Szinte mindannyian használjuk az online áruházak szolgáltatásait, ami azt jelenti, hogy előbb-utóbb fennáll annak a veszélye, hogy JavaScript-szippantó áldozatává válunk – egy speciális kód, amelyet a támadók egy webhelyen implementálnak, hogy ellopják a felhasználók bankkártyaadatait, címeit, bejelentkezési adatait és jelszavait. .
A British Airways weboldalának és mobilalkalmazásának csaknem 400 ezer felhasználóját érintették már a szimatolók, valamint a FILA sportóriás és a Ticketmaster amerikai jegyforgalmazó brit weboldalának látogatóit. PayPal, Chase Paymenttech, USAePay, Moneris – ezek és sok más fizetési rendszer megfertőződött.
Viktor Okorokov, a Threat Intelligence Group-IB elemzője arról beszél, hogyan hatolnak be a szimatolók a webhely kódjába, és hogyan lopják el a fizetési információkat, valamint arról, hogy milyen CRM-eket támadnak meg.
"Rejtett fenyegetés"
Történt ugyanis, hogy a JS szippantói sokáig kimaradtak a vírusirtó elemzők látóköréből, a bankok és fizetési rendszerek pedig nem látták őket komoly fenyegetésnek. És teljesen hiába. Csoport-IB szakértők 2440 fertőzött webáruház, amelyek látogatóit – összesen mintegy napi 1,5 millió embert – fenyegette a kompromisszum. Az áldozatok között nemcsak felhasználók vannak, hanem online áruházak, fizetési rendszerek és bankok is, amelyek feltört kártyákat bocsátottak ki.
A Group-IB lett az első tanulmány a snifferek darknet piacáról, infrastruktúrájukról és bevételszerzési módszereikről, ami több millió dollárt hoz az alkotóiknak. 38 szippantó családot azonosítottunk, amelyek közül korábban csak 12-t ismertek a kutatók.
Hadd tartsuk részletesen a tanulmány során vizsgált négy szippantó családot.
ReactGet család
A ReactGet család szippantóit használják bankkártyaadatok ellopására az online vásárlási oldalakon. A szippantó számos, az oldalon használt fizetési rendszerrel tud működni: egy paraméterérték egy fizetési rendszernek felel meg, és a szippantó egyes észlelt verziói felhasználhatók hitelesítő adatok ellopására, valamint bankkártya adatok ellopására a fizetésből. egyszerre több fizetési rendszer formái, mint például az univerzális szippantó. Megállapították, hogy bizonyos esetekben a támadók adathalász támadásokat hajtanak végre az online áruház adminisztrátorai ellen, hogy hozzáférjenek a webhely adminisztrációs paneljéhez.
2017 májusában kezdődött egy kampány a szippantó családdal; CMS-t és Magento, Bigcommerce és Shopify platformokat futtató webhelyeket támadtak meg.
Hogyan épül fel a ReactGet egy online áruház kódjába
A ReactGet szippantó család operátorai a szkript linken keresztüli „klasszikus” megvalósítása mellett egy speciális technikát alkalmaznak: JavaScript kód segítségével ellenőrzik, hogy az aktuális cím, ahol a felhasználó tartózkodik, megfelel-e bizonyos kritériumoknak. A rosszindulatú kód csak akkor fut le, ha az alkarakterlánc megtalálható az aktuális URL-ben kijelentkezés vagy egy lépéses fizetés, egy oldal/, out/onepag, pénztár/egy, ckout/egy. Így a szippantó kód pontosan abban a pillanatban kerül végrehajtásra, amikor a felhasználó fizet a vásárlásért, és beírja a fizetési információkat a webhelyen található űrlapba.
Ez a szippantó nem szabványos technikát használ. Az áldozat fizetési és személyes adatait együttesen gyűjtik és kódolják base64, majd az eredményül kapott karakterláncot paraméterként használják fel arra, hogy kérést küldjenek a támadók webhelyére. Leggyakrabban a kapu elérési útja például egy JavaScript-fájlt imitál ill.js, data.js és így tovább, de képfájlokra mutató hivatkozásokat is használnak, GIF и JPG. Különlegessége, hogy a szippantó 1 x 1 pixel méretű képobjektumot hoz létre, és paraméterként a korábban kapott hivatkozást használja. src Képek. Vagyis a felhasználó számára egy ilyen kérés a forgalomban úgy fog kinézni, mint egy közönséges kép kérése. Hasonló technikát alkalmaztak az ImageID szippantó családban is. Ezenkívül az 1 x 1 képpontos kép használatának technikáját számos legitim online analitikai szkript alkalmazza, ami szintén félrevezetheti a felhasználót.
Verzióelemzés
A ReactGet szippantó operátorok által használt aktív tartományok elemzése feltárta a szippantó család számos változatát. A verziók különböznek a zavarás meglétében vagy hiányában, és emellett minden szippantó egy adott fizetési rendszerhez készült, amely feldolgozza az online áruházak bankkártyás fizetését. A verziószámnak megfelelő paraméter értékét átválogatva az IB csoport szakemberei megkapták az elérhető szippantó-variációk teljes listáját, és az oldalkódban keresett űrlapmezők neve alapján azonosították a fizetési rendszereket. hogy a szippantó arra irányul.
A szimatolók listája és a hozzájuk tartozó fizetési rendszerek
| Szippantó URL | Fizetési rendszer |
|---|---|
| Authorize.Net | |
| Cardsave | |
| Authorize.Net | |
| Authorize.Net | |
| eWAY Rapid | |
| Authorize.Net | |
| adyen | |
| USAePay | |
| Authorize.Net | |
| USAePay | |
| Authorize.Net | |
| MONERIS | |
| USAePay | |
| PayPal | |
| Sage Pay | |
| Verisign | |
| PayPal | |
| Stripe Index | |
| Realex | |
| PayPal | |
| LinkPoint | |
| PayPal | |
| PayPal | |
| DataCash | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| MONERIS | |
| Sage Pay | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| Authorize.Net | |
| MONERIS | |
| Sage Pay | |
| Sage Pay | |
| Chase Paymenttech | |
| Authorize.Net | |
| adyen | |
| PsiGate | |
| Kiberforrás | |
| ANZ eGate | |
| Realex | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| Realex | |
| Sage Pay | |
| PayPal | |
| Verisign | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Kiberforrás | |
| Authorize.Net | |
| Sage Pay | |
| Realex | |
| Kiberforrás | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Rapid | |
| Sage Pay | |
| Sage Pay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Az első globális adatátjáró | |
| Authorize.Net | |
| Authorize.Net | |
| MONERIS | |
| Authorize.Net | |
| PayPal | |
| Verisign | |
| USAePay | |
| USAePay | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| Stripe Index | |
| Authorize.Net | |
| eWAY Rapid | |
| Sage Pay | |
| Authorize.Net | |
| Braintree | |
| Braintree | |
| PayPal | |
| Sage Pay | |
| Sage Pay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| Stripe Index | |
| Authorize.Net | |
| eWAY Rapid | |
| Sage Pay | |
| Authorize.Net | |
| Braintree | |
| PayPal | |
| Sage Pay | |
| Sage Pay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Sage Pay | |
| Sage Pay | |
| Westpac PayWay | |
| fizetési forrás | |
| PayPal | |
| Authorize.Net | |
| Stripe Index | |
| Az első globális adatátjáró | |
| PsiGate | |
| Authorize.Net | |
| Authorize.Net | |
| MONERIS | |
| Authorize.Net | |
| Sage Pay | |
| Verisign | |
| MONERIS | |
| PayPal | |
| LinkPoint | |
| Westpac PayWay | |
| Authorize.Net | |
| MONERIS | |
| PayPal | |
| adyen | |
| PayPal | |
| Authorize.Net | |
| USAePay | |
| EBizCharge | |
| Authorize.Net | |
| Verisign | |
| Verisign | |
| Authorize.Net | |
| PayPal | |
| MONERIS | |
| Authorize.Net | |
| PayPal | |
| PayPal | |
| Westpac PayWay | |
| Authorize.Net | |
| Authorize.Net | |
| Sage Pay | |
| Verisign | |
| Authorize.Net | |
| PayPal | |
| fizetési forrás | |
| Kiberforrás | |
| PayPal Payflow Pro | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Sage Pay | |
| Authorize.Net | |
| Stripe Index | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Sage Pay | |
| Authorize.Net | |
| Authorize.Net | |
| PayPal | |
| Kovakő | |
| PayPal | |
| Sage Pay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Stripe Index | |
| Kövér Zebra | |
| Sage Pay | |
| Authorize.Net | |
| Az első globális adatátjáró | |
| Authorize.Net | |
| eWAY Rapid | |
| adyen | |
| PayPal | |
| QuickBooks kereskedői szolgáltatások | |
| Verisign | |
| Sage Pay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Sage Pay | |
| Authorize.Net | |
| eWAY Rapid | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Kiberforrás | |
| Authorize.Net | |
| Sage Pay | |
| Realex | |
| Kiberforrás | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Rapid | |
| Sage Pay | |
| Sage Pay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Az első globális adatátjáró | |
| Authorize.Net | |
| Authorize.Net | |
| MONERIS | |
| Authorize.Net | |
| PayPal |
Jelszószippantás
A weboldal kliens oldalán dolgozó JavaScript szippantóknak az egyik előnye a sokoldalúság: a weboldalba ágyazott rosszindulatú kód bármilyen típusú adatot ellophat, legyen szó fizetési adatokról vagy egy felhasználói fiók bejelentkezési nevéről és jelszaváról. A Group-IB szakemberei a ReactGet családhoz tartozó szippantó mintát fedeztek fel, amelyet arra terveztek, hogy ellopja a webhely felhasználóinak e-mail címeit és jelszavait.
Kereszteződés az ImageID szimatolóval
Az egyik fertőzött üzlet elemzése során kiderült, hogy a honlapja kétszer is fertőzött: a ReactGet családi szippantó rosszindulatú kódja mellett az ImageID család szippantójának kódja is észlelhető volt. Ez az átfedés bizonyítéka lehet annak, hogy a két szippantó mögött álló operátorok hasonló technikákat használnak a rosszindulatú kód beszúrására.
Univerzális szippantó
A ReactGet sniffer infrastruktúrához társított egyik domain név elemzése feltárta, hogy ugyanaz a felhasználó három másik domain nevet is regisztrált. Ez a három domain a valós webhelyek domainjeit utánozta, és korábban szippantós fogadására használták. Három legitim oldal kódjának elemzésekor egy ismeretlen szippantót észleltek, és a további elemzések kimutatták, hogy ez a ReactGet szippantó továbbfejlesztett változata. Ennek a szippantó családnak az összes korábban felügyelt verziója egyetlen fizetési rendszerre irányult, vagyis minden fizetési rendszerhez szükség volt a szippantó egy speciális verziójára. Ebben az esetben azonban felfedezték a szippantó egy univerzális változatát, amely 15 különböző fizetési rendszerhez és e-kereskedelmi oldalak online fizetéshez szükséges moduljaihoz kapcsolódó űrlapokról képes információkat lopni.
Tehát a munka elején a szippantó az áldozat személyes adatait tartalmazó alapvető űrlapmezőket kereste: teljes név, lakcím, telefonszám.
A szippantó ezután 15 különböző előtagban keresett, amelyek a különböző fizetési rendszereknek és online fizetési moduloknak feleltek meg.
Ezt követően az áldozat személyes adatait és fizetési információit együttesen gyűjtötték, és elküldték a támadó által ellenőrzött oldalra: ebben a konkrét esetben az univerzális ReactGet szippantó két változatát fedezték fel, amelyek két különböző feltört oldalon találhatók. Azonban mindkét verzió ellopott adatokat küldött ugyanarra a feltört oldalra zoobashop.com.
Azon előtagok elemzése, amelyeket a szippantó az áldozat fizetési információit tartalmazó mezők keresésére használt, lehetővé tette számunkra, hogy megállapítsuk, hogy ez a szippantó minta a következő fizetési rendszerekre irányult:
- Authorize.Net
- Verisign
- Első adatok
- USAePay
- Stripe Index
- PayPal
- ANZ eGate
- Braintree
- DataCash (MasterCard)
- Realex fizetések
- PsiGate
- Heartland fizetési rendszerek
Milyen eszközöket használnak a fizetési információk ellopására?
Az első eszköz, amelyet a támadók infrastruktúrájának elemzése során fedeztek fel, a bankkártyák ellopásáért felelős rosszindulatú szkriptek elfedésére szolgál. A projekt CLI-jét használó bash szkriptet fedeztek fel a támadó egyik gazdagépén a szippantó kód elhomályosításának automatizálására.
A második felfedezett eszköz a fő szippantó betöltéséért felelős kód generálására szolgál. Ez az eszköz JavaScript kódot generál, amely a felhasználó aktuális címén karakterláncok után kutatva ellenőrzi, hogy a felhasználó a fizetési oldalon van-e kijelentkezés, Kosár és így tovább, és ha az eredmény pozitív, akkor a kód betölti a fő szippantót a támadók szerveréről. A rosszindulatú tevékenységek elrejtése érdekében az összes sor, beleértve a fizetési oldal meghatározására szolgáló tesztsorokat, valamint a szippantóra mutató hivatkozást, kódolással történik. base64.
Adathalász támadások
A támadók hálózati infrastruktúrájának elemzése során kiderült, hogy a bűnözői csoport gyakran használ adathalászatot, hogy hozzáférjen a megcélzott online áruház adminisztrációs paneljéhez. A támadók regisztrálnak egy olyan domaint, amely vizuálisan hasonlít egy üzlet domainjére, majd telepítenek rá egy hamis Magento adminisztrációs panel bejelentkezési űrlapot. Siker esetén a támadók hozzáférést kapnak a Magento CMS adminisztrációs paneljéhez, amely lehetőséget ad számukra a webhely összetevőinek szerkesztésére és a hitelkártyaadatok ellopására szolgáló szippantó alkalmazására.
Infrastruktúra
| Домен | Felfedezés/megjelenés dátuma |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagstracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trust-tracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| baletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
G-Analytics család
Ez a szippantó család az online áruházak vásárlói kártyáinak ellopására szolgál. A csoport által használt legelső domain nevet 2016 áprilisában regisztrálták, ami arra utalhat, hogy a csoport 2016 közepén kezdte meg tevékenységét.
A jelenlegi kampányban a csoport olyan domain neveket használ, amelyek a valós szolgáltatásokat utánozzák, mint például a Google Analytics és a jQuery, és legitim szkriptekkel és a legálishoz hasonló domain nevekkel takarják el a szimatolók tevékenységét. A Magento CMS-t futtató webhelyeket megtámadták.
Hogyan épül fel a G-Analytics egy online áruház kódjába
A család megkülönböztető jellemzője, hogy különféle módszereket alkalmaznak a felhasználói fizetési információk ellopására. A klasszikus JavaScript kód befecskendezése mellett az oldal kliens oldalára a bűnözői csoport kódbefecskendezési technikákat is alkalmazott az oldal szerveroldalára, mégpedig a felhasználók által bevitt adatokat feldolgozó PHP szkripteket. Ez a technika veszélyes, mert megnehezíti a külső kutatók számára a rosszindulatú kódok észlelését. Az IB csoport szakemberei felfedezték a webhely PHP-kódjába ágyazott szippantó verzióját, amely egy domaint használ kapuként. dittm.org.
Felfedezték a szippantó korai változatát is, amely ugyanazt a tartományt használja a lopott adatok gyűjtésére dittm.org, de ez a verzió egy webáruház ügyféloldalára való telepítésre szolgál.
A csoport később taktikát változtatott, és inkább a rosszindulatú tevékenységek és az álcázás elrejtésére összpontosított.
2017 elején a csoport elkezdte használni a domaint jquery-js.com, a jQuery CDN-jeként álcázva: amikor a támadók webhelyére lép, a felhasználó átirányítja egy legitim webhelyre jquery.com.
2018 közepén pedig a csoport elfogadta a domain nevet g-analytics.com és elkezdte a szippantó tevékenységét legitim Google Analytics szolgáltatásnak álcázni.
Verzióelemzés
A szippantó kód tárolására használt tartományok elemzése során kiderült, hogy az oldal nagyszámú verziót tartalmaz, amelyek eltérnek a homályosság jelenlétében, valamint a figyelemelvonás érdekében a fájlhoz hozzáadott elérhetetlen kód jelenlétében vagy hiányában. és elrejti a rosszindulatú kódot.
Összesen az oldalon jquery-js.com A szippantóknak hat változatát azonosították. Ezek a szimatolók az ellopott adatokat egy olyan címre küldik, amely ugyanazon a webhelyen található, mint maga a szippantó: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Később domain g-analytics.com, amelyet a csoport 2018 közepe óta használ támadásokhoz, több szippantó tárházaként szolgál. Összesen a szippantó 16 különböző változatát fedezték fel. Ebben az esetben a lopott adatok küldésére szolgáló kaput egy képformátumra mutató hivatkozásnak álcázták GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Az ellopott adatok bevételszerzése
A bűnözői csoport az ellopott adatokból kártyákat értékesít egy speciálisan erre a célra kialakított földalatti üzleten keresztül, amely kártyásoknak nyújt szolgáltatásokat. A támadók által használt tartományok elemzése lehetővé tette számunkra ennek megállapítását google-analytics.cm ugyanaz a felhasználó regisztrálta, mint a domain cardz.vc. Tartomány cardz.vc egy ellopott bankkártyákat árusító Cardsurfs (Flysurfs) üzletre utal, amely még az AlphaBay földalatti kereskedési platform tevékenységének idejében vált népszerűvé, mint szippantó segítségével ellopott bankkártyákat árusító üzlet.
A domain elemzése elemző.is, amely ugyanazon a szerveren található, mint a snifferek által lopott adatok gyűjtésére használt domainek, az IB-csoport szakemberei felfedeztek egy cookie-lopó naplókat tartalmazó fájlt, amelyet a jelek szerint a fejlesztő később elhagyott. A napló egyik bejegyzése tartalmazott egy tartományt iozoz.com, amelyet korábban az egyik 2016-ban aktív szippantónál használtak. Feltehetően ezt a tartományt korábban egy támadó használta a szippantó segítségével ellopott kártyák összegyűjtésére. Ezt a domaint egy e-mail címre regisztrálták [e-mail védett], amelyet domainek regisztrálására is használtak cardz.su и cardz.vc, a Cardsurfs kártoló üzlethez kapcsolódóan.
A beszerzett adatok alapján feltételezhető, hogy a G-Analytics szippantó családot és a Cardsurfs bankkártyákat árusító földalatti üzletet ugyanazok a személyek kezelik, és az üzlet a szippantó segítségével ellopott bankkártyák értékesítésére szolgál.
Infrastruktúra
| Домен | Felfedezés/megjelenés dátuma |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| elemző.hoz | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| elemző.is | 28.12.2018 |
| googlc-analytics.cm | 17.01.2019 |
Illum család
Az Illum egy szippantó család, amelyet a Magento CMS-t futtató online áruházak megtámadására használnak. A rosszindulatú kódok bevezetése mellett a szippantó üzemeltetői teljes értékű hamis fizetési formák bevezetését is használják, amelyek adatokat küldenek a támadók által ellenőrzött kapukra.
A szippantó üzemeltetői által használt hálózati infrastruktúra elemzésekor nagyszámú rosszindulatú szkriptet, kihasználást, hamis fizetési űrlapot, valamint a versenytársak rosszindulatú szippantóival kapcsolatos példák gyűjteményét vették észre. A csoport által használt domain nevek megjelenési dátumaira vonatkozó információk alapján feltételezhető, hogy a kampány 2016 végén kezdődött.
Hogyan épül fel az Illum egy online áruház kódjába
A felfedezett szippantó első verzióit közvetlenül a feltört webhely kódjába ágyazták be. Az ellopott adatokat a címre küldték cdn.illum[.]pw/records.phpsegítségével kódolták a kaput base64.
Később felfedezték a szippantó csomagolt változatát, amely egy másik kaput használ - records.nstatistics[.]com/records.php.
Szerint Willem de Groot, ugyanazt a gazdagépet használták a szippantásban, amelyet a következő napon hajtottak végre , amely a CSU német politikai párt tulajdonában van.
A támadók weboldalának elemzése
Az IB csoport szakemberei felfedeztek és elemeztek egy weboldalt, amelyet ez a bűnözői csoport használt eszközök tárolására és lopott információk gyűjtésére.
A támadók szerverén talált eszközök között szerepeltek szkriptek és kihasználások a Linux operációs rendszer jogosultságainak növelésére: például a Mike Czumak által fejlesztett Linux Privilege Escalation Check Script, valamint a CVE-2009-1185 kizsákmányolása.
A támadók két exploitot használtak közvetlenül az online áruházak megtámadására: képes rosszindulatú kódot injektálni core_config_data a CVE-2016-4010 kihasználásával, kihasználja a CMS Magento bővítményeinek RCE-sebezhetőségét, lehetővé téve tetszőleges kód futtatását a sebezhető webszerveren.
Ezenkívül a szerver elemzése során különféle szippantó mintákat és hamis fizetési űrlapokat fedeztek fel, amelyeket a támadók arra használtak, hogy fizetési információkat gyűjtsenek a feltört webhelyekről. Amint az alábbi listából is látható, egyes szkriptek minden feltört webhelyhez külön-külön készültek, míg egyes CMS-ekhez és fizetési átjárókhoz univerzális megoldást használtak. Például szkriptek segapay_standart.js и segapay_onpage.js A Sage Pay fizetési átjárót használó webhelyeken való megvalósításra tervezték.
Különféle fizetési átjárók szkripteinek listája
| Forgatókönyv | Fizetési átjáró |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdierenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_forminsite.js | //paymentnow[.]tk/?payment= |
Házigazda fizetés most[.]tk, forgatókönyvben kapuként használják payment_forminsite.js, fedezték fel, mint tárgyAltName több, a CloudFlare szolgáltatáshoz kapcsolódó tanúsítványban. Ezenkívül a fogadó tartalmazott egy forgatókönyvet evil.js. A szkript nevéből ítélve a CVE-2016-4010 kiaknázásának részeként használható, aminek köszönhetően lehetőség van rosszindulatú kódok beszúrására egy CMS Magento-t futtató oldal láblécébe. A házigazda ezt a szkriptet használta kapunak request.requestnet[.]tkugyanazt a tanúsítványt használja, mint a gazdagép fizetés most[.]tk.
Hamis fizetési űrlapok
Az alábbi ábra egy példát mutat be a kártyaadatok megadására szolgáló űrlapra. Ezt az űrlapot arra használták, hogy behatoljanak egy online áruházba, és ellopják a kártyaadatokat.
A következő ábra egy hamis PayPal fizetési űrlapra mutat példát, amelyet a támadók azzal a fizetési móddal való behatolásra használtak fel.
Infrastruktúra
| Домен | Felfedezés/megjelenés dátuma |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| request.payrightnow.cf | 25/05/2018 |
| fizetés most.tk | 16/07/2017 |
| fizetési vonal.tk | 01/03/2018 |
| paypal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
CoffeeMokko család
Legalább 2017 májusa óta használatban van a CoffeMokko szippantó család, amelyet arra terveztek, hogy bankkártyákat lopjanak el az online boltok felhasználóitól. Feltehetően ennek a szippantó családnak az üzemeltetői a RiskIQ szakemberei által 1-ban leírt, Group 2016 bűnözői csoport. Megtámadták az olyan CMS-eket futtató webhelyeket, mint a Magento, az OpenCart, a WordPress, az osCommerce és a Shopify.
Hogyan épül fel a CoffeMokko egy online áruház kódjába
A család operátorai minden fertőzéshez egyedi szippantót hoznak létre: a szippantó fájl a könyvtárban található src vagy js a támadók szerverén. Az oldalkódba való beépítés a szippantóhoz mutató közvetlen linken keresztül történik.
A szippantó kód keményen kódolja azon űrlapmezők nevét, amelyekből adatokat kell ellopni. A szippantó azt is ellenőrzi, hogy a felhasználó a fizetési oldalon tartózkodik-e a kulcsszavak listájában a felhasználó aktuális címével.
A szippantó egyes felfedezett verzióit elhomályosították, és egy titkosított karakterláncot tartalmaztak, amelyben az erőforrások fő tömbje tárolódott: tartalmazta a különböző fizetési rendszerek űrlapmezőinek nevét, valamint azt a kapucímet, amelyre az ellopott adatokat el kell küldeni.
Az ellopott fizetési információkat útközben elküldték a támadók szerverén található szkriptnek /savePayment/index.php vagy /tr/index.php. Feltehetően ezt a szkriptet arra használják, hogy adatokat küldjenek a kapuról a fő szerverre, amely az összes szippantótól származó adatokat konszolidálja. A továbbított adatok elrejtéséhez az áldozat összes fizetési információja titkosítva van base64, majd több karaktercsere történik:
- az "e" karakter helyére ":"
- a "w" szimbólum helyére "+"
- az "o" karakter helyére "%"
- a "d" karakter helyére "#"
- az "a" karakter helyére "-"
- a "7" szimbólum helyébe "^"
- a "h" karakter helyére "_"
- a "T" szimbólum helyére "@"
- a "0" karakter helyére "/"
- az "Y" karakter helyére "*"
használatával kódolt karaktercserék eredményeként base64 Az adatok fordított átalakítás nélkül nem dekódolhatók.
Így néz ki a szippantó kód egy olyan töredéke, amelyet nem sikerült elhomályosítani:
Infrastruktúra elemzés
A korai kampányokban a támadók a legális online vásárlási oldalakéhoz hasonló domainneveket regisztráltak. Domainjük egy-egy szimbólum vagy másik TLD eltérhet a legitim tartománytól. A bejegyzett domaineket használták a szippantó kód tárolására, amelyre mutató hivatkozást beágyaztak az üzlet kódjába.
Ez a csoport a népszerű jQuery bővítményekre emlékeztető domain neveket is használt (slickjs[.]org a beépülő modult használó webhelyekhez slick.js), fizetési átjárók (sagecdn[.]org a Sage Pay fizetési rendszert használó webhelyek esetében).
Később a csoport olyan domaineket kezdett létrehozni, amelyek nevének semmi köze nem volt az üzlet domainjéhez vagy az üzlet témájához.
Minden domain egy webhelynek felelt meg, amelyen a címtár létrejött /js vagy /src. A sniffer szkriptek ebben a könyvtárban voltak tárolva: egy szippantó minden új fertőzéshez. A szippantó egy közvetlen linken keresztül beágyazódott a webhely kódjába, de ritka esetekben a támadók módosították a webhely valamelyik fájlját, és rosszindulatú kódot adtak hozzá.
Kódelemzés
Az első homályos algoritmus
Az ebbe a családba tartozó szippantókra feltárt néhány példányban a kódot elhomályosították, és titkosított adatokat tartalmazott, amelyek a szippantó működéséhez szükségesek: különösen a szippantó kapu címe, a fizetési űrlap mezőinek listája, és néhány esetben egy hamis kód kódja. fizetési forma. A függvényen belüli kódban az erőforrásokat a segítségével titkosították XOR ugyanazon függvénynek argumentumként átadott kulccsal.
A karakterlánc megfelelő, minden mintához egyedi kulccsal történő visszafejtésével olyan karakterláncot kaphat, amely a szippantó kódból származó összes karakterláncot tartalmazza elválasztó karakterrel elválasztva.
Második obfuszkációs algoritmus
Az ebbe a családba tartozó szippantókra készült későbbi mintákban másfajta elhomályosítási mechanizmust alkalmaztak: ebben az esetben az adatokat egy saját írású algoritmussal titkosították. A szippantó működéséhez szükséges titkosított adatokat tartalmazó karakterlánc argumentumként került átadásra a visszafejtő funkciónak.
A böngészőkonzol segítségével visszafejtheti a titkosított adatokat, és megszerezheti a szippantó erőforrásokat tartalmazó tömböt.
Kapcsolódás a korai MageCart támadásokhoz
A csoport által a lopott adatok gyűjtésére szolgáló átjáróként használt egyik domain elemzése során kiderült, hogy ez a tartomány a hitelkártya-lopásra szolgáló infrastruktúrát telepítette, amely megegyezik az első csoportok egyike, az 1. csoportéval, a RiskIQ szakemberei.
Két fájlt találtak a CoffeMokko szippantó család gazdáján:
- mage.js — 1. csoportba tartozó szippantó kódot tartalmazó fájl kapucímmel js-cdn.link
- mag.php — A szippantó által ellopott adatok összegyűjtéséért felelős PHP szkript
A mage.js fájl tartalma
Azt is megállapították, hogy a CoffeMokko szippantócsalád mögött álló csoport által használt legkorábbi domaineket 17. május 2017-én regisztrálták:
- link-js[.]link
- info-js[.]link
- track-js[.]link
- map-js[.]link
- smart-js[.]link
Ezeknek a tartományneveknek a formátuma megegyezik a 1-os támadásoknál használt 2016. csoportba tartozó tartománynevekkel.
A feltárt tények alapján feltételezhető, hogy kapcsolat áll fenn a CoffeMokko szippantásosok üzemeltetői és a Group 1 bűnözői csoport között. Feltehetően a CoffeMokko üzemeltetői eszközöket és szoftvereket kölcsönözhettek elődeiktől kártyák ellopásához. Valószínűbb azonban, hogy a CoffeMokko szippantócsalád használatának hátterében ugyanazok a bűnözői csoportok állnak, akik az 1. csoport támadásait követték el. A bűnözői csoport tevékenységéről szóló első jelentés közzététele óta minden domain nevük blokkolt, és az eszközöket részletesen tanulmányozták és leírták. A csoport kénytelen volt szünetet tartani, finomítani belső eszközeiket és átírni a szippantó kódot, hogy folytathassa támadásait, és észrevétlen maradjon.
Infrastruktúra
| Домен | Felfedezés/megjelenés dátuma |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| security-payment.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| Battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| cseremyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parks.su | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffetea.org | 31.01.2018 |
| energycoffe.org | 31.01.2018 |
| energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| Authorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitnesse.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| Majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
Forrás: will.com