Szinte mindannyian használjuk az online áruházak szolgáltatásait, ami azt jelenti, hogy előbb-utóbb fennáll annak a veszélye, hogy JavaScript-szippantó áldozatává válunk – egy speciális kód, amelyet a támadók egy webhelyen implementálnak, hogy ellopják a felhasználók bankkártyaadatait, címeit, bejelentkezési adatait és jelszavait. .
A British Airways weboldalának és mobilalkalmazásának csaknem 400 ezer felhasználóját érintették már a szimatolók, valamint a FILA sportóriás és a Ticketmaster amerikai jegyforgalmazó brit weboldalának látogatóit. PayPal, Chase Paymenttech, USAePay, Moneris – ezek és sok más fizetési rendszer megfertőződött.
Viktor Okorokov, a Threat Intelligence Group-IB elemzője arról beszél, hogyan hatolnak be a szimatolók a webhely kódjába, és hogyan lopják el a fizetési információkat, valamint arról, hogy milyen CRM-eket támadnak meg.
"Rejtett fenyegetés"
Történt ugyanis, hogy a JS szippantói sokáig kimaradtak a vírusirtó elemzők látóköréből, a bankok és fizetési rendszerek pedig nem látták őket komoly fenyegetésnek. És teljesen hiába. Csoport-IB szakértők
Hadd tartsuk részletesen a tanulmány során vizsgált négy szippantó családot.
ReactGet család
A ReactGet család szippantóit használják bankkártyaadatok ellopására az online vásárlási oldalakon. A szippantó számos, az oldalon használt fizetési rendszerrel tud működni: egy paraméterérték egy fizetési rendszernek felel meg, és a szippantó egyes észlelt verziói felhasználhatók hitelesítő adatok ellopására, valamint bankkártya adatok ellopására a fizetésből. egyszerre több fizetési rendszer formái, mint például az univerzális szippantó. Megállapították, hogy bizonyos esetekben a támadók adathalász támadásokat hajtanak végre az online áruház adminisztrátorai ellen, hogy hozzáférjenek a webhely adminisztrációs paneljéhez.
2017 májusában kezdődött egy kampány a szippantó családdal; CMS-t és Magento, Bigcommerce és Shopify platformokat futtató webhelyeket támadtak meg.
Hogyan épül fel a ReactGet egy online áruház kódjába
A ReactGet szippantó család operátorai a szkript linken keresztüli „klasszikus” megvalósítása mellett egy speciális technikát alkalmaznak: JavaScript kód segítségével ellenőrzik, hogy az aktuális cím, ahol a felhasználó tartózkodik, megfelel-e bizonyos kritériumoknak. A rosszindulatú kód csak akkor fut le, ha az alkarakterlánc megtalálható az aktuális URL-ben kijelentkezés vagy egy lépéses fizetés, egy oldal/, out/onepag, pénztár/egy, ckout/egy. Így a szippantó kód pontosan abban a pillanatban kerül végrehajtásra, amikor a felhasználó fizet a vásárlásért, és beírja a fizetési információkat a webhelyen található űrlapba.
Ez a szippantó nem szabványos technikát használ. Az áldozat fizetési és személyes adatait együttesen gyűjtik és kódolják base64, majd az eredményül kapott karakterláncot paraméterként használják fel arra, hogy kérést küldjenek a támadók webhelyére. Leggyakrabban a kapu elérési útja például egy JavaScript-fájlt imitál ill.js, data.js és így tovább, de képfájlokra mutató hivatkozásokat is használnak, GIF и JPG. Különlegessége, hogy a szippantó 1 x 1 pixel méretű képobjektumot hoz létre, és paraméterként a korábban kapott hivatkozást használja. src Képek. Vagyis a felhasználó számára egy ilyen kérés a forgalomban úgy fog kinézni, mint egy közönséges kép kérése. Hasonló technikát alkalmaztak az ImageID szippantó családban is. Ezenkívül az 1 x 1 képpontos kép használatának technikáját számos legitim online analitikai szkript alkalmazza, ami szintén félrevezetheti a felhasználót.
Verzióelemzés
A ReactGet szippantó operátorok által használt aktív tartományok elemzése feltárta a szippantó család számos változatát. A verziók különböznek a zavarás meglétében vagy hiányában, és emellett minden szippantó egy adott fizetési rendszerhez készült, amely feldolgozza az online áruházak bankkártyás fizetését. A verziószámnak megfelelő paraméter értékét átválogatva az IB csoport szakemberei megkapták az elérhető szippantó-variációk teljes listáját, és az oldalkódban keresett űrlapmezők neve alapján azonosították a fizetési rendszereket. hogy a szippantó arra irányul.
A szimatolók listája és a hozzájuk tartozó fizetési rendszerek
Szippantó URL | Fizetési rendszer |
---|---|
|
Authorize.Net |
Cardsave | |
|
Authorize.Net |
Authorize.Net | |
|
eWAY Rapid |
Authorize.Net | |
adyen | |
|
USAePay |
Authorize.Net | |
USAePay | |
|
Authorize.Net |
MONERIS | |
USAePay | |
PayPal | |
Sage Pay | |
Verisign | |
PayPal | |
Stripe Index | |
|
Realex |
PayPal | |
LinkPoint | |
PayPal | |
PayPal | |
DataCash | |
|
PayPal |
|
Authorize.Net |
|
Authorize.Net |
Authorize.Net | |
Authorize.Net | |
|
Verisign |
|
Authorize.Net |
MONERIS | |
|
Sage Pay |
|
USAePay |
|
Authorize.Net |
|
Authorize.Net |
|
ANZ eGate |
|
Authorize.Net |
|
MONERIS |
|
Sage Pay |
Sage Pay | |
|
Chase Paymenttech |
|
Authorize.Net |
|
adyen |
PsiGate | |
Kiberforrás | |
ANZ eGate | |
Realex | |
|
USAePay |
|
Authorize.Net |
|
Authorize.Net |
|
ANZ eGate |
|
PayPal |
|
PayPal |
Realex | |
|
Sage Pay |
|
PayPal |
|
Verisign |
Authorize.Net | |
|
Verisign |
Authorize.Net | |
|
ANZ eGate |
PayPal | |
Kiberforrás | |
|
Authorize.Net |
|
Sage Pay |
Realex | |
|
Kiberforrás |
PayPal | |
PayPal | |
|
PayPal |
|
Verisign |
|
eWAY Rapid |
|
Sage Pay |
Sage Pay | |
|
Verisign |
Authorize.Net | |
Authorize.Net | |
|
Az első globális adatátjáró |
Authorize.Net | |
Authorize.Net | |
MONERIS | |
|
Authorize.Net |
|
PayPal |
|
Verisign |
|
USAePay |
USAePay | |
Authorize.Net | |
Verisign | |
PayPal | |
|
Authorize.Net |
Stripe Index | |
|
Authorize.Net |
eWAY Rapid | |
|
Sage Pay |
Authorize.Net | |
|
Braintree |
|
Braintree |
|
PayPal |
|
Sage Pay |
|
Sage Pay |
|
Authorize.Net |
|
PayPal |
|
Authorize.Net |
Verisign | |
|
PayPal |
|
Authorize.Net |
|
Stripe Index |
|
Authorize.Net |
eWAY Rapid | |
Sage Pay | |
|
Authorize.Net |
Braintree | |
|
PayPal |
|
Sage Pay |
Sage Pay | |
|
Authorize.Net |
PayPal | |
Authorize.Net | |
|
Verisign |
|
Authorize.Net |
|
Authorize.Net |
|
Authorize.Net |
|
Authorize.Net |
|
Sage Pay |
Sage Pay | |
|
Westpac PayWay |
|
fizetési forrás |
|
PayPal |
|
Authorize.Net |
|
Stripe Index |
|
Az első globális adatátjáró |
|
PsiGate |
Authorize.Net | |
Authorize.Net | |
|
MONERIS |
|
Authorize.Net |
Sage Pay | |
|
Verisign |
MONERIS | |
PayPal | |
|
LinkPoint |
|
Westpac PayWay |
Authorize.Net | |
|
MONERIS |
|
PayPal |
adyen | |
PayPal | |
Authorize.Net | |
USAePay | |
EBizCharge | |
|
Authorize.Net |
|
Verisign |
Verisign | |
Authorize.Net | |
|
PayPal |
|
MONERIS |
Authorize.Net | |
|
PayPal |
PayPal | |
Westpac PayWay | |
Authorize.Net | |
|
Authorize.Net |
Sage Pay | |
|
Verisign |
|
Authorize.Net |
|
PayPal |
|
fizetési forrás |
Kiberforrás | |
PayPal Payflow Pro | |
|
Authorize.Net |
|
Authorize.Net |
Verisign | |
|
Authorize.Net |
|
Authorize.Net |
Sage Pay | |
Authorize.Net | |
|
Stripe Index |
|
Authorize.Net |
Authorize.Net | |
Verisign | |
|
PayPal |
Authorize.Net | |
|
Authorize.Net |
Sage Pay | |
|
Authorize.Net |
|
Authorize.Net |
|
PayPal |
|
Kovakő |
|
PayPal |
Sage Pay | |
Verisign | |
|
Authorize.Net |
|
Authorize.Net |
|
Stripe Index |
|
Kövér Zebra |
Sage Pay | |
|
Authorize.Net |
Az első globális adatátjáró | |
|
Authorize.Net |
|
eWAY Rapid |
adyen | |
|
PayPal |
QuickBooks kereskedői szolgáltatások | |
Verisign | |
|
Sage Pay |
Verisign | |
|
Authorize.Net |
|
Authorize.Net |
Sage Pay | |
|
Authorize.Net |
|
eWAY Rapid |
Authorize.Net | |
|
ANZ eGate |
|
PayPal |
Kiberforrás | |
|
Authorize.Net |
Sage Pay | |
|
Realex |
Kiberforrás | |
|
PayPal |
|
PayPal |
|
PayPal |
|
Verisign |
eWAY Rapid | |
|
Sage Pay |
|
Sage Pay |
|
Verisign |
Authorize.Net | |
|
Authorize.Net |
|
Az első globális adatátjáró |
Authorize.Net | |
Authorize.Net | |
|
MONERIS |
|
Authorize.Net |
|
PayPal |
Jelszószippantás
A weboldal kliens oldalán dolgozó JavaScript szippantóknak az egyik előnye a sokoldalúság: a weboldalba ágyazott rosszindulatú kód bármilyen típusú adatot ellophat, legyen szó fizetési adatokról vagy egy felhasználói fiók bejelentkezési nevéről és jelszaváról. A Group-IB szakemberei a ReactGet családhoz tartozó szippantó mintát fedeztek fel, amelyet arra terveztek, hogy ellopja a webhely felhasználóinak e-mail címeit és jelszavait.
Kereszteződés az ImageID szimatolóval
Az egyik fertőzött üzlet elemzése során kiderült, hogy a honlapja kétszer is fertőzött: a ReactGet családi szippantó rosszindulatú kódja mellett az ImageID család szippantójának kódja is észlelhető volt. Ez az átfedés bizonyítéka lehet annak, hogy a két szippantó mögött álló operátorok hasonló technikákat használnak a rosszindulatú kód beszúrására.
Univerzális szippantó
A ReactGet sniffer infrastruktúrához társított egyik domain név elemzése feltárta, hogy ugyanaz a felhasználó három másik domain nevet is regisztrált. Ez a három domain a valós webhelyek domainjeit utánozta, és korábban szippantós fogadására használták. Három legitim oldal kódjának elemzésekor egy ismeretlen szippantót észleltek, és a további elemzések kimutatták, hogy ez a ReactGet szippantó továbbfejlesztett változata. Ennek a szippantó családnak az összes korábban felügyelt verziója egyetlen fizetési rendszerre irányult, vagyis minden fizetési rendszerhez szükség volt a szippantó egy speciális verziójára. Ebben az esetben azonban felfedezték a szippantó egy univerzális változatát, amely 15 különböző fizetési rendszerhez és e-kereskedelmi oldalak online fizetéshez szükséges moduljaihoz kapcsolódó űrlapokról képes információkat lopni.
Tehát a munka elején a szippantó az áldozat személyes adatait tartalmazó alapvető űrlapmezőket kereste: teljes név, lakcím, telefonszám.
A szippantó ezután 15 különböző előtagban keresett, amelyek a különböző fizetési rendszereknek és online fizetési moduloknak feleltek meg.
Ezt követően az áldozat személyes adatait és fizetési információit együttesen gyűjtötték, és elküldték a támadó által ellenőrzött oldalra: ebben a konkrét esetben az univerzális ReactGet szippantó két változatát fedezték fel, amelyek két különböző feltört oldalon találhatók. Azonban mindkét verzió ellopott adatokat küldött ugyanarra a feltört oldalra zoobashop.com.
Azon előtagok elemzése, amelyeket a szippantó az áldozat fizetési információit tartalmazó mezők keresésére használt, lehetővé tette számunkra, hogy megállapítsuk, hogy ez a szippantó minta a következő fizetési rendszerekre irányult:
- Authorize.Net
- Verisign
- Első adatok
- USAePay
- Stripe Index
- PayPal
- ANZ eGate
- Braintree
- DataCash (MasterCard)
- Realex fizetések
- PsiGate
- Heartland fizetési rendszerek
Milyen eszközöket használnak a fizetési információk ellopására?
Az első eszköz, amelyet a támadók infrastruktúrájának elemzése során fedeztek fel, a bankkártyák ellopásáért felelős rosszindulatú szkriptek elfedésére szolgál. A projekt CLI-jét használó bash szkriptet fedeztek fel a támadó egyik gazdagépén
A második felfedezett eszköz a fő szippantó betöltéséért felelős kód generálására szolgál. Ez az eszköz JavaScript kódot generál, amely a felhasználó aktuális címén karakterláncok után kutatva ellenőrzi, hogy a felhasználó a fizetési oldalon van-e kijelentkezés, Kosár és így tovább, és ha az eredmény pozitív, akkor a kód betölti a fő szippantót a támadók szerveréről. A rosszindulatú tevékenységek elrejtése érdekében az összes sor, beleértve a fizetési oldal meghatározására szolgáló tesztsorokat, valamint a szippantóra mutató hivatkozást, kódolással történik. base64.
Adathalász támadások
A támadók hálózati infrastruktúrájának elemzése során kiderült, hogy a bűnözői csoport gyakran használ adathalászatot, hogy hozzáférjen a megcélzott online áruház adminisztrációs paneljéhez. A támadók regisztrálnak egy olyan domaint, amely vizuálisan hasonlít egy üzlet domainjére, majd telepítenek rá egy hamis Magento adminisztrációs panel bejelentkezési űrlapot. Siker esetén a támadók hozzáférést kapnak a Magento CMS adminisztrációs paneljéhez, amely lehetőséget ad számukra a webhely összetevőinek szerkesztésére és a hitelkártyaadatok ellopására szolgáló szippantó alkalmazására.
Infrastruktúra
Домен | Felfedezés/megjelenés dátuma |
---|---|
mediapack.info | 04.05.2017 |
adsgetapi.com | 15.06.2017 |
simcounter.com | 14.08.2017 |
mageanalytics.com | 22.12.2017 |
maxstatics.com | 16.01.2018 |
reactjsapi.com | 19.01.2018 |
mxcounter.com | 02.02.2018 |
apitstatus.com | 01.03.2018 |
orderracker.com | 20.04.2018 |
tagstracking.com | 25.06.2018 |
adsapigate.com | 12.07.2018 |
trust-tracker.com | 15.07.2018 |
fbstatspartner.com | 02.10.2018 |
billgetstatus.com | 12.10.2018 |
www.aldenmlilhouse.com | 20.10.2018 |
baletbeautlful.com | 20.10.2018 |
bargalnjunkie.com | 20.10.2018 |
payselector.com | 21.10.2018 |
tagsmediaget.com | 02.11.2018 |
hs-payments.com | 16.11.2018 |
ordercheckpays.com | 19.11.2018 |
geisseie.com | 24.11.2018 |
gtmproc.com | 29.11.2018 |
livegetpay.com | 18.12.2018 |
sydneysalonsupplies.com | 18.12.2018 |
newrelicnet.com | 19.12.2018 |
nr-public.com | 03.01.2019 |
cloudodesc.com | 04.01.2019 |
ajaxstatic.com | 11.01.2019 |
livecheckpay.com | 21.01.2019 |
asianfoodgracer.com | 25.01.2019 |
G-Analytics család
Ez a szippantó család az online áruházak vásárlói kártyáinak ellopására szolgál. A csoport által használt legelső domain nevet 2016 áprilisában regisztrálták, ami arra utalhat, hogy a csoport 2016 közepén kezdte meg tevékenységét.
A jelenlegi kampányban a csoport olyan domain neveket használ, amelyek a valós szolgáltatásokat utánozzák, mint például a Google Analytics és a jQuery, és legitim szkriptekkel és a legálishoz hasonló domain nevekkel takarják el a szimatolók tevékenységét. A Magento CMS-t futtató webhelyeket megtámadták.
Hogyan épül fel a G-Analytics egy online áruház kódjába
A család megkülönböztető jellemzője, hogy különféle módszereket alkalmaznak a felhasználói fizetési információk ellopására. A klasszikus JavaScript kód befecskendezése mellett az oldal kliens oldalára a bűnözői csoport kódbefecskendezési technikákat is alkalmazott az oldal szerveroldalára, mégpedig a felhasználók által bevitt adatokat feldolgozó PHP szkripteket. Ez a technika veszélyes, mert megnehezíti a külső kutatók számára a rosszindulatú kódok észlelését. Az IB csoport szakemberei felfedezték a webhely PHP-kódjába ágyazott szippantó verzióját, amely egy domaint használ kapuként. dittm.org.
Felfedezték a szippantó korai változatát is, amely ugyanazt a tartományt használja a lopott adatok gyűjtésére dittm.org, de ez a verzió egy webáruház ügyféloldalára való telepítésre szolgál.
A csoport később taktikát változtatott, és inkább a rosszindulatú tevékenységek és az álcázás elrejtésére összpontosított.
2017 elején a csoport elkezdte használni a domaint jquery-js.com, a jQuery CDN-jeként álcázva: amikor a támadók webhelyére lép, a felhasználó átirányítja egy legitim webhelyre jquery.com.
2018 közepén pedig a csoport elfogadta a domain nevet g-analytics.com és elkezdte a szippantó tevékenységét legitim Google Analytics szolgáltatásnak álcázni.
Verzióelemzés
A szippantó kód tárolására használt tartományok elemzése során kiderült, hogy az oldal nagyszámú verziót tartalmaz, amelyek eltérnek a homályosság jelenlétében, valamint a figyelemelvonás érdekében a fájlhoz hozzáadott elérhetetlen kód jelenlétében vagy hiányában. és elrejti a rosszindulatú kódot.
Összesen az oldalon jquery-js.com A szippantóknak hat változatát azonosították. Ezek a szimatolók az ellopott adatokat egy olyan címre küldik, amely ugyanazon a webhelyen található, mint maga a szippantó: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Később domain g-analytics.com, amelyet a csoport 2018 közepe óta használ támadásokhoz, több szippantó tárházaként szolgál. Összesen a szippantó 16 különböző változatát fedezték fel. Ebben az esetben a lopott adatok küldésére szolgáló kaput egy képformátumra mutató hivatkozásnak álcázták GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Az ellopott adatok bevételszerzése
A bűnözői csoport az ellopott adatokból kártyákat értékesít egy speciálisan erre a célra kialakított földalatti üzleten keresztül, amely kártyásoknak nyújt szolgáltatásokat. A támadók által használt tartományok elemzése lehetővé tette számunkra ennek megállapítását google-analytics.cm ugyanaz a felhasználó regisztrálta, mint a domain cardz.vc. Tartomány cardz.vc egy ellopott bankkártyákat árusító Cardsurfs (Flysurfs) üzletre utal, amely még az AlphaBay földalatti kereskedési platform tevékenységének idejében vált népszerűvé, mint szippantó segítségével ellopott bankkártyákat árusító üzlet.
A domain elemzése elemző.is, amely ugyanazon a szerveren található, mint a snifferek által lopott adatok gyűjtésére használt domainek, az IB-csoport szakemberei felfedeztek egy cookie-lopó naplókat tartalmazó fájlt, amelyet a jelek szerint a fejlesztő később elhagyott. A napló egyik bejegyzése tartalmazott egy tartományt iozoz.com, amelyet korábban az egyik 2016-ban aktív szippantónál használtak. Feltehetően ezt a tartományt korábban egy támadó használta a szippantó segítségével ellopott kártyák összegyűjtésére. Ezt a domaint egy e-mail címre regisztrálták [e-mail védett], amelyet domainek regisztrálására is használtak cardz.su и cardz.vc, a Cardsurfs kártoló üzlethez kapcsolódóan.
A beszerzett adatok alapján feltételezhető, hogy a G-Analytics szippantó családot és a Cardsurfs bankkártyákat árusító földalatti üzletet ugyanazok a személyek kezelik, és az üzlet a szippantó segítségével ellopott bankkártyák értékesítésére szolgál.
Infrastruktúra
Домен | Felfedezés/megjelenés dátuma |
---|---|
iozoz.com | 08.04.2016 |
dittm.org | 10.09.2016 |
jquery-js.com | 02.01.2017 |
g-analytics.com | 31.05.2018 |
google-analytics.is | 21.11.2018 |
elemző.hoz | 04.12.2018 |
google-analytics.to | 06.12.2018 |
google-analytics.cm | 28.12.2018 |
elemző.is | 28.12.2018 |
googlc-analytics.cm | 17.01.2019 |
Illum család
Az Illum egy szippantó család, amelyet a Magento CMS-t futtató online áruházak megtámadására használnak. A rosszindulatú kódok bevezetése mellett a szippantó üzemeltetői teljes értékű hamis fizetési formák bevezetését is használják, amelyek adatokat küldenek a támadók által ellenőrzött kapukra.
A szippantó üzemeltetői által használt hálózati infrastruktúra elemzésekor nagyszámú rosszindulatú szkriptet, kihasználást, hamis fizetési űrlapot, valamint a versenytársak rosszindulatú szippantóival kapcsolatos példák gyűjteményét vették észre. A csoport által használt domain nevek megjelenési dátumaira vonatkozó információk alapján feltételezhető, hogy a kampány 2016 végén kezdődött.
Hogyan épül fel az Illum egy online áruház kódjába
A felfedezett szippantó első verzióit közvetlenül a feltört webhely kódjába ágyazták be. Az ellopott adatokat a címre küldték cdn.illum[.]pw/records.phpsegítségével kódolták a kaput base64.
Később felfedezték a szippantó csomagolt változatát, amely egy másik kaput használ - records.nstatistics[.]com/records.php.
Szerint
A támadók weboldalának elemzése
Az IB csoport szakemberei felfedeztek és elemeztek egy weboldalt, amelyet ez a bűnözői csoport használt eszközök tárolására és lopott információk gyűjtésére.
A támadók szerverén talált eszközök között szerepeltek szkriptek és kihasználások a Linux operációs rendszer jogosultságainak növelésére: például a Mike Czumak által fejlesztett Linux Privilege Escalation Check Script, valamint a CVE-2009-1185 kizsákmányolása.
A támadók két exploitot használtak közvetlenül az online áruházak megtámadására:
Ezenkívül a szerver elemzése során különféle szippantó mintákat és hamis fizetési űrlapokat fedeztek fel, amelyeket a támadók arra használtak, hogy fizetési információkat gyűjtsenek a feltört webhelyekről. Amint az alábbi listából is látható, egyes szkriptek minden feltört webhelyhez külön-külön készültek, míg egyes CMS-ekhez és fizetési átjárókhoz univerzális megoldást használtak. Például szkriptek segapay_standart.js и segapay_onpage.js A Sage Pay fizetési átjárót használó webhelyeken való megvalósításra tervezték.
Különféle fizetési átjárók szkripteinek listája
Forgatókönyv | Fizetési átjáró |
---|---|
|
//request.payrightnow[.]cf/checkpayment.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
//request.payrightnow[.]cf/checkpayment.php | |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//cdn.illum[.]pw/records.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
//request.payrightnow[.]cf/checkpayment.php | |
|
//cdn.illum[.]pw/records.php |
//payrightnow[.]cf/?payment= | |
|
//payrightnow[.]cf/?payment= |
|
//paymentnow[.]tk/?payment= |
Házigazda fizetés most[.]tk, forgatókönyvben kapuként használják payment_forminsite.js, fedezték fel, mint tárgyAltName több, a CloudFlare szolgáltatáshoz kapcsolódó tanúsítványban. Ezenkívül a fogadó tartalmazott egy forgatókönyvet evil.js. A szkript nevéből ítélve a CVE-2016-4010 kiaknázásának részeként használható, aminek köszönhetően lehetőség van rosszindulatú kódok beszúrására egy CMS Magento-t futtató oldal láblécébe. A házigazda ezt a szkriptet használta kapunak request.requestnet[.]tkugyanazt a tanúsítványt használja, mint a gazdagép fizetés most[.]tk.
Hamis fizetési űrlapok
Az alábbi ábra egy példát mutat be a kártyaadatok megadására szolgáló űrlapra. Ezt az űrlapot arra használták, hogy behatoljanak egy online áruházba, és ellopják a kártyaadatokat.
A következő ábra egy hamis PayPal fizetési űrlapra mutat példát, amelyet a támadók azzal a fizetési móddal való behatolásra használtak fel.
Infrastruktúra
Домен | Felfedezés/megjelenés dátuma |
---|---|
cdn.illum.pw | 27/11/2016 |
records.nstatistics.com | 06/09/2018 |
request.payrightnow.cf | 25/05/2018 |
fizetés most.tk | 16/07/2017 |
fizetési vonal.tk | 01/03/2018 |
paypal.cf | 04/09/2017 |
requestnet.tk | 28/06/2017 |
CoffeeMokko család
Legalább 2017 májusa óta használatban van a CoffeMokko szippantó család, amelyet arra terveztek, hogy bankkártyákat lopjanak el az online boltok felhasználóitól. Feltehetően ennek a szippantó családnak az üzemeltetői a RiskIQ szakemberei által 1-ban leírt, Group 2016 bűnözői csoport. Megtámadták az olyan CMS-eket futtató webhelyeket, mint a Magento, az OpenCart, a WordPress, az osCommerce és a Shopify.
Hogyan épül fel a CoffeMokko egy online áruház kódjába
A család operátorai minden fertőzéshez egyedi szippantót hoznak létre: a szippantó fájl a könyvtárban található src vagy js a támadók szerverén. Az oldalkódba való beépítés a szippantóhoz mutató közvetlen linken keresztül történik.
A szippantó kód keményen kódolja azon űrlapmezők nevét, amelyekből adatokat kell ellopni. A szippantó azt is ellenőrzi, hogy a felhasználó a fizetési oldalon tartózkodik-e a kulcsszavak listájában a felhasználó aktuális címével.
A szippantó egyes felfedezett verzióit elhomályosították, és egy titkosított karakterláncot tartalmaztak, amelyben az erőforrások fő tömbje tárolódott: tartalmazta a különböző fizetési rendszerek űrlapmezőinek nevét, valamint azt a kapucímet, amelyre az ellopott adatokat el kell küldeni.
Az ellopott fizetési információkat útközben elküldték a támadók szerverén található szkriptnek /savePayment/index.php vagy /tr/index.php. Feltehetően ezt a szkriptet arra használják, hogy adatokat küldjenek a kapuról a fő szerverre, amely az összes szippantótól származó adatokat konszolidálja. A továbbított adatok elrejtéséhez az áldozat összes fizetési információja titkosítva van base64, majd több karaktercsere történik:
- az "e" karakter helyére ":"
- a "w" szimbólum helyére "+"
- az "o" karakter helyére "%"
- a "d" karakter helyére "#"
- az "a" karakter helyére "-"
- a "7" szimbólum helyébe "^"
- a "h" karakter helyére "_"
- a "T" szimbólum helyére "@"
- a "0" karakter helyére "/"
- az "Y" karakter helyére "*"
használatával kódolt karaktercserék eredményeként base64 Az adatok fordított átalakítás nélkül nem dekódolhatók.
Így néz ki a szippantó kód egy olyan töredéke, amelyet nem sikerült elhomályosítani:
Infrastruktúra elemzés
A korai kampányokban a támadók a legális online vásárlási oldalakéhoz hasonló domainneveket regisztráltak. Domainjük egy-egy szimbólum vagy másik TLD eltérhet a legitim tartománytól. A bejegyzett domaineket használták a szippantó kód tárolására, amelyre mutató hivatkozást beágyaztak az üzlet kódjába.
Ez a csoport a népszerű jQuery bővítményekre emlékeztető domain neveket is használt (slickjs[.]org a beépülő modult használó webhelyekhez slick.js), fizetési átjárók (sagecdn[.]org a Sage Pay fizetési rendszert használó webhelyek esetében).
Később a csoport olyan domaineket kezdett létrehozni, amelyek nevének semmi köze nem volt az üzlet domainjéhez vagy az üzlet témájához.
Minden domain egy webhelynek felelt meg, amelyen a címtár létrejött /js vagy /src. A sniffer szkriptek ebben a könyvtárban voltak tárolva: egy szippantó minden új fertőzéshez. A szippantó egy közvetlen linken keresztül beágyazódott a webhely kódjába, de ritka esetekben a támadók módosították a webhely valamelyik fájlját, és rosszindulatú kódot adtak hozzá.
Kódelemzés
Az első homályos algoritmus
Az ebbe a családba tartozó szippantókra feltárt néhány példányban a kódot elhomályosították, és titkosított adatokat tartalmazott, amelyek a szippantó működéséhez szükségesek: különösen a szippantó kapu címe, a fizetési űrlap mezőinek listája, és néhány esetben egy hamis kód kódja. fizetési forma. A függvényen belüli kódban az erőforrásokat a segítségével titkosították XOR ugyanazon függvénynek argumentumként átadott kulccsal.
A karakterlánc megfelelő, minden mintához egyedi kulccsal történő visszafejtésével olyan karakterláncot kaphat, amely a szippantó kódból származó összes karakterláncot tartalmazza elválasztó karakterrel elválasztva.
Második obfuszkációs algoritmus
Az ebbe a családba tartozó szippantókra készült későbbi mintákban másfajta elhomályosítási mechanizmust alkalmaztak: ebben az esetben az adatokat egy saját írású algoritmussal titkosították. A szippantó működéséhez szükséges titkosított adatokat tartalmazó karakterlánc argumentumként került átadásra a visszafejtő funkciónak.
A böngészőkonzol segítségével visszafejtheti a titkosított adatokat, és megszerezheti a szippantó erőforrásokat tartalmazó tömböt.
Kapcsolódás a korai MageCart támadásokhoz
A csoport által a lopott adatok gyűjtésére szolgáló átjáróként használt egyik domain elemzése során kiderült, hogy ez a tartomány a hitelkártya-lopásra szolgáló infrastruktúrát telepítette, amely megegyezik az első csoportok egyike, az 1. csoportéval,
Két fájlt találtak a CoffeMokko szippantó család gazdáján:
- mage.js — 1. csoportba tartozó szippantó kódot tartalmazó fájl kapucímmel js-cdn.link
- mag.php — A szippantó által ellopott adatok összegyűjtéséért felelős PHP szkript
A mage.js fájl tartalma
Azt is megállapították, hogy a CoffeMokko szippantócsalád mögött álló csoport által használt legkorábbi domaineket 17. május 2017-én regisztrálták:
- link-js[.]link
- info-js[.]link
- track-js[.]link
- map-js[.]link
- smart-js[.]link
Ezeknek a tartományneveknek a formátuma megegyezik a 1-os támadásoknál használt 2016. csoportba tartozó tartománynevekkel.
A feltárt tények alapján feltételezhető, hogy kapcsolat áll fenn a CoffeMokko szippantásosok üzemeltetői és a Group 1 bűnözői csoport között. Feltehetően a CoffeMokko üzemeltetői eszközöket és szoftvereket kölcsönözhettek elődeiktől kártyák ellopásához. Valószínűbb azonban, hogy a CoffeMokko szippantócsalád használatának hátterében ugyanazok a bűnözői csoportok állnak, akik az 1. csoport támadásait követték el. A bűnözői csoport tevékenységéről szóló első jelentés közzététele óta minden domain nevük blokkolt, és az eszközöket részletesen tanulmányozták és leírták. A csoport kénytelen volt szünetet tartani, finomítani belső eszközeiket és átírni a szippantó kódot, hogy folytathassa támadásait, és észrevétlen maradjon.
Infrastruktúra
Домен | Felfedezés/megjelenés dátuma |
---|---|
link-js.link | 17.05.2017 |
info-js.link | 17.05.2017 |
track-js.link | 17.05.2017 |
map-js.link | 17.05.2017 |
smart-js.link | 17.05.2017 |
adorebeauty.org | 03.09.2017 |
security-payment.su | 03.09.2017 |
braincdn.org | 04.09.2017 |
sagecdn.org | 04.09.2017 |
slickjs.org | 04.09.2017 |
oakandfort.org | 10.09.2017 |
citywlnery.org | 15.09.2017 |
dobell.su | 04.10.2017 |
childrensplayclothing.org | 31.10.2017 |
jewsondirect.com | 05.11.2017 |
shop-rnib.org | 15.11.2017 |
closetlondon.org | 16.11.2017 |
misshaus.org | 28.11.2017 |
Battery-force.org | 01.12.2017 |
kik-vape.org | 01.12.2017 |
greatfurnituretradingco.org | 02.12.2017 |
etradesupply.org | 04.12.2017 |
cseremyremote.org | 04.12.2017 |
all-about-sneakers.org | 05.12.2017 |
mage-checkout.org | 05.12.2017 |
nililotan.org | 07.12.2017 |
lamoodbighat.net | 08.12.2017 |
walletgear.org | 10.12.2017 |
dahlie.org | 12.12.2017 |
davidsfootwear.org | 20.12.2017 |
blackriverimaging.org | 23.12.2017 |
exrpesso.org | 02.01.2018 |
parks.su | 09.01.2018 |
pmtonline.su | 12.01.2018 |
otocap.org | 15.01.2018 |
christohperward.org | 27.01.2018 |
coffetea.org | 31.01.2018 |
energycoffe.org | 31.01.2018 |
energytea.org | 31.01.2018 |
teacoffe.net | 31.01.2018 |
adaptivecss.org | 01.03.2018 |
coffemokko.com | 01.03.2018 |
londontea.net | 01.03.2018 |
ukcoffe.com | 01.03.2018 |
labbe.biz | 20.03.2018 |
batterynart.com | 03.04.2018 |
btosports.net | 09.04.2018 |
chicksaddlery.net | 16.04.2018 |
paypaypay.org | 11.05.2018 |
ar500arnor.com | 26.05.2018 |
Authorizecdn.com | 28.05.2018 |
slickmin.com | 28.05.2018 |
bannerbuzz.info | 03.06.2018 |
kandypens.net | 08.06.2018 |
mylrendyphone.com | 15.06.2018 |
freshchat.info | 01.07.2018 |
3lift.org | 02.07.2018 |
abtasty.net | 02.07.2018 |
mechat.info | 02.07.2018 |
zoplm.com | 02.07.2018 |
zapaljs.com | 02.09.2018 |
foodandcot.com | 15.09.2018 |
freshdepor.com | 15.09.2018 |
swappastore.com | 15.09.2018 |
verywellfitnesse.com | 15.09.2018 |
elegrina.com | 18.11.2018 |
Majsurplus.com | 19.11.2018 |
top5value.com | 19.11.2018 |
Forrás: will.com