Prèske tout moun nan nou sèvi ak sèvis yo nan magazen sou entènèt, ki vle di ke pi bonè oswa pita nou kouri risk pou yo vin yon viktim JavaScript sniffers - kòd espesyal ke atakè yo aplike sou yon sit entènèt yo vòlè done kat labank, adrès, koneksyon ak modpas itilizatè yo. .
Prèske 400 itilizatè sit entènèt British Airways ak aplikasyon mobil yo te deja afekte pa sniffer yo, osi byen ke vizitè sou sit entènèt Britanik la nan jeyan espò FILA ak distribitè Ticketmaster Ameriken an. PayPal, Chase Paymenttech, USAePay, Moneris - sa yo ak anpil lòt sistèm peman yo te enfekte.
Menas Entèlijans Group-IB analis Viktor Okorokov pale sou fason sniffer yo enfiltre kòd sit entènèt ak vòlè enfòmasyon peman, osi byen ke sa CRM yo atake.
"Menas kache"
Sa te rive pou yon tan long JS sniffer yo te rete deyò nan je analis anti-viris, ak bank ak sistèm peman pa t 'wè yo kòm yon menas grav. Ak konplètman pou gremesi. Gwoup-IB ekspè 2440 magazen sou entènèt ki enfekte, ki gen vizitè yo - yon total apeprè 1,5 milyon moun pa jou - yo te nan risk pou yo konpwomi. Pami viktim yo se pa sèlman itilizatè yo, men tou magazen sou entènèt, sistèm peman ak bank ki bay kat konpwomèt.
Group-IB te vin premye etid nan mache darknet pou sniffers, enfrastrikti yo ak metòd monetizasyon, ki pote kreyatè yo dè milyon de dola. Nou idantifye 38 fanmi sniffers, nan yo se sèlman 12 yo te deja konnen chèchè yo.
Se pou nou rete an detay sou kat fanmi sniffer yo etidye pandan etid la.
ReactGet Fanmi
Sniffer nan fanmi ReactGet yo itilize pou vòlè done kat labank sou sit fè makèt sou entènèt. Sniffer a ka travay ak yon gwo kantite diferan sistèm peman yo itilize sou sit la: yon valè paramèt koresponn ak yon sèl sistèm peman, epi yo ka itilize vèsyon endividyèl detekte nan sniffer la pou vòlè kalifikasyon, osi byen ke pou vòlè done kat labank nan peman. fòm plizyè sistèm peman an menm tan, tankou sa yo rele sniffer inivèsèl la. Yo te jwenn ke nan kèk ka, atakè fè atak èskrokri sou administratè magazen sou entènèt yo nan lòd yo jwenn aksè nan panèl administratif sit la.
Yon kanpay ki sèvi ak fanmi sniffer sa yo te kòmanse nan mwa me 2017; sit ki te kouri CMS ak Magento, Bigcommerce, ak Shopify platfòm yo te atake.
Ki jan ReactGet aplike nan kòd la nan yon magazen sou entènèt
Anplis de aplikasyon "klasik" nan yon script atravè yon lyen, operatè yo nan fanmi ReactGet nan sniffer yo sèvi ak yon teknik espesyal: lè l sèvi avèk kòd JavaScript, yo tcheke si adrès aktyèl la kote itilizatè a ye satisfè sèten kritè. Kòd move a pral sèlman egzekite si substring la prezan nan URL aktyèl la kesye oswa yon sèl etap kesye, yon paj/, soti/onepag, kesye/yon sèl, ckout/yon sèl. Kidonk, kòd sniffer la pral egzekite egzakteman nan moman itilizatè a kontinye peye pou acha epi antre enfòmasyon sou peman an nan fòm lan sou sit la.
Sniffer sa a sèvi ak yon teknik ki pa estanda. Peman viktim nan ak done pèsonèl yo kolekte ansanm ak kode lè l sèvi avèk base64, ak Lè sa a, se fisèl ki kapab lakòz yo itilize kòm yon paramèt voye yon demann sou sit entènèt atakè yo. Pi souvan, chemen ki mennen nan pòtay la imite yon dosye JavaScript, pou egzanp resp.js, data.js ak sou sa, men lyen ki mennen nan dosye imaj yo tou itilize, GIF и JPG. Singularité a se ke sniffer la kreye yon objè imaj ki mezire 1 pa 1 pixel epi li sèvi ak lyen ki te deja resevwa a kòm yon paramèt. src Imaj. Sa vle di, pou itilizatè a tankou yon demann nan trafik pral sanble ak yon demann pou yon foto òdinè. Yon teknik menm jan an te itilize nan fanmi ImageID de sniffers. Anplis de sa, teknik pou itilize yon imaj 1 pa 1 pixel yo itilize nan anpil scripts analiz lejitim sou entènèt, ki ka twonpe itilizatè a tou.
Analiz vèsyon an
Analiz domèn aktif operatè ReactGet sniffer yo te revele anpil vèsyon diferan nan fanmi sniffer sa yo. Vèsyon yo diferan nan prezans oswa absans ofiskasyon, epi anplis, chak sniffer fèt pou yon sistèm peman espesifik ki trete peman kat labank pou magazen sou entènèt. Apre yo fin klase valè paramèt ki koresponn ak nimewo vèsyon an, espesyalis Gwoup-IB yo te resevwa yon lis konplè varyasyon sniffer ki disponib yo, ak non jaden fòm chak sniffer ap chèche nan kòd paj la, yo te idantifye sistèm peman yo. ke sniffer la vize.
Lis sniffer ak sistèm peman korespondan yo
| Sniffer URL | Sistèm peman |
|---|---|
| Authorize.Net | |
| Cardsave | |
| Authorize.Net | |
| Authorize.Net | |
| eWAY Rapid | |
| Authorize.Net | |
| Adyen | |
| USAePay | |
| Authorize.Net | |
| USAePay | |
| Authorize.Net | |
| Moneris | |
| USAePay | |
| PayPal | |
| SagePay | |
| vèrisiy | |
| PayPal | |
| reye | |
| Realex | |
| PayPal | |
| LinkPoint | |
| PayPal | |
| PayPal | |
| DataCash | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| vèrisiy | |
| Authorize.Net | |
| Moneris | |
| SagePay | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| Authorize.Net | |
| Moneris | |
| SagePay | |
| SagePay | |
| Sou entènèt jwèt Chase Paymentech | |
| Authorize.Net | |
| Adyen | |
| PsiGate | |
| Sous Cyber | |
| ANZ eGate | |
| Realex | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| Realex | |
| SagePay | |
| PayPal | |
| vèrisiy | |
| Authorize.Net | |
| vèrisiy | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Sous Cyber | |
| Authorize.Net | |
| SagePay | |
| Realex | |
| Sous Cyber | |
| PayPal | |
| PayPal | |
| PayPal | |
| vèrisiy | |
| eWAY Rapid | |
| SagePay | |
| SagePay | |
| vèrisiy | |
| Authorize.Net | |
| Authorize.Net | |
| Premye done Global Gateway | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| PayPal | |
| vèrisiy | |
| USAePay | |
| USAePay | |
| Authorize.Net | |
| vèrisiy | |
| PayPal | |
| Authorize.Net | |
| reye | |
| Authorize.Net | |
| eWAY Rapid | |
| SagePay | |
| Authorize.Net | |
| Braintree | |
| Braintree | |
| PayPal | |
| SagePay | |
| SagePay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| vèrisiy | |
| PayPal | |
| Authorize.Net | |
| reye | |
| Authorize.Net | |
| eWAY Rapid | |
| SagePay | |
| Authorize.Net | |
| Braintree | |
| PayPal | |
| SagePay | |
| SagePay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| vèrisiy | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| SagePay | |
| Westpac PayWay | |
| PayFort | |
| PayPal | |
| Authorize.Net | |
| reye | |
| Premye done Global Gateway | |
| PsiGate | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| SagePay | |
| vèrisiy | |
| Moneris | |
| PayPal | |
| LinkPoint | |
| Westpac PayWay | |
| Authorize.Net | |
| Moneris | |
| PayPal | |
| Adyen | |
| PayPal | |
| Authorize.Net | |
| USAePay | |
| EBizCharge | |
| Authorize.Net | |
| vèrisiy | |
| vèrisiy | |
| Authorize.Net | |
| PayPal | |
| Moneris | |
| Authorize.Net | |
| PayPal | |
| PayPal | |
| Westpac PayWay | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| vèrisiy | |
| Authorize.Net | |
| PayPal | |
| PayFort | |
| Sous Cyber | |
| PayPal Payflow Pro | |
| Authorize.Net | |
| Authorize.Net | |
| vèrisiy | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| reye | |
| Authorize.Net | |
| Authorize.Net | |
| vèrisiy | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| Authorize.Net | |
| PayPal | |
| Flint | |
| PayPal | |
| SagePay | |
| vèrisiy | |
| Authorize.Net | |
| Authorize.Net | |
| reye | |
| Grès zèb | |
| SagePay | |
| Authorize.Net | |
| Premye done Global Gateway | |
| Authorize.Net | |
| eWAY Rapid | |
| Adyen | |
| PayPal | |
| Sèvis Machann QuickBooks | |
| vèrisiy | |
| SagePay | |
| vèrisiy | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| eWAY Rapid | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Sous Cyber | |
| Authorize.Net | |
| SagePay | |
| Realex | |
| Sous Cyber | |
| PayPal | |
| PayPal | |
| PayPal | |
| vèrisiy | |
| eWAY Rapid | |
| SagePay | |
| SagePay | |
| vèrisiy | |
| Authorize.Net | |
| Authorize.Net | |
| Premye done Global Gateway | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| PayPal |
Modpas sniffer
Youn nan avantaj ki genyen nan JavaScript sniffer k ap travay sou bò kliyan nan yon sit entènèt se adaptabilite yo: kòd move entegre sou yon sit entènèt ka vòlè nenpòt kalite done, kit se done peman oswa login ak modpas nan yon kont itilizatè. Espesyalis Group-IB yo te dekouvri yon echantiyon yon sniffer ki fè pati fanmi ReactGet, ki fèt pou vòlè adrès imel ak modpas itilizatè sit la.
Entèseksyon ak ImageID sniffer
Pandan analiz la nan youn nan magazen ki enfekte yo, yo te jwenn ke sit li a te enfekte de fwa: anplis kòd la move nan sniffer fanmi ReactGet la, yo te detekte kòd nan sniffer fanmi ImageID. Sipèpoze sa a ta ka prèv ke operatè yo dèyè tou de sniffer yo itilize teknik menm jan an pou enjekte kòd move.
Sniffer inivèsèl
Yon analiz de youn nan non domèn ki asosye ak enfrastrikti sniffer ReactGet te revele ke menm itilizatè a te anrejistre twa lòt non domèn. Twa domèn sa yo te imite domèn nan sit entènèt reyèl e yo te deja itilize pou òganize sniffers. Lè w ap analize kòd twa sit lejitim yo, yo te detekte yon sniffer enkoni, e plis analiz te montre ke se te yon vèsyon amelyore ReactGet sniffer la. Tout vèsyon ki te deja kontwole nan fanmi sa a nan sniffer yo te vize a yon sistèm peman sèl, se sa ki, chak sistèm peman mande pou yon vèsyon espesyal nan sniffer la. Sepandan, nan ka sa a, yo te dekouvri yon vèsyon inivèsèl nan sniffer ki kapab vòlè enfòmasyon ki soti nan fòm ki gen rapò ak 15 sistèm peman diferan ak modil sit e-commerce pou fè peman sou entènèt.
Se konsa, nan kòmansman travay la, sniffer la te chèche pou jaden fòm debaz ki gen enfòmasyon pèsonèl viktim nan: non konplè, adrès fizik, nimewo telefòn.
Lè sa a, sniffer a chèche plis pase 15 prefiks diferan ki koresponn ak diferan sistèm peman ak modil peman sou entènèt.
Apre sa, done pèsonèl viktim nan ak enfòmasyon peman yo te kolekte ansanm epi voye yo nan yon sit kontwole pa atakè a: nan ka patikilye sa a, yo te dekouvri de vèsyon inivèsèl ReactGet sniffer, ki chita sou de sit diferan rache. Sepandan, tou de vèsyon yo te voye done yo vòlè sou sit la menm rache zoobashop.com.
Analiz de prefiks sniffer la te itilize pou chèche jaden ki gen enfòmasyon peman viktim nan te pèmèt nou detèmine echantiyon sniffer sa a te vize sou sistèm peman sa yo:
- Authorize.Net
- vèrisiy
- Premye Done
- USAePay
- reye
- PayPal
- ANZ eGate
- Braintree
- DataCash (MasterCard)
- Peman Realex
- PsiGate
- Sistèm Peman Heartland
Ki zouti yo itilize pou vòlè enfòmasyon peman?
Premye zouti ki te dekouvri pandan analiz enfrastrikti atakè yo itilize pou bouche scripts move ki responsab vòl kat labank yo. Yon script bash ki itilize CLI pwojè a te dekouvri sou youn nan lame atakè a otomatize ofiskasyon nan kòd sniffer.
Dezyèm zouti dekouvri a fèt pou jenere kòd ki responsab pou chaje sniffer prensipal la. Zouti sa a jenere kòd JavaScript ki tcheke si itilizatè a sou paj peman an lè li chèche adrès aktyèl itilizatè a pou kòd. kesye, kabwa ak sou sa, epi si rezilta a se pozitif, Lè sa a, kòd la chaje sniffer prensipal la nan sèvè atakè yo. Pou kache aktivite move, tout liy, ki gen ladan liy tès pou detèmine paj peman an, ansanm ak yon lyen ki mennen nan sniffer la, yo kode lè l sèvi avèk base64.
Atak èskrokri
Yon analiz de enfrastrikti rezo atakan yo revele ke gwoup kriminèl la souvan itilize èskrokri pou jwenn aksè nan panèl administratif magazen an sou entènèt sib. Atakè yo anrejistre yon domèn ki vizyèlman sanble ak domèn yon magazen, epi answit deplwaye yon fo fòm login nan panèl administrasyon Magento sou li. Si yo reyisi, atakè yo pral jwenn aksè nan panèl administratif Magento CMS la, ki ba yo opòtinite pou yo modifye eleman sit entènèt yo epi aplike yon sniffer pou vòlè done kat kredi.
Enfrastrikti
| Domèn | Dat dekouvèt/aparans |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagstracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trust-tracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
Fanmi G-Analytics
Fanmi sniffer sa yo itilize pou vòlè kat kliyan nan magazen sou entènèt. Premye non domèn gwoup la te anrejistre nan mwa avril 2016, sa ki ka endike ke gwoup la te kòmanse aktivite nan mitan ane 2016 la.
Nan kanpay aktyèl la, gwoup la sèvi ak non domèn ki imite sèvis lavi reyèl, tankou Google Analytics ak jQuery, maske aktivite sniffers ak scripts lejitim ak non domèn menm jan ak sa yo lejitim. Sit ki kouri Magento CMS yo te atake.
Ki jan G-Analytics aplike nan kòd la nan yon magazen sou entènèt
Yon karakteristik diferan nan fanmi sa a se itilizasyon divès metòd pou vòlè enfòmasyon peman itilizatè yo. Anplis de piki klasik nan kòd JavaScript nan bò kliyan an nan sit la, gwoup kriminèl la tou te itilize teknik piki kòd nan bò sèvè a nan sit la, sètadi PHP Scripts ki trete done itilizatè-antre. Teknik sa a danjere paske li fè li difisil pou chèchè twazyèm pati yo detekte kòd move. Espesyalis Gwoup-IB yo te dekouvri yon vèsyon yon sniffer entegre nan kòd PHP sit la, lè l sèvi avèk yon domèn kòm yon pòtay. dittm.org.
Yon vèsyon byen bonè nan yon sniffer te dekouvri tou ki itilize menm domèn nan kolekte done yo vòlè li dittm.org, men vèsyon sa a fèt pou enstalasyon sou bò kliyan nan yon magazen sou entènèt.
Gwoup la pita chanje taktik li yo e li te kòmanse konsantre plis sou kache aktivite move ak kamouflaj.
Nan kòmansman 2017, gwoup la te kòmanse itilize domèn nan jquery-js.com, Masquerading kòm yon CDN pou jQuery: lè yo ale nan sit la nan atakè yo, itilizatè a redireksyon sou yon sit lejitim. jquery.com.
Ak nan mitan-2018, gwoup la te adopte non an domèn g-analytics.com epi yo te kòmanse degize aktivite sniffer la kòm yon sèvis Google Analytics lejitim.
Analiz vèsyon an
Pandan analiz la nan domèn yo itilize nan magazen kòd sniffer, li te jwenn ke sit la gen yon gwo kantite vèsyon, ki diferan nan prezans offuscation, osi byen ke prezans oswa absans nan kòd inaccessible ajoute nan dosye a distrè atansyon. epi kache kòd move.
Total sou sit la jquery-js.com Yo te idantifye sis vèsyon sniffers. Sniffer sa yo voye done yo vòlè yo nan yon adrès ki sitiye sou sit entènèt la menm ak sniffer la li menm: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Pita domèn g-analytics.com, itilize pa gwoup la nan atak depi mitan-2018, sèvi kòm yon depo pou plis sniffers. An total, 16 vèsyon diferan nan sniffer la te dekouvri. Nan ka sa a, pòtay la pou voye done yo vòlè li te degize kòm yon lyen nan yon fòma imaj GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Monetizasyon done yo vòlè li
Gwoup kriminèl la monetize done yo vòlè yo nan vann kat atravè yon magazen anba tè ki te kreye espesyalman ki bay sèvis pou carders. Analiz de domèn yo itilize pa atakè yo te pèmèt nou detèmine sa google-analytics.cm te anrejistre pa menm itilizatè a ak domèn nan cardz.vc. Domèn cardz.vc refere a yon magazen ki vann kat labank vòlè Cardsurfs (Flysurfs), ki te vin tounen popilarite nan jou yo nan aktivite a nan AlphaBay nan platfòm komès anba tè kòm yon magazen vann kat labank vòlè lè l sèvi avèk yon sniffer.
Analize domèn nan analyse.is, ki chita sou menm sèvè a ak domèn yo itilize pa sniffer yo kolekte done yo vòlè, espesyalis Group-IB dekouvri yon dosye ki gen mòso bwa vòlè bonbon, ki sanble yo te abandone pita pa pwomotè a. Youn nan antre yo nan boutèy la te genyen yon domèn iozoz.com, ki te deja itilize nan youn nan sniffer yo aktif nan 2016. Sipoze, domèn sa a te deja itilize pa yon atakè pou kolekte kat yo vòlè lè l sèvi avèk yon sniffer. Domèn sa a te anrejistre nan yon adrès imel [imèl pwoteje], ki te itilize tou pou anrejistre domèn cardz.su и cardz.vc, ki gen rapò ak Cardsurfs magazen an kat.
Ki baze sou done yo jwenn, li ka sipoze ke fanmi an G-Analytics nan sniffer ak magazen an anba tè vann kat labank Cardsurfs yo jere pa menm moun yo, epi yo se magazen an itilize yo vann kat labank yo vòlè li lè l sèvi avèk sniffer la.
Enfrastrikti
| Domèn | Dat dekouvèt/aparans |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| analyse.to | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| analyse.is | 28.12.2018 |
| googlc-analytics.cm | 17.01.2019 |
Fanmi Illum
Illum se yon fanmi sniffer yo itilize pou atake boutik sou entènèt ki kouri Magento CMS la. Anplis de sa nan entwodwi kòd move, operatè yo nan sniffer sa a tou itilize entwodiksyon an nan fòm plen véritable peman fo ki voye done nan pòtay kontwole pa atakè yo.
Lè w ap analize enfrastrikti rezo operatè yo nan sniffer sa a, yo te note yon gwo kantite scripts move, eksplwatasyon, fòm peman fo, osi byen ke yon koleksyon egzanp ak sniffer move soti nan konpetitè yo te note. Dapre enfòmasyon sou dat yo parèt nan non domèn yo itilize pa gwoup la, li ka sipoze ke kanpay la te kòmanse nan fen 2016.
Ki jan Illum aplike nan kòd la nan yon magazen sou entènèt
Premye vèsyon sniffer yo dekouvri yo te entegre dirèkteman nan kòd sit konpwomèt la. Done yo vòlè yo te voye bay cdn.illum[.]pw/records.php, pòtay la te kode lè l sèvi avèk base64.
Apre sa, yo te dekouvri yon vèsyon pake nan sniffer la ki sèvi ak yon pòtay diferan - records.nstatistics[.]com/records.php.
Dapre Willem de Groot, lame a menm te itilize nan sniffer a, ki te aplike sou , ki posede pa pati politik Alman CSU.
Analiz sit entènèt atakan yo
Espesyalis Group-IB yo te dekouvri epi analize yon sit entènèt gwoup kriminèl sa a itilize pou sere zouti epi kolekte enfòmasyon yo vòlè li.
Pami zouti yo te jwenn sou sèvè atakè yo te genyen scripts ak exploits pou ogmante privilèj yo nan OS Linux: pa egzanp, Linux Privilèj Escalation Check Script devlope pa Mike Czumak, osi byen ke yon exploit pou CVE-2009-1185.
Atakè yo te itilize de exploit dirèkteman pou atake magazen sou entènèt: kapab enjekte kòd move nan core_config_data pa eksplwate CVE-2016-4010, eksplwate yon vilnerabilite RCE nan grefon pou CMS Magento, ki pèmèt kòd abitrè yo dwe egzekite sou yon sèvè entènèt vilnerab.
Epitou, pandan analiz sèvè a, yo te dekouvri echantiyon divès kalite sniffer ak fo peman, atakè yo itilize pou kolekte enfòmasyon sou peman nan sit rache. Kòm ou ka wè nan lis ki anba a, kèk scripts te kreye endividyèlman pou chak sit rache, pandan y ap yon solisyon inivèsèl te itilize pou sèten CMS ak pòtay peman. Pou egzanp, scripts segapay_standart.js и segapay_onpage.js fèt pou aplikasyon sou sit lè l sèvi avèk pòtay peman Sage Pay.
Lis scripts pou plizyè pòtay peman
| Script | Passerelle peman |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdierenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_forminsite.js | //paymentnow[.]tk/?payment= |
Lame paymentnow[.]tk, itilize kòm yon pòtay nan yon script payment_forminsite.js, te dekouvri kòm subjectAltName nan plizyè sètifika ki gen rapò ak sèvis CloudFlare la. Anplis de sa, lame a te genyen yon script evil.js. Jije pa non an nan script la, li ta ka itilize kòm yon pati nan eksplwatasyon an nan CVE-2016-4010, gras a ki li se posib yo enjekte kòd move nan pye a nan yon sit ki kouri CMS Magento. Lame a te itilize script sa a kòm yon pòtay demand.requestnet[.]tkitilize menm sètifika ak lame a paymentnow[.]tk.
Fòm peman fo
Figi ki anba a montre yon egzanp yon fòm pou antre done kat. Fòm sa a te itilize pou enfiltre yon magazen sou entènèt ak vòlè done kat.
Figi sa a montre yon egzanp yon fo fòm peman PayPal ke atakè yo te itilize pou enfiltre sit ak metòd peman sa a.
Enfrastrikti
| Domèn | Dat dekouvèt/aparans |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| demann.payrightnow.cf | 25/05/2018 |
| paymentnow.tk | 16/07/2017 |
| pay-line.tk | 01/03/2018 |
| paypal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
CoffeeMokko fanmi
Fanmi sniffer CoffeMokko, ki fèt pou vòlè kat labank nan men itilizatè magazen sou entènèt yo, te itilize depi omwen me 2017. Sipoze, operatè yo nan fanmi sa a nan sniffer yo se gwoup kriminèl Gwoup 1, ki dekri pa espesyalis RiskIQ nan 2016. Sit ki gen CMS tankou Magento, OpenCart, WordPress, osCommerce, ak Shopify te atake.
Ki jan CoffeMokko aplike nan kòd la nan yon magazen sou entènèt
Operatè fanmi sa a kreye sniffer inik pou chak enfeksyon: fichye sniffer la sitiye nan anyè a. src oswa js sou sèvè atakè yo. Enkòporasyon nan kòd sit la fèt atravè yon lyen dirèk nan sniffer la.
Kòd sniffer la code non jaden fòm kote yo bezwen vòlè done yo. Sniffer la tcheke tou si itilizatè a sou paj peman an lè li tcheke lis mo kle yo ak adrès aktyèl itilizatè a.
Gen kèk vèsyon dekouvri nan sniffer la te obfuscate epi yo te genyen yon fisèl chiffres nan ki etalaj prensipal la nan resous yo te estoke: li te genyen non yo nan jaden fòm pou divès sistèm peman, osi byen ke adrès la pòtay kote done yo yo ta dwe voye yo.
Yo te voye enfòmasyon peman yo vòlè yo nan yon script sou sèvè atakè yo sou wout la /savePayment/index.php oswa /tr/index.php. Sipoze, se script sa a itilize pou voye done ki soti nan pòtay la nan sèvè prensipal la, ki konsolide done ki sòti nan tout sniffers. Pou kache done yo transmèt yo, tout enfòmasyon peman viktim nan chiffres lè l sèvi avèk base64, ak Lè sa a, plizyè sibstitisyon karaktè rive:
- karaktè "e" a ranplase ak ":"
- senbòl "w" ranplase ak "+"
- karaktè "o" a ranplase ak "%"
- karaktè "d" la ranplase ak "#"
- karaktè "a" ranplase ak "-"
- senbòl "7" ranplase ak "^"
- karaktè "h" ranplase ak "_"
- senbòl "T" la ranplase ak "@"
- karaktè "0" ranplase pa "/"
- karaktè "Y" la ranplase ak "*"
Kòm yon rezilta nan sibstitisyon karaktè kode lè l sèvi avèk base64 Done yo pa ka dekode san yo pa fè konvèsyon an ranvèse.
Men ki jan yon fragman nan kòd sniffer ki pa te obfuscate sanble:
Analiz enfrastrikti
Nan premye kanpay yo, atakè yo te anrejistre non domèn menm jan ak sa yo nan sit makèt sou entènèt lejitim. Domèn yo ta ka diferan de lejitim youn pa yon senbòl oswa yon lòt TLD. Domèn anrejistre yo te itilize nan magazen kòd sniffer, yon lyen ki te entegre nan kòd magazen an.
Gwoup sa a tou te itilize non domèn ki raple plugins popilè jQuery (slickjs[.]org pou sit ki itilize plugin a slick.js), pòtay peman (sagecdn[.]org pou sit ki itilize sistèm peman Sage Pay).
Apre sa, gwoup la te kòmanse kreye domèn ki gen non pa gen anyen fè ak domèn magazen an oswa tèm magazen an.
Chak domèn koresponn ak yon sit kote yo te kreye anyè a /js oswa /src. Scripts sniffer yo te estoke nan anyè sa a: yon sniffer pou chak nouvo enfeksyon. Sniffer la te entegre nan kòd sit entènèt la atravè yon lyen dirèk, men nan ka ki ra, atakè yo modifye youn nan fichye sit entènèt yo epi ajoute kòd move nan li.
Analiz Kòd
Premye algorithm obfuscation
Nan kèk echantiyon dekouvri nan sniffer nan fanmi sa a, yo te kòd la obfuscate epi li te genyen done chiffres ki nesesè pou sniffer la travay: an patikilye, adrès la pòtay sniffer, yon lis jaden fòm peman, ak nan kèk ka, kòd la nan yon fo. fòm peman. Nan kòd la andedan fonksyon an, resous yo te chiffres lè l sèvi avèk XOR pa kle ki te pase kòm yon agiman nan menm fonksyon an.
Lè w dechifre fisèl la ak kle ki apwopriye a, inik pou chak echantiyon, ou ka jwenn yon fisèl ki gen tout fisèl ki soti nan kòd la sniffer separe pa yon karaktè séparateur.
Dezyèm algorithm obfuscation
Nan echantiyon pita nan sniffer nan fanmi sa a, yo te itilize yon mekanis offuskasyon diferan: nan ka sa a, done yo te chiffres lè l sèvi avèk yon algorithm pwòp tèt ou-ekri. Yo te pase yon fisèl ki gen done chiffres ki nesesè pou sniffer a fonksyone kòm yon agiman nan fonksyon dechifre.
Sèvi ak konsole navigatè a, ou ka dechifre done yo chiffres epi jwenn yon etalaj ki gen resous sniffer.
Koneksyon ak atak MageCart bonè
Pandan analiz youn nan domèn gwoup la te itilize kòm yon pòtay pou kolekte done yo vòlè, yo te jwenn domèn sa a te òganize yon enfrastrikti pou vòl kat kredi, ki idantik ak sa ki te itilize pa Gwoup 1, youn nan premye gwoup yo, pa espesyalis RiskIQ.
De dosye yo te jwenn sou lame a nan fanmi an CoffeMokko nan sniffer:
- mage.js — dosye ki genyen kòd sniffer Gwoup 1 ak adrès pòtay la js-cdn.link
- mag.php — Script PHP ki responsab pou kolekte done sniffer la vòlè
Sa ki nan fichye mage.js la
Yo te detèmine tou ke premye domèn yo te itilize pa gwoup la dèyè fanmi CoffeMokko nan sniffer yo te anrejistre nan dat 17 me 2017:
- lyen-js[.]lyen
- info-js[.]link
- track-js[.]link
- map-js[.]lyen
- smart-js[.]link
Fòma non domèn sa yo matche ak non domèn Gwoup 1 yo te itilize nan atak 2016 yo.
Dapre reyalite yo dekouvri, li ka sipoze ke gen yon koneksyon ant operatè yo nan sniffer CoffeMokko yo ak gwoup kriminèl Gwoup 1 la. Sipoze, operatè CoffeMokko te kapab prete zouti ak lojisyèl nan men predesesè yo pou vòlè kat. Sepandan, li gen plis chans ke gwoup kriminèl ki dèyè itilizasyon fanmi CoffeMokko nan sniffer yo se menm moun ki te fè atak Gwoup 1. Apre piblikasyon premye rapò sou aktivite gwoup kriminèl la, tout non domèn yo te genyen. bloke ak zouti yo te etidye an detay ak dekri. Gwoup la te oblije pran yon ti repo, rafine zouti entèn li yo ak reekri kòd sniffer yo nan lòd yo kontinye atak li yo epi yo pa detekte.
Enfrastrikti
| Domèn | Dat dekouvèt/aparans |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| sekirite-peman.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimmaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parks.su | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffeetea.org | 31.01.2018 |
| energycoffe.org | 31.01.2018 |
| energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| authorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitnesse.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
Sous: www.habr.com