teaghlach ReactGet, a chaidh a dhealbhadh gus seòlaidhean puist-d agus faclan-faire luchd-cleachdaidh làraich a ghoid.
Eadar-ghearradh le sniffer ImageID
Rè sgrùdadh air aon de na stòran gabhaltach, chaidh a lorg gu robh an làrach-lìn aige air a ghalachadh dà uair: a bharrachd air còd droch-rùnach sniffer an teaghlaich ReactGet, chaidh còd sniffer teaghlaich ImageID a lorg. Dh’ fhaodadh an tar-lùbadh seo a bhith na fhianais gu bheil na gnìomhaichean a tha air cùl cleachdadh an dà sniffers a’ cleachdadh dhòighean coltach ris gus còd droch-rùnach a chuir a-steach.
Sniffer uile-choitcheann
Rè an anailis air aon de na h-ainmean fearainn co-cheangailte ri bun-structar sniffer ReactGet, chaidh a lorg gun do chlàraich an aon neach-cleachdaidh trì ainmean fearainn eile. Rinn na trì raointean sin atharrais air raointean làraich fìor agus chaidh an cleachdadh roimhe seo airson aoigheachd a thoirt do sniffers. Nuair a bhathas a’ dèanamh anailis air còd trì làraich dligheach, chaidh sniffer neo-aithnichte a lorg, agus sheall tuilleadh sgrùdaidh gur e dreach nas fheàrr a tha seo den sniffer ReactGet. Bha a h-uile dreach roimhe seo den teaghlach sniffers seo air a chuimseachadh air aon shiostam pàighidh, is e sin, bha feum air dreach sònraichte den sniffer airson gach siostam pàighidh. Ach, anns a 'chùis seo, chaidh dreach coitcheann den sniffer a lorg, comasach air fiosrachadh a ghoid bho fhoirmean co-cheangailte ri 15 diofar shiostaman pàighidh agus modalan de làraichean e-malairt airson pàighidhean air-loidhne.
Mar sin, aig toiseach na h-obrach, lorg an sniffer airson raointean cruth bunaiteach anns an robh fiosrachadh pearsanta an neach-fulaing: làn ainm, seòladh corporra, àireamh fòn.
An uairsin rannsaich an sniffer thairis air 15 ro-leasachan eadar-dhealaichte a rèir diofar shiostaman pàighidh agus mhodalan airson pàighidhean air-loidhne.
An uairsin, chaidh dàta pearsanta an neach-fulaing agus fiosrachadh pàighidh a chruinneachadh còmhla agus a chuir gu làrach a bha fo smachd an neach-ionnsaigh: anns a ’chùis shònraichte seo, lorgadh dà dhreach den sniffer uile-choitcheann ReactGet suidhichte air dà làrach hacked eadar-dhealaichte. Ach, chuir an dà dhreach an dàta a chaidh a ghoid chun aon làrach air a slaodadh. zoobashop.com.
Cho-dhùin mion-sgrùdadh air na ro-leasachain a chleachd an sniffer gus raointean a lorg anns an robh fiosrachadh pàighidh an neach-fulaing gun robh an sampall sniffer seo ag amas air na siostaman pàighidh a leanas:
- Authorize.Net
- Air adhart
- A ’chiad dàta
- USAePay
- Stiall
- PayPal
- ANZ eGate
- Braintree
- Airgead Dàta (MasterCard)
- Pàighidhean Realex
- PsiGate
- Siostaman pàighidh Heartland
Dè na h-innealan a thathas a’ cleachdadh gus fiosrachadh pàighidh a ghoid
Tha a’ chiad inneal a chaidh a lorg nuair a thathar a’ mion-sgrùdadh bun-structair an luchd-ionnsaigh a’ cur bacadh air sgriobtaichean droch-rùnach a tha an urra ri bhith a’ goid chairtean banca. Chaidh sgriobt bash a 'cleachdadh CLI a' phròiseict a lorg air fear de luchd-aoigheachd an luchd-ionnsaigh. gus obfuscation còd sniffer a dhèanamh fèin-ghluasadach.
Tha an dàrna inneal a chaidh a lorg air a dhealbhadh gus an còd a ghineadh le uallach airson a’ phrìomh sniffer a luchdachadh. Bidh an t-inneal seo a’ gineadh còd JavaScript a nì cinnteach a bheil an neach-cleachdaidh air an duilleag pàighidh le bhith a’ sgrùdadh seòladh làithreach an neach-cleachdaidh airson nan sreangan Dèan sgrùdadh air, cairt agus mar sin air adhart, agus ma tha an toradh dearbhach, bidh an còd a 'luchdachadh a' phrìomh sniffer bho fhrithealaiche an luchd-ionnsaigh. Gus gnìomhachd droch-rùnach fhalach, tha a h-uile loidhne, a ’toirt a-steach loidhnichean deuchainn airson an duilleag pàighidh a dhearbhadh, a bharrachd air ceangal ris an sniffer, air an còdachadh le bhith a’ cleachdadh base64.
ionnsaighean phishing
Rè mion-sgrùdadh air bun-structar lìonra an luchd-ionnsaigh, chaidh a lorg gu bheil a ’bhuidheann eucorach gu tric a’ cleachdadh phishing gus faighinn gu pannal rianachd a ’bhùth air-loidhne targaid. Bidh an luchd-ionnsaigh a’ clàradh àrainn a tha coltach ri àrainn stòrais agus an uairsin a’ cleachdadh foirm logadh a-steach admin Magento meallta air. Ma shoirbhicheas leis, gheibh an luchd-ionnsaigh cothrom air pannal rianachd Magento CMS, a bheir comas dhaibh pàirtean làraich a dheasachadh agus sniffer a chuir an gnìomh gus dàta cairt creideas a ghoid.
Bun-structar
| Ainm Domain | Ceann-latha lorg / coltas |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagtracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trusttracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
Teaghlach G-Analytics
Tha an teaghlach sniffers seo air a chleachdadh gus cairtean teachdaiche a ghoid bho stòran air-loidhne. Chaidh a’ chiad ainm àrainn a chleachd a’ bhuidheann a chlàradh sa Ghiblean 2016, a dh’ fhaodadh a bhith a’ comharrachadh toiseach gnìomhachd na buidhne ann am meadhan 2016.
Anns an iomairt làithreach, bidh a’ bhuidheann a’ cleachdadh ainmean fearainn a tha coltach ri seirbheisean fìor leithid Google Analytics agus jQuery, a’ falach gnìomhachd sniffer le sgriobtaichean dligheach agus ainmean fearainn le coltas dligheach. Chaidh ionnsaigh a thoirt air làraich-lìn a bha a’ ruith fo CMS Magento.
Mar a tha G-Analytics air a bhuileachadh ann an còd stòr air-loidhne
Is e feart sònraichte den teaghlach seo cleachdadh diofar dhòighean air fiosrachadh pàighidh luchd-cleachdaidh a ghoid. A bharrachd air an in-stealladh clasaigeach JavaScript a-steach do thaobh teachdaiche na làraich, chleachd a’ bhuidheann eucorach cuideachd an dòigh air còd a chuir a-steach do thaobh frithealaiche na làraich, is e sin sgriobtaichean PHP a bhios a ’giullachd cuir a-steach luchd-cleachdaidh. Tha an dòigh seo cunnartach leis gu bheil e ga dhèanamh duilich do luchd-rannsachaidh treas-phàrtaidh còd droch-rùnach a lorg. Lorg eòlaichean Group-IB dreach den sniffer freumhaichte ann an còd PHP na làraich, a’ cleachdadh an àrainn mar gheata dittm.org.
Chaidh dreach tràth de sniffer a lorg cuideachd a chleachdas an aon raon gus dàta a chaidh a ghoid a chruinneachadh. dittm.org, ach tha an dreach seo mar-thà an dùil a chuir a-steach air taobh teachdaiche a’ bhùth air-loidhne.
Nas fhaide air adhart, dh'atharraich a 'bhuidheann an cuid innleachdan agus thòisich iad a' toirt barrachd aire do fhalach gnìomhachd droch-rùnach agus breug-riochd.
Tràth ann an 2017, thòisich a’ bhuidheann a’ cleachdadh an àrainn jquery-js.commasquerading mar CDN airson jQuery: ag ath-stiùireadh an neach-cleachdaidh gu làrach dligheach nuair a thèid e gu làrach droch-rùnach jquery.com.
Agus ann am meadhan 2018, ghabh a’ bhuidheann ainm fearainn g-analytics.com agus thòisich e air gnìomhachd an sniffer a chuir am falach mar sheirbheis dligheach Google Analytics.
Mion-sgrùdadh Tionndadh
Rè mion-sgrùdadh air na raointean a chaidh a chleachdadh gus an còd sniffer a stòradh, chaidh a lorg gu bheil àireamh mhòr de dhreachan air an làrach a tha eadar-dhealaichte a thaobh làthaireachd obfuscation, a bharrachd air làthaireachd no dìth còd neo-ruigsinneach air a chur ris an fhaidhle gus aire a tharraing. agus cuir am falach còd droch-rùnach.
Iomlan air an làrach jquery-js.com chaidh sia dreachan de sniffers a chomharrachadh. Bidh na sniffers sin a’ cur an dàta a chaidh a ghoid gu seòladh a tha suidhichte air an aon làrach ris an sniffer fhèin: hxxps://jquery-js[.] com/latest/jquery.min.js:
- hxxps://jquery-js[.] com/jquery.min.js
- hxxps://jquery-js[.] com/jquery.2.2.4.min.js
- hxxps://jquery-js[.] com/jquery.1.8.3.min.js
- hxxps://jquery-js[.] com/jquery.1.6.4.min.js
- hxxps://jquery-js[.] com/jquery.1.4.4.min.js
- hxxps://jquery-js[.] com/jquery.1.12.4.min.js
Fearann nas fhaide air adhart g-analytics.com, air a chleachdadh leis a’ bhuidheann ann an ionnsaighean bho mheadhan 2018, a ’frithealadh mar stòr airson barrachd sniffers. Gu h-iomlan, chaidh 16 dreachan eadar-dhealaichte den sniffer a lorg. Anns a 'chùis seo, chaidh an geata airson an dàta a chaidh a ghoid a chuir a-steach mar cheangal gu ìomhaigh den chruth GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.] com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.] com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.] com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.] com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.] com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.] com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.] com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.] com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.] com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.] com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.] com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.] com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.] com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.] com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.] com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.] com/libs/analytics.js
Monetization dàta a chaidh a ghoid
Bidh a 'bhuidheann eucorach a' dèanamh airgead air an dàta a chaidh a ghoid le bhith a 'reic chairtean tro stòr fon talamh a chaidh a chruthachadh gu sònraichte a bheir seachad seirbheisean do luchd-cairt. Rinn mion-sgrùdadh air na raointean a chleachd an luchd-ionnsaigh e comasach sin a dhearbhadh google-analytics.cm air a chlàradh leis an aon neach-cleachdaidh ris an àrainn cairtz.vc. Fearann cairtz.vc a’ toirt iomradh air Cardsurfs (Flysurfs), stòr a bha a’ reic chairtean banca a chaidh a ghoid, a dh’ fhàs mòr-chòrdte ann am margaidh fon talamh AlphaBay mar stòr a’ reic chairtean banca air an goid le bhith a’ cleachdadh sniffer.
A 'dèanamh anailis air an àrainn anailiseach.is, suidhichte air an aon fhrithealaiche ris na raointean a bhios luchd-sniffers a’ cleachdadh gus dàta a chaidh a ghoid a chruinneachadh, lorg eòlaichean Group-IB faidhle anns an robh logaichean stealer Cookie, a tha, tha e coltach, air a thrèigsinn leis an leasaiche nas fhaide air adhart. Bha àrainn ann an aon de na h-inntrigidhean san loga iozoz.com, a chaidh a chleachdadh roimhe seo ann an aon de na sniffers gnìomhach ann an 2016. A rèir coltais, chaidh an raon seo a chleachdadh roimhe le neach-ionnsaigh gus cairtean a chaidh a ghoid a chruinneachadh le bhith a’ cleachdadh sniffer. Chaidh an àrainn seo a chlàradh gu seòladh puist-d [post-d fo dhìon], a chaidh a chleachdadh cuideachd airson raointean a chlàradh cairtz.su и cairtz.vcco-cheangailte ri bùth càrdadh Cardsurfs.
Stèidhichte air an dàta a fhuaireadh, faodar gabhail ris gu bheil an teaghlach sniffer G-Analytics agus stòr cairt banca Cardsurfs fon talamh air an ruith leis na h-aon daoine, agus thathas a ’cleachdadh a’ bhùth gus cairtean banca a chaidh a ghoid a reic a ’cleachdadh sniffer.
Bun-structar
| Ainm Domain | Ceann-latha lorg / coltas |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| anailiseach.gu | 04.12.2018 |
| google-anailis.gu | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| anailiseach.is | 28.12.2018 |
| googlelc-analytics.cm | 17.01.2019 |
teaghlach Illum
Tha Illum na theaghlach de luchd-sniffers a thathas a’ cleachdadh gus ionnsaigh a thoirt air stòran air-loidhne a tha a ’ruith Magento CMS. A bharrachd air a bhith a’ toirt a-steach còd droch-rùnach, bidh gnìomhaichean an sniffer seo cuideachd a’ cleachdadh toirt a-steach foirmean pàighidh meallta làn-chuimseach a chuireas dàta gu geataichean fo smachd luchd-ionnsaigh.
Nuair a chaidh mion-sgrùdadh a dhèanamh air a’ bhun-structar lìonra a bhios luchd-obrachaidh an t-sniffer seo a’ cleachdadh, chaidh àireamh mhòr de sgriobtaichean droch-rùnach, cleasan, foirmean pàighidh meallta a thoirt fa-near, a bharrachd air cruinneachadh de eisimpleirean le farpaisich droch-rùnach sniffer. Stèidhichte air an fhiosrachadh mu cheann-latha coltas nan ainmean fearainn a chleachd a’ bhuidheann, faodar gabhail ris gu bheil toiseach na h-iomairt a’ tuiteam air deireadh 2016.
Mar a tha Illum air a bhuileachadh ann an còd stòr air-loidhne
Chaidh a’ chiad dreachan den sniffer a chaidh a lorg a thoirt a-steach gu dìreach ann an còd na làraich a bha fo chunnart. Chaidh an dàta a chaidh a ghoid a chuir gu cdn.illum[.] pw/records.php, chaidh an geata a chòdachadh a 'cleachdadh base64.
Nas fhaide air adhart, chaidh dreach pacaichte den sniffer a lorg a’ cleachdadh geata eile - records.nstatistics[.] com/records.php.
A rèir Willem de Groot, chaidh an aon aoigh a chleachdadh anns an sniffer a chaidh a chuir an gnìomh , a tha leis a’ phàrtaidh poilitigeach Gearmailteach CSU.
Mion-sgrùdadh làrach ionnsaigh
Lorg eòlaichean Group-IB agus rinn iad mion-sgrùdadh air an làrach a chleachd a’ bhuidheann eucorach seo gus innealan a stòradh agus fiosrachadh a chaidh a ghoid a chruinneachadh.
Am measg nan innealan a chaidh a lorg air frithealaiche an neach-ionnsaigh chaidh sgriobtaichean agus buannachdan a lorg airson àrdachadh sochair ann an Linux OS: mar eisimpleir, Linux Privilege Escalation Check Script, air a leasachadh le Mike Czumak, a bharrachd air brath airson CVE-2009-1185.
Chleachd luchd-ionnsaigh dà bhuannachd gu dìreach gus ionnsaigh a thoirt air stòran air-loidhne: comasach air còd droch-rùnach a chuir a-steach bunaiteach_config_data le bhith a’ cleachdadh CVE-2016-4010, a’ gabhail brath air so-leòntachd RCE ann am plugins Magento CMS, a’ ceadachadh còd neo-riaghailteach a chuir gu bàs air frithealaiche lìn so-leònte.
Cuideachd, rè mion-sgrùdadh air an t-seirbheisiche, chaidh diofar shamhlaichean de sniffers agus foirmean pàighidh meallta a lorg, air an cleachdadh le luchd-ionnsaigh gus fiosrachadh pàighidh a chruinneachadh bho làraich air an gearradh. Mar a chì thu bhon liosta gu h-ìosal, chaidh cuid de sgriobtaichean a chruthachadh leotha fhèin airson gach làrach a chaidh a ghearradh, agus chaidh fuasgladh uile-choitcheann a chleachdadh airson cuid de CMS agus geataichean pàighidh. Mar eisimpleir, sgriobtaichean segapay_standard.js и segapay_onpage.js air a dhealbhadh gus a bhith freumhaichte air làraich a’ cleachdadh geata pàighidh Sage Pay.
Liosta de sgriobtaichean airson diofar gheataichean pàighidh
| Sgriobt | Geata pàighidh |
|---|---|
| [.] pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.] pw/mjs_special/topdirenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.] pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.] pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.] pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.] pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.] pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.] pw/mjs_special/mylook.ee.js | //cdn.illum[.] pw/records.php |
| [.] pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.] pw/mjs_special/julep.com.js | //cdn.illum[.] pw/records.php |
| [.] pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.] pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.] pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.] pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.] pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.] pw/mjs/segapay_standart.js | //cdn.illum[.] pw/records.php |
| [.] pw/mjs/segapay_onpage.js | //cdn.illum[.] pw/records.php |
| [.] pw/mjs/replace_standard.js | //request.payrightnow[.]cf/checkpayment.php |
| [.] pw/mjs/all_inputs.js | //cdn.illum[.] pw/records.php |
| [.] pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.] pw/magento/payment_standard.js | //cdn.illum[.] pw/records.php |
| [.] pw/magento/payment_redirect.js | //payrightnow[.]cf/?payment= |
| [.] pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?payment= |
| [.] pw/magento/payment_forminsite.js | //paymentnow[.]tk/?payment= |
òstair pàigheadh a-nis[.]tk, air a chleachdadh mar gheata ann an sgriobt pàigheadh_forminsite.js, air a lorg mar cuspairAltName ann an grunn theisteanasan co-cheangailte ris an t-seirbheis CloudFlare. A bharrachd air an sin, bha an sgriobt suidhichte air an òstair olc.js. A ’breithneachadh le ainm an sgriobt, dh’ fhaodadh e a bhith air a chleachdadh mar phàirt de bhith a ’gabhail brath air CVE-2016-4010, leis gu bheil e comasach còd droch-rùnach a chuir a-steach do bhun-stèidh làrach a’ ruith an Magento CMS. Chleachd an sgriobt seo an òstair mar gheata iarrtas.requestnet[.]tk, a’ cleachdadh an aon theisteanas ris an aoigh pàigheadh a-nis[.]tk.
Foirmean pàighidh meallta
Tha an dealbh gu h-ìosal a’ sealltainn eisimpleir de fhoirm airson dàta cairt a chuir a-steach. Chaidh am foirm seo a chleachdadh gus làrach-lìn stòr air-loidhne a shìoladh agus dàta cairt a ghoid.
Tha am figear a leanas na eisimpleir de fhoirm pàighidh PayPal meallta a chaidh a chleachdadh le luchd-ionnsaigh gus làraich a thoirt a-steach a’ cleachdadh an dòigh pàighidh seo.
Bun-structar
| Ainm Domain | Ceann-latha lorg / coltas |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| clàran.nstatistics.com | 06/09/2018 |
| iarrtas.payrightnow.cf | 25/05/2018 |
| pàigheadhnow.tk | 16/07/2017 |
| loidhne pàighidh.tk | 01/03/2018 |
| pàigheadhpal.cf | 04/09/2017 |
| iarrtasnet.tk | 28/06/2017 |
Teaghlach cofaidhMokko
Tha an teaghlach sniffers CoffeMokko a chaidh a dhealbhadh gus cairtean banca de luchd-cleachdaidh stòr air-loidhne a ghoid air a bhith air a chleachdadh bhon Chèitean 2017 co-dhiù. A rèir coltais, is e gnìomhaichean an teaghlaich sniffers seo buidheann eucoireach Buidheann 1, air a mhìneachadh le eòlaichean RiskIQ ann an 2016. Chaidh ionnsaigh a thoirt air làraich-lìn a’ ruith CMS leithid Magento, OpenCart, WordPress, osCommerce, Shopify.
Mar a tha CoffeMokko freumhaichte ann an còd stòr air-loidhne
Bidh luchd-obrachaidh an teaghlaich seo a’ cruthachadh sniffers gun samhail airson gach galair: tha am faidhle sniffer suidhichte san eòlaire SRC no js air frithealaiche an neach-ionnsaigh. Tha buileachadh a-steach do chòd na làraich air a dhèanamh le ceangal dìreach ris an sniffer.
Bidh an còd sniffer a’ còdachadh ainmean nan raointean foirm às a bheil thu airson dàta a ghoid. Bidh an sniffer cuideachd a’ sgrùdadh a bheil an neach-cleachdaidh air an duilleag pàighidh le bhith a’ sgrùdadh liosta nam prìomh fhaclan mu choinneamh seòladh gnàthach an neach-cleachdaidh.
Bha cuid de na dreachan a chaidh a lorg den t-sniffer air am bacadh agus bha sreang crioptaichte ann a bha a’ stòradh a’ phrìomh raon de ghoireasan: bha ainmean raointean foirm ann airson diofar shiostaman pàighidh, a bharrachd air seòladh a’ gheata air am bu chòir an dàta a chaidh a ghoid a chuir.
Chaidh am fiosrachadh pàighidh a chaidh a ghoid a chuir gu sgriobt air frithealaiche an luchd-ionnsaigh air an t-slighe. /savePayment/index.php no /tr/index.php. A rèir coltais, tha an sgriobt seo air a chleachdadh gus dàta a chuir bhon gheata chun phrìomh fhrithealaiche, a bhios a’ daingneachadh dàta bho gach sniffer. Gus an dàta a chaidh a chraoladh fhalach, tha fiosrachadh pàighidh an neach-fulang air a chòdachadh le bhith a’ cleachdadh base64, agus an uairsin bidh grunn luchd-ionaid charactaran a’ tachairt:
- caractar "e" ga chur na àite le ":"
- tha "+" ga chur na àite na samhla "w"
- tha "%" na àite "o"
- tha "#" na àite a' charactair "d"
- Thèid "-" a chur na àite "a"
- tha "^" ga chur na àite an samhla "7"
- tha "_" na àite caractar "h"
- thèid "@" a chur an àite an t-samhla "T"
- tha "/" na àite a' charactair "0"
- tha "*" air a chur an àite a' charactar "Y"
Mar thoradh air luchd-ionaid charactaran air an còdachadh le base64 chan urrainnear dàta a chòdachadh às aonais cruth-atharrachadh neo-dhìreach.
Seo mar a tha criomag den chòd sniffer nach deach a chuir am falach coltach:
Mion-sgrùdadh bun-structair
Ann an iomairtean tràth, chlàraich an luchd-ionnsaigh ainmean fearainn coltach ris an fheadhainn aig làraich bhùthan dligheach air-loidhne. Dh'fhaodadh an àrainn aca a bhith eadar-dhealaichte bhon fhear dhligheach le aon charactar no TLD eile. Chaidh raointean clàraichte a chleachdadh gus an còd sniffer a stòradh, agus bha an ceangal ris an robh e freumhaichte ann an còd an stòrais.
Chleachd a’ chuantal seo cuideachd ainmean-fearainn a tha coltach ri plugins jQuery mòr-chòrdte (slickjs[.]org airson làraich a’ cleachdadh am plugan slaodach.js), geataichean pàighidh (sagecdn[.]org airson làraich a’ cleachdadh siostam pàighidh Sage Pay).
Nas fhaide air adhart, thòisich a’ bhuidheann a’ cruthachadh raointean aig nach robh gnothach sam bith aig an ainm ri àrainn a’ bhùtha no ri cuspair a’ bhùtha.
Bha gach àrainn a 'freagairt ris an làrach air an deach an eòlaire a chruthachadh /js no /src. Chaidh sgriobtaichean sniffer a stòradh san eòlaire seo: aon sniffer airson gach galar ùr. Chaidh an sniffer a thoirt a-steach do chòd na làraich tro cheangal dìreach, ach ann an cùisean ainneamh, dh’ atharraich luchd-ionnsaigh aon de na faidhlichean air an làrach agus chuir iad còd droch-rùnach ris.
Mion-sgrùdadh còd
Algorithm a' chiad obfuscation
Ann an cuid de shamhlaichean sniffer den teaghlach seo, chaidh an còd a dhubhadh às agus bha dàta crioptaichte ann a bha riatanach airson an sniffer a bhith ag obair: gu sònraichte, seòladh geata an sniffer, liosta de raointean foirm pàighidh, agus ann an cuid de chùisean, còd foirm pàighidh meallta. Anns a’ chòd taobh a-staigh na gnìomh, chaidh na goireasan a chrioptachadh le XOR leis an iuchair a chaidh a thoirt seachad mar argamaid don aon ghnìomh.
Le bhith a’ dì-chrioptachadh an t-sreang leis an iuchair fhreagarrach, gun samhail airson gach sampall, gheibh thu sreang anns a bheil a h-uile loidhne bhon chòd sniffer air a sgaradh le caractar delimiter.
An dàrna algairim obfuscation
Ann an sampaill nas fhaide air adhart den teaghlach sniffers seo, chaidh inneal fuasglaidh eadar-dhealaichte a chleachdadh: anns a ’chùis seo, chaidh an dàta a chrioptachadh le bhith a’ cleachdadh algorithm fèin-sgrìobhte. Chaidh sreang anns an robh dàta crioptaichte a dh'fheumar airson an sniffer obrachadh a thoirt seachad mar argamaid don ghnìomh dì-chrioptachaidh.
A’ cleachdadh tòcan a’ bhrobhsair, faodaidh tu an dàta crioptaichte a dhì-chrioptachadh agus raon fhaighinn anns a bheil na goireasan sniffer.
Ceangal ri ionnsaighean tràth MageCart
Ann an sgrùdadh air aon de na raointean a chleachd a’ bhuidheann mar gheata gus dàta a chaidh a ghoid a chruinneachadh, chaidh a lorg gun robh am bun-structar airson cairtean creideis a ghoid air a chleachdadh san raon seo, co-ionann ris an fhear a chleachd Buidheann 1, aon de na ciad bhuidhnean, Eòlaichean RiskIQ.
Chaidh dà fhaidhle a lorg air aoigheachd an teaghlaich sniffer CoffeMokko:
- magaidh.js - faidhle anns a bheil còd sniffer Buidheann 1 le seòladh geata js-cdn.link
- mag.php - Sgriob PHP le uallach airson an dàta a chaidh a ghoid leis an sniffer a chruinneachadh
Tha susbaint an fhaidhle mage.js
Chaidh a cho-dhùnadh cuideachd gun deach na raointean as tràithe a chleachd a’ bhuidheann air cùl teaghlach sniffer CoffeMokko a chlàradh air 17 Cèitean 2017:
- link-js[.] ceangal
- info-js[.] ceangal
- track-js[.] ceangal
- mapa-js[.] ceangal
- ceangal smart-js[.]
Tha cruth nan ainmean fearainn sin an aon rud ri ainmean àrainn Buidheann 1 a chaidh a chleachdadh ann an ionnsaighean 2016.
Stèidhichte air na fìrinnean a chaidh a lorg, faodar gabhail ris gu bheil ceangal eadar gnìomhaichean sniffer CoffeMokko agus buidheann eucoir Buidheann 1. A rèir coltais, is dòcha gu bheil luchd-obrachaidh CoffeMokko air innealan agus bathar-bog fhaighinn air iasad gus cairtean a ghoid bhon fheadhainn a thàinig roimhe. Ach, tha e nas coltaiche gur e a’ bhuidheann eucorach a tha air cùl cleachdadh sniffers teaghlaich CoffeMokko na h-aon daoine a rinn na h-ionnsaighean mar phàirt de ghnìomhachd Buidheann 1. Às deidh foillseachadh a’ chiad aithisg air gnìomhachd na buidhne eucorach, tha na h-ionnsaighean aca uile. chaidh ainmean fearainn a bhacadh, agus chaidh na h-innealan a sgrùdadh gu mionaideach agus a mhìneachadh. B’ fheudar don bhuidheann fois a ghabhail, na h-innealan a-staigh aca ùrachadh agus an còd sniffer ath-sgrìobhadh gus leantainn air adhart leis na h-ionnsaighean aca agus fuireach gun mhothachadh.
Bun-structar
| Ainm Domain | Ceann-latha lorg / coltas |
|---|---|
| ceangal-js.link | 17.05.2017 |
| fios-js.link | 17.05.2017 |
| slighe-js.link | 17.05.2017 |
| mapa-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| tèarainteachd-payment.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| clannsplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| bùth-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| àitemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbigats.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| pàircean.su | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| cofaidh.org | 31.01.2018 |
| lùthcoffe.org | 31.01.2018 |
| lùth-thea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| cofaidhmokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| ùghdarrachadhcdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| candypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| biadhandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitness.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
Source: www.habr.com