ProHoster > Pūnaewele > nūhou pūnaewele > Hiki i nā Sniffers: pehea i hoʻopili ai ka ʻohana FakeSecurity i nā hale kūʻai pūnaewele

Hiki i nā Sniffers: pehea i hoʻopili ai ka ʻohana FakeSecurity i nā hale kūʻai pūnaewele

Hiki i nā Sniffers: pehea i hoʻopili ai ka ʻohana FakeSecurity i nā hale kūʻai pūnaewele

I Dekemaba 2018, ua ʻike nā loea Group-IB i kahi ʻohana hou o nā sniffers, i kapa ʻia HoʻopunipuniUa hoʻohana ʻia lākou e kahi hui lawehala i hoʻopilikia i nā pūnaewele e holo ana i ka CMS. MagentoUa hōʻike ka loiloi i loko o kahi hoʻolaha hou, ua hoʻohana nā mea hoʻouka i nā polokalamu ʻino e ʻaihue i nā ʻōlelo huna. ʻO nā mea i hōʻeha ʻia he mau mea nona nā hale kūʻai pūnaewele i loaʻa i ka JavaScript sniffer. Ua hoʻomaopopo ka CERT o Group-IB i nā pūnaewele i hoʻopilikia ʻia, a he loiloi Group-IB Threat Intelligence Victor Okorokov Ua hoʻoholo wau e kamaʻilio e pili ana i ke ʻano o kā mākou ʻike ʻana i ka hana hewa.

E hoʻomanaʻo mākou ma Malaki 2019 Group-IB i paʻi ʻia hōʻike "Ka hewa me ka hoʻopaʻi ʻole: ka nānā ʻana o nā ʻohana sniffer JS," nāna i hōʻike i nā ʻohana 15 o nā sniffers JS ʻē aʻe i hoʻohana ʻia e hoʻomake i ʻoi aku ma mua o ʻelua kaukani mau pūnaewele kūʻai pūnaewele.

Helu helu hoʻokahi

I ka wā o ka maʻi, ua hoʻokomo ka poʻe hoʻouka i kahi loulou i kahi palapala hōʻino i loko o ka code pūnaewele; ua hoʻouka ʻia kēia palapala a, i ka manawa o ka uku ʻana i nā ukana, ua ʻae ʻia ka ʻikepili uku o ka mea kipa hale kūʻai pūnaewele, a laila hoʻouna ʻia i ka poʻe hoʻouka. ' kikowaena. I nā pae mua o ka hoʻouka ʻana me ka hoʻohana ʻana i ka FakeSecurity, ua loaʻa nā palapala hōʻino a me nā ʻīpuka sniffer iā lākou iho ma ka magento-security[.]org domain.

Hiki i nā Sniffers: pehea i hoʻopili ai ka ʻohana FakeSecurity i nā hale kūʻai pūnaewele
Ma hope o kekahi mau MagentoUa loaʻa nā pūnaewele i loaʻa i ka maʻi e ka ʻohana sniffer like, akā i kēia manawa ua hoʻohana nā mea hoʻouka i nā inoa kikowaena hou e hoʻokipa i ke code ʻino:

  • fiswedbesign[.]com
  • alloaypparel[.]com

Ua hoʻopaʻa inoa ʻia kēia mau inoa inoa ʻelua i ka leka uila like greenstreethunter@india[.]com. Ua kuhikuhi ʻia ka helu wahi like i ka wā e hoʻopaʻa inoa ai i ka inoa domain ʻekolu firstofbanks[.]com.Hiki i nā Sniffers: pehea i hoʻopili ai ka ʻohana FakeSecurity i nā hale kūʻai pūnaewele

Ke noi aku nei makou

Ua hōʻike ʻia kahi loiloi o ʻekolu mau kikowaena hou i hoʻohana ʻia e ka hui hewa FakeSecurity ua komo kekahi o lākou i kahi hoʻolaha hoʻolaha malware i hoʻomaka ma Malaki 2019. Ua hāʻawi ka poʻe hoʻouka i nā loulou i nā ʻaoʻao i ʻōlelo ʻia e pono ka mea hoʻohana e hoʻokomo i kahi plugin nalowale e hōʻike pololei i ka palapala. Inā hoʻomaka ka mea hoʻohana e hoʻoiho i ka palapala noi, ua loaʻa kā lākou kamepiula i ka malware ʻaihue password.

Hiki i nā Sniffers: pehea i hoʻopili ai ka ʻohana FakeSecurity i nā hale kūʻai pūnaewele
Ua ʻike ʻia he 11 mau loulou kūʻokoʻa i alakaʻi i nā ʻaoʻao hoʻopunipuni e paipai ana i ka mea hoʻohana e hoʻokomo i ka malware.

  • hxxps://www.etodoors.com/uploads/Statement00534521[.]html
  • hxxps://www.healthcare4all.co.uk/manuals/Statement00534521[.]html
  • hxxps://www.healthcare4all.co.uk/lib/Statement001845[.]html
  • hxxps://www.healthcare4all.co.uk/doc/BankStatement001489232[.]html
  • hxxp://verticalinsider.com/bookmarks/Bank_Statement0052890[.]html
  • hxxp://thepinetree.net/n/docs/Statement00159701[.]html
  • hxxps://www.readicut.co.uk/media/pdf/Bank_Statement00334891[.]html
  • hxxp://www.e-cig.com/doc/pdf/eStmt[.]html
  • hxxps://www.genstattu.com/doc/PoliceStatement001854[.]html
  • hxxps://www.tokyoflash.com/pdf/statment001854[.]html
  • hxxps://www.readicut.co.uk/media/pdf/statment00789[.]html

Loaʻa ka leka uila spam i loaʻa kahi loulou i kahi ʻaoʻao pae mua. ʻO kēia ʻaoʻao he palapala HTML liʻiliʻi me kahi iframe, ka mea i hoʻouka ʻia mai ka ʻaoʻao pae ʻelua. ʻO ka ʻaoʻao pae ʻelua he ʻaoʻao pae ʻāina me ka ʻike e paipai i ka mea loaʻa e hoʻokomo i kahi faila hiki ke hoʻokō. I ka hihia o kēia hoʻolaha ʻino, ua hoʻohana nā mea hoʻouka i kahi ʻaoʻao pae me ke kumumanaʻo o ka hoʻokomo ʻana i kahi plugin nalo no Adobe Reader, no laila ua hoʻohālikelike ka ʻaoʻao pae mua i kahi loulou i kahi faila PDF i wehe ʻia ma ke ʻano nānā pūnaewele ma kahi polokalamu kele. Aia ka ʻaoʻao pae ʻelua i kahi loulou i kahi faila ʻino i puʻunaue ʻia ma ke ʻano o kahi hoʻolaha hoʻoweliweli, e hoʻoiho ʻia ke kaomi ʻana i ke pihi. Hoʻoiho i ka plugin.

Ua hōʻike ʻia kahi loiloi o nā ʻaoʻao i hoʻohana ʻia i kēia hoʻolaha ʻana i ka maʻamau o nā ʻaoʻao pae ʻelua ma nā kāʻei o ka poʻe hoʻouka kaua, ʻoiai ʻo ka ʻaoʻao pae mua a me ka faila hewa i loaʻa pinepine ʻia ma nā pūnaewele e-commerce hacked.

Hoʻohālike ʻaoʻao no ka hoʻolaha ʻana i nā polokalamu kino

Ma o ka spam, loaʻa ka loulou i kahi faila HTML, no ka laʻana, hxxps://www.healthcare4all[.]co[.]uk/manuals/Statement00534521[.]html. Aia ka waihona HTML ma ka loulou i kahi mea iframe me kahi loulou i ka ʻike nui o ka ʻaoʻao; i kēia laʻana, aia ka ʻaoʻao ma hxxps://alloaypparel[.]com/view/public/Statement00534521/PDF/Statement001854[.]pdf. E like me kā mākou e ʻike ai mai kēia hiʻohiʻona, i kēia hihia ua hoʻohana nā mea hoʻouka i kahi kikowaena i hoʻopaʻa ʻia, ʻaʻole kahi pūnaewele hacked, e kau i ka ʻaoʻao ʻaoʻao. Aia ma ka loulou i hōʻike ʻia ma kēia loulou, aia kahi pihi Hoʻoiho i ka plugin. Inā kaomi ka mea pepehi i kēia pihi, e hoʻoiho ʻia ka faila hoʻokō mai ka loulou i kuhikuhi ʻia ma ka code ʻaoʻao; i kēia laʻana, hoʻoiho ʻia ka faila hoʻokō mai ka loulou hxxps://www.healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe, ʻo ia hoʻi, mālama ʻia ka faila ʻino ma ka pūnaewele hacked.

"Mephistopheles" o ko kakou manawa

Kānāwai Kūlana alloaypparel[.]com Ua hōʻike ʻia ua hoʻohana ʻia ka Mephistophilus phishing kit e puʻunaue i ka polokalamu kino, e hiki ai iā ʻoe ke hana a hoʻopololei i nā ʻaoʻao phishing e hoʻohele i ka polokalamu kino: Hoʻohana ʻo Mephistophilus i kekahi mau ʻano o nā ʻaoʻao pae e paipai i ka mea hoʻohana e hoʻokomo i kahi plugin i manaʻo ʻia e nalowale e pono ai ka noi e hana. ʻOiaʻiʻo, e hoʻokomo ʻia ka mea hoʻohana i ka malware, kahi loulou i hoʻohui ʻia e ka mea hoʻohana ma o ka Mephistophilus administrative panel.

Ua kūʻai ʻia ka ʻōnaehana hoʻouka phishing me ka Mephistophilus ma nā ʻaha kūkā ma lalo o ʻAukake 2016. ʻO kēia kahi hoʻopunipuni phishing maʻamau me ka hoʻohana ʻana i nā pūnaewele hoʻopunipuni e hāʻawi ana i ka hoʻoiho ʻana i nā polokalamu ma lalo o ke ʻano o ka hoʻonui ʻana i kahi plugin (MS Word, MS Excel, PDF, YouTube) e nānā i nā ʻike o kahi palapala a i ʻole ʻaoʻao. Ua hoʻomohala ʻia a hoʻokuʻu ʻia ʻo Mephistophilus e ka mea hoʻohana i ka forum underground Kokain. No ka hoʻopōmaikaʻi ʻana i ka hoʻohana ʻana i kahi pahu phishing, pono ka mea hoʻouka e hoʻowalewale i ka mea hoʻohana e kaomi i kahi loulou e alakaʻi ana i kahi ʻaoʻao i hana ʻia e Mephistophilus. Ma waho aʻe o ke kumuhana o ka ʻaoʻao phishing, e ʻike ʻia kahi leka e hōʻike ana he pono ʻoe e hoʻokomo i ka plugin nalo e hōʻike pololei i kahi palapala pūnaewele a i ʻole wikiō YouTube. No ka hana ʻana i kēia, loaʻa iā Mephistophilus nā ʻano ʻaoʻao phishing e hoʻohālike i nā lawelawe kūpono:

  • Nānā palapala pūnaewele no Microsoft Office365 Word a i ʻole Excel
  • Nānā PDF ma ka pūnaewele
  • ʻO ka ʻaoʻao clone lawelawe YouTube

Hiki i nā Sniffers: pehea i hoʻopili ai ka ʻohana FakeSecurity i nā hale kūʻai pūnaewele

Nā pōʻino

Ma ke ʻano o ka hoʻopaʻapaʻa ʻino, ʻaʻole i kaupalena ka hui hewa iā ia iho i ka hoʻohana ʻana i nā inoa inoa inoa ponoʻī: e mālama i nā laʻana o nā faila hewa i hoʻolaha ʻia, ua hoʻohana pū nā mea hoʻouka i kekahi mau pūnaewele kūʻai pūnaewele i loaʻa mua i ka sniffer FakeSecurity.

Ua ʻike ʻia he 5 mau loulou kūikawā i 5 mau laʻana polokalamu ʻino kūikawā, a ua mālama ʻia he 4 o ia mau mea ma nā pūnaewele i hacked ʻia e holo ana i ka CMS. Magento:

  • hxxps://www.healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe
  • hxxps://www.genstattu[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
  • hxxps://firstofbanks[.]com/file_d/Adobe-Reader-PDF-Plugin-2.35.8.exe
  • hxxp://e-cig[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
  • hxxp://thepinetree[.]net/docs/msw070619.exe

ʻO nā laʻana malware i hoʻolaha ʻia ma kēia hoʻolaha ʻana he mau laʻana o ka mea ʻaihue Vidar, i hoʻolālā ʻia e ʻaihue i nā ʻōlelo huna mai nā polokalamu kele pūnaewele a me kekahi mau noi. Hiki iā ia ke hōʻiliʻili i nā faila e like me nā ʻāpana i ʻōlelo ʻia a hoʻoili iā lākou i ka papa hoʻokele, kahi e maʻalahi ai, no ka laʻana, e ʻaihue i nā faila mai nā wallets cryptocurrency. Hoʻokomo ʻo Vidar i ka malware-as-a-service: hoʻoili ʻia nā ʻikepili i hōʻiliʻili ʻia i ka ʻīpuka, a laila hoʻouna ʻia i kahi papa hoʻokele centralized, kahi e hiki ai i kēlā me kēia mea kūʻai ʻaihue ke nānā i nā lāʻau i hele mai mai nā kamepiula maʻi.

Aihue Hiki

Ua ʻike ʻia ka mea ʻaihue Vidar i Nowemapa 2018. Ua hoʻomohala ʻia a hoʻokuʻu ʻia no ke kūʻai aku ma nā ʻaha kūkā ma lalo o ka honua e kahi mea hoʻohana ma lalo o ka pseudonym Loadbaks. Wahi a ka wehewehe ʻana o ka mea hoʻomohala, hiki iā Vidar ke ʻaihue i nā ʻōlelo huna mai nā mākaʻikaʻi, nā faila me ka hoʻohana ʻana i kekahi mau ala a me nā masks, ka ʻikepili kāleka panakō, nā faila ʻeke anuanu, Telegram a me Skype nā leka, a me ka pūnaewele kipa moʻolelo mai nā mākaʻikaʻi. ʻO ke kumukūʻai hoʻolimalima no ka mea ʻaihue mai $250 a i $300 i kēlā me kēia mahina. Aia ka papa hoʻomalu o ka mea ʻaihue a me nā kikowaena i hoʻohana ʻia ma ke ʻano he puka ma nā kikowaena o nā mea kākau Vidar, e hōʻemi ana i nā kumukūʻai hoʻolālā no nā mea kūʻai.

Hiki i nā Sniffers: pehea i hoʻopili ai ka ʻohana FakeSecurity i nā hale kūʻai pūnaewele
I ka hihia o kahi faila hewa msw070619.exe, ma waho aʻe o ka hoʻolaha ʻia ʻana me ka hoʻohana ʻana i ka ʻaoʻao pae ʻāina ʻo Mephistophilus, ua ʻike pū ʻia kahi faila DOC ʻino. BankStatement0040918404.doc (MD5: 1b8a824074b414419ac10f5ded847ef1), nāna i hoʻokuʻu i kēia faila hiki ke hoʻokō i ka disk me ka hoʻohana ʻana i nā macros. faila DOC BankStatement0040918404.doc ua hoʻopili ʻia ma ke ʻano he hoʻopili i nā leka uila ʻino i hoʻouna ʻia ma ke ʻano he ʻāpana o ka hoʻolaha ʻino.

Hiki i nā Sniffers: pehea i hoʻopili ai ka ʻohana FakeSecurity i nā hale kūʻai pūnaewele

Ka wehe ʻana i ka hoʻouka ʻana

Leta i ʻike ʻia (MD5: 53554192ca888cccbb5747e71825facd) ua hoʻouna ʻia i ka helu wahi o ka pūnaewele e holo ana i ka CMS Magento, mai laila mai hiki iā mākou ke hoʻoholo ʻo kekahi o nā pahuhopu o ka hoʻolaha ʻino ʻo ia nā luna hoʻomalu o nā hale kūʻai pūnaewele, a ʻo ka pahuhopu o ka maʻi ʻo ke komo ʻana i ka papa hoʻomalu Magento a me nā kahua e-commerce ʻē aʻe no ka hoʻokomo ʻana o kahi sniffer ma hope a me ka ʻaihue ʻana i ka ʻikepili o ka mea kūʻai aku mai nā hale kūʻai i loaʻa i ka maʻi.

Hiki i nā Sniffers: pehea i hoʻopili ai ka ʻohana FakeSecurity i nā hale kūʻai pūnaewele

No laila, ʻo ka papahana maʻi ma ke ʻano holoʻokoʻa i loaʻa i nā pae aʻe:

  1. Ua hoʻonoho ka poʻe hoʻouka kaua i ka papa hoʻokele Mephistophilus Phishing Kit ma luna o ka mea hoʻokipa alloaypparel[.]com.
  2. Ua hoʻokomo ka poʻe hoʻouka i ka malware ʻaihue ʻōlelo huna ma nā pūnaewele pono hacked a ma kā lākou pūnaewele ponoʻī.
  3. Me ka hoʻohana ʻana i kahi pahu phishing, ua hoʻonohonoho ka poʻe hoʻouka i kekahi mau ʻaoʻao pae e hoʻohele i nā polokalamu ʻino, a ua hana pū kekahi i nā palapala ʻino me kahi macro nāna i hoʻoiho i ka malware i ka kamepiula o ka mea hoʻohana.
  4. Ua alakaʻi ka poʻe hoʻouka i kahi hoʻolaha spam e hoʻouna i nā leka uila me nā mea hoʻopili ʻino, a me nā loulou i nā ʻaoʻao pae no ka hoʻokomo ʻana i ka malware. ʻO ka liʻiliʻi o kekahi o nā mea hoʻouka kaua he mau luna hoʻomalu o nā pūnaewele kūʻai pūnaewele.
  5. I ka wā i hoʻopilikia maikaʻi ʻia ai ka lolouila a ka luna hale kūʻai pūnaewele, ua hoʻohana ʻia nā hōʻoia i ʻaihue ʻia no ke komo ʻana i ka papa hoʻokele o ka hale kūʻai a hoʻokomo i kahi sniffer JS e ʻaihue i nā kāleka panakō o nā mea hoʻohana e uku ana ma ka pūnaewele maʻi.

Pili i nā hoʻouka ʻē aʻe

Ua hoʻonoho ʻia nā ʻōnaehana hoʻouka kaua ma kahi kikowaena me ka IP address 200.63.40.2, nona ka lawelawe hoʻolimalima kikowaena. Panamaservers[.]com. Ma mua o ka hoʻolaha FakeSecurity, ua hoʻohana ʻia kēia kikowaena no ka phishing, a me ka hoʻokipa ʻana i nā panela hoʻokele o nā papahana ʻino e ʻaihue i nā ʻōlelo huna.

Ma muli o nā kikoʻī o ka hoʻolaha FakeSecurity, hiki ke manaʻo ʻia ua hiki ke hoʻohana ʻia nā panela hoʻokele o nā mea ʻaihue Lokibot a me AZORULT, aia ma kēia kikowaena, i nā hoʻouka kaua ma mua e ka hui like ma Ianuali 2019. Wahi a kēiaʻatikala, Ma Ianuali 14, 2019, ua hoʻolaha nā mea hoʻouka kaua ʻike ʻole i ka Lokibot malware me ka hoʻohana ʻana i nā leka uila me kahi faila DOC maikaʻi ʻole ma ke ʻano he hoʻopili. ʻO Ianuali 18, 2019 kekahi hāpai i waho ka hāʻawi ʻana i nā palapala ʻino i hoʻokomo i ka polokalamu kino AZORULT. Ua hōʻike ʻia ka nānā ʻana o kēia hoʻolaha i nā panela hoʻokele e kū nei ma kahi kikowaena me ka IP address 200.63.40.2:

  • http[:]//chuxagama[.]com/web-obtain/Panel/five/PvqDq929BSx_A_D_M1n_a.php (Lokibot)
  • http[:]//umbra-diego[.]com/wp/Panel/five/PvqDq929BSx_A_D_M1n_a.php (Lokibot)
  • http[:]//chuxagama[.]com/web-obtain/Panel/five/index.php (AZORUlt)

Ua hoʻopaʻa inoa ʻia nā inoa kikowaena chuxagama[.]com a me umbra-diego[.]com e ka mea hoʻohana like me ka leka uila dicksonfletcher@gmail.com. Ua hoʻohana ʻia ka helu helu like e hoʻopaʻa inoa i ka inoa domain worldcourrierservices[.]com i Mei 2016, a laila hoʻohana ʻia ma ke ʻano he pūnaewele no ka hui hoʻopunipuni World Courier Service.

Ma muli o ke ʻano o ka hoʻouka kaua hewa ʻana o FakeSecurity, ua hoʻohana ka poʻe hoʻouka i ka malware e ʻaihue i nā ʻōlelo huna a hāʻawi ʻia ma o ka leka uila spam, a ua hoʻohana pū i kahi kikowaena me ka IP address 200.63.40.2, hiki ke manaʻo ʻia ʻo ka hoʻolaha ʻino o Ianuali. Ua hoʻokō ʻia ʻo 2019 i ka hui hewa like.

Nā Hōʻike

inoa faila Adobe-Reader-PDF-Plugin-2.37.2.exe

  • MD5 3ec1ac0be981ce6d3f83f4a776e37622
  • SHA-1 346d580ecb4ace858d71213808f4c75341a945c1
  • SHA-256 6ec8b7ce6c9858755964f94acdf618773275589024e2b66583e3634127b7e32c
  • Nui 615984

inoa faila Adobe-Reader-PDF-Plugin-2.31.4.exe

  • MD5 58476e1923de46cd4b8bee4cdeed0911
  • SHA-1 aafa9885b8b686092b003ebbd9aaf8e604eea3a6
  • SHA-256 15abc3f55703b89ff381880a10138591c6214dee7cc978b7040dd8b1e6f96297
  • Nui 578048

inoa faila Adobe-Reader-PDF-Plugin-2.35.8.exe

  • MD5 286096c7e3452aad4acdc9baf897fd0c
  • SHA-1 26d71553098b5c92b55e49db85c719f5bb366513
  • SHA-256 af04334369878408898a223e63ec50e1434c512bc21d919769c97964492fee19
  • Nui 1069056

inoa faila Adobe-Reader-PDF-Plugin-2.31.4.exe

  • MD5 fd0e11372a4931b262f0dd21cdc69c01
  • SHA-1 54d34b6a6c4dc78e62ad03713041891b6e7eb90f
  • SHA-256 4587da5dca2374fd824a15e434dae6630b24d6be6916418cee48589aa6145ef6
  • Nui 856576

Ka inoa faila msw070619.exe

  • MD5 772db176ff61e9addbffbb7e08d8b613
  • SHA-1 6ee62834ab3aa4294eebe4a9aebb77922429cb45
  • SHA-256 0660059f3e2fb2ab0349242b4dde6bf9e37305dacc2da870935f4bede78aed34
  • Nui 934448
  • fiswedbesign[.]com
  • alloaypparel[.]com
  • firstofbanks[.]com
  • magento-security[.]org
  • mage-security[.]org
  • https[:]//www[.]healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe
  • https[:]//www[.]genstattu[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
  • https[:]//firstofbanks[.]com/file_d/Adobe-Reader-PDF-Plugin-2.35.8.exe
  • http[:]//e-cig[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
  • http[:]//thepinetree[.]net/docs/msw070619.exe

Source: www.habr.com

E kūʻai i ka hoʻokipa hilinaʻi no nā pūnaewele me ka pale DDoS, nā kikowaena VPS VDS 🔥 E kūʻai i ka hoʻokipa pūnaewele hilinaʻi me ka pale DDoS, nā kikowaena VPS VDS | ProHoster