Næstum öll notum við þjónustu netverslana, sem þýðir að fyrr eða síðar eigum við á hættu að verða fórnarlamb JavaScript sniffers - sérstakt kóða sem árásarmenn innleiða á vefsíðu til að stela bankakortagögnum, heimilisföngum, innskráningum og lykilorðum notenda. .
Tæplega 400 notendur British Airways-vefsíðunnar og farsímaforritsins hafa þegar orðið fyrir áhrifum af sniffer, auk gesta á bresku vefsíðu íþróttarisans FILA og bandaríska miðadreifingaraðilans Ticketmaster. PayPal, Chase Paymenttech, USAePay, Moneris - þessi og mörg önnur greiðslukerfi voru sýkt.
Viktor Okorokov, sérfræðingur Threat Intelligence Group-IB, talar um hvernig sniffers síast inn kóða á vefsíðu og stela greiðsluupplýsingum, sem og hvaða CRM-kerfi þeir ráðast á.
„Falin ógn“
Það gerðist svo að lengi vel voru vírusvarnarfræðingar úr augsýn JS-snafsar og bankar og greiðslukerfi litu ekki á þá sem alvarlega ógn. Og algjörlega til einskis. Group-IB sérfræðingar 2440 sýktar netverslanir, þar sem gestir þeirra - samtals um 1,5 milljónir manna á dag - voru í hættu á málamiðlun. Meðal fórnarlambanna eru ekki aðeins notendur, heldur einnig netverslanir, greiðslukerfi og bankar sem gáfu út kort sem eru í hættu.
Group-IB varð fyrsta rannsóknin á darknet markaði fyrir sniffers, innviði þeirra og aðferðir við tekjuöflun, sem færir höfundum þeirra milljónir dollara. Við greindum 38 fjölskyldur sniffers, þar af aðeins 12 sem vísindamenn þekktu áður.
Við skulum fjalla í smáatriðum um fjórar fjölskyldur sniffers sem rannsakaðar voru meðan á rannsókninni stóð.
ReactGet Family
Sniffarar úr ReactGet fjölskyldunni eru notaðir til að stela bankakortagögnum á netverslunarsíðum. Sniffarinn getur unnið með fjölda mismunandi greiðslukerfa sem notuð eru á síðunni: eitt færibreytugildi samsvarar einu greiðslukerfi og einstakar greindar útgáfur af sniffernum er hægt að nota til að stela skilríkjum, sem og til að stela bankakortagögnum úr greiðslu form nokkurra greiðslukerfa í einu, eins og svokallaður alhliða sniffer. Í ljós kom að í sumum tilfellum stunda árásarmenn vefveiðarárásir á stjórnendur netverslunar til að fá aðgang að stjórnborði síðunnar.
Herferð með þessari fjölskyldu sniffers hófst í maí 2017; ráðist var á vefsvæði sem keyra CMS og Magento, Bigcommerce og Shopify palla.
Hvernig ReactGet er innleitt í kóða netverslunar
Til viðbótar við „klassíska“ útfærslu handrits í gegnum tengil, nota rekstraraðilar ReactGet-fjölskyldu sniffers sérstaka tækni: með því að nota JavaScript kóða athuga þeir hvort núverandi heimilisfang þar sem notandinn er staðsettur uppfyllir ákveðin skilyrði. Skaðlegi kóðinn verður aðeins keyrður ef undirstrengurinn er til staðar í núverandi vefslóð stöðva eða eins skrefs útskráning, ein síða/, út/onepag, kassa/ein, ckout/einn. Þannig verður sniffer-kóðinn keyrður nákvæmlega á því augnabliki sem notandinn heldur áfram að greiða fyrir kaup og slær inn greiðsluupplýsingar í eyðublaðið á síðunni.
Þessi sniffer notar óstöðluð tækni. Greiðslu og persónuupplýsingum fórnarlambsins er safnað saman og kóðað með því að nota grunn64, og þá er strengurinn sem myndast notaður sem færibreyta til að senda beiðni á vefsíðu árásarmannsins. Oftast líkir leiðin að hliðinu eftir JavaScript skrá, til dæmis resp.js, data.js og svo framvegis, en tenglar á myndskrár eru líka notaðir, GIF и JPG. Sérkennin er að snifferinn býr til myndhlut sem mælist 1 x 1 pixla og notar áður móttekinn hlekk sem færibreytu src Myndir. Það er, fyrir notandann mun slík beiðni í umferðinni líta út eins og beiðni um venjulega mynd. Svipuð tækni var notuð í ImageID fjölskyldu sniffers. Að auki er aðferðin við að nota 1 x 1 pixla mynd notuð í mörgum lögmætum greiningarforskriftum á netinu, sem getur einnig villt um fyrir notandanum.
Útgáfugreining
Greining á virku lénunum sem notuð eru af ReactGet sniffer rekstraraðilum leiddi í ljós margar mismunandi útgáfur af þessari fjölskyldu sniffers. Mismunandi útfærslur eru hvort um er að ræða þoku eða ekki, og auk þess er hver sniffer hannaður fyrir ákveðið greiðslukerfi sem vinnur með bankakortagreiðslum fyrir netverslanir. Eftir að hafa flokkað gildi færibreytunnar sem samsvarar útgáfunúmerinu, fengu Group-IB sérfræðingar heilan lista yfir tiltæk sniffer afbrigði, og með nöfnum eyðublaðsreitanna sem hver sniffer leitar að í síðukóðanum, auðkenndu þeir greiðslukerfin sem snifferinn beinist að.
Listi yfir sniffers og samsvarandi greiðslukerfi þeirra
| Sniffer URL | Greiðslukerfi |
|---|---|
| Authorize.Net | |
| Cardsave | |
| Authorize.Net | |
| Authorize.Net | |
| eWAY Hratt | |
| Authorize.Net | |
| Adyen | |
| USAePay | |
| Authorize.Net | |
| USAePay | |
| Authorize.Net | |
| Moneris | |
| USAePay | |
| PayPal | |
| SagePay | |
| VeriSign | |
| PayPal | |
| Rönd | |
| Realex | |
| PayPal | |
| LinkPoint | |
| PayPal | |
| PayPal | |
| DataCash | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| VeriSign | |
| Authorize.Net | |
| Moneris | |
| SagePay | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| Authorize.Net | |
| Moneris | |
| SagePay | |
| SagePay | |
| Elta Paymentech | |
| Authorize.Net | |
| Adyen | |
| PsiGate | |
| Netheimild | |
| ANZ eGate | |
| Realex | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| Realex | |
| SagePay | |
| PayPal | |
| VeriSign | |
| Authorize.Net | |
| VeriSign | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Netheimild | |
| Authorize.Net | |
| SagePay | |
| Realex | |
| Netheimild | |
| PayPal | |
| PayPal | |
| PayPal | |
| VeriSign | |
| eWAY Hratt | |
| SagePay | |
| SagePay | |
| VeriSign | |
| Authorize.Net | |
| Authorize.Net | |
| First Data Global Gateway | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| PayPal | |
| VeriSign | |
| USAePay | |
| USAePay | |
| Authorize.Net | |
| VeriSign | |
| PayPal | |
| Authorize.Net | |
| Rönd | |
| Authorize.Net | |
| eWAY Hratt | |
| SagePay | |
| Authorize.Net | |
| Braintree | |
| Braintree | |
| PayPal | |
| SagePay | |
| SagePay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| VeriSign | |
| PayPal | |
| Authorize.Net | |
| Rönd | |
| Authorize.Net | |
| eWAY Hratt | |
| SagePay | |
| Authorize.Net | |
| Braintree | |
| PayPal | |
| SagePay | |
| SagePay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| VeriSign | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| SagePay | |
| Westpac PayWay | |
| PayFort | |
| PayPal | |
| Authorize.Net | |
| Rönd | |
| First Data Global Gateway | |
| PsiGate | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| SagePay | |
| VeriSign | |
| Moneris | |
| PayPal | |
| LinkPoint | |
| Westpac PayWay | |
| Authorize.Net | |
| Moneris | |
| PayPal | |
| Adyen | |
| PayPal | |
| Authorize.Net | |
| USAePay | |
| EBizCharge | |
| Authorize.Net | |
| VeriSign | |
| VeriSign | |
| Authorize.Net | |
| PayPal | |
| Moneris | |
| Authorize.Net | |
| PayPal | |
| PayPal | |
| Westpac PayWay | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| VeriSign | |
| Authorize.Net | |
| PayPal | |
| PayFort | |
| Netheimild | |
| PayPal Payflow Pro | |
| Authorize.Net | |
| Authorize.Net | |
| VeriSign | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| Rönd | |
| Authorize.Net | |
| Authorize.Net | |
| VeriSign | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| Authorize.Net | |
| PayPal | |
| Flint | |
| PayPal | |
| SagePay | |
| VeriSign | |
| Authorize.Net | |
| Authorize.Net | |
| Rönd | |
| Feitur sebrahestur | |
| SagePay | |
| Authorize.Net | |
| First Data Global Gateway | |
| Authorize.Net | |
| eWAY Hratt | |
| Adyen | |
| PayPal | |
| QuickBooks þjónustu við söluaðila | |
| VeriSign | |
| SagePay | |
| VeriSign | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| eWAY Hratt | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Netheimild | |
| Authorize.Net | |
| SagePay | |
| Realex | |
| Netheimild | |
| PayPal | |
| PayPal | |
| PayPal | |
| VeriSign | |
| eWAY Hratt | |
| SagePay | |
| SagePay | |
| VeriSign | |
| Authorize.Net | |
| Authorize.Net | |
| First Data Global Gateway | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| PayPal |
Lykilorð sniffer
Einn af kostum JavaScript sniffers sem vinna á viðskiptavinahlið vefsíðu er fjölhæfni þeirra: illgjarn kóða sem er felldur inn á vefsíðu getur stolið hvers kyns gögnum, hvort sem það eru greiðslugögn eða innskráningu og lykilorð notendareiknings. Sérfræðingar Group-IB fundu sýnishorn af sniffer sem tilheyrir ReactGet fjölskyldunni, hannaður til að stela netföngum og lykilorðum notenda síðunnar.
Gatnamót með ImageID sniffer
Við greiningu á einni af sýktu verslununum kom í ljós að vefsíða hennar var sýkt tvisvar: auk illgjarns kóða ReactGet fjölskyldusniffarans fannst kóði ImageID fjölskyldusniffersins. Þessi skörun gæti verið sönnun þess að rekstraraðilarnir á bak við báða snifferinn noti svipaðar aðferðir til að sprauta skaðlegum kóða.
Alhliða sniffer
Greining á einu af lénunum sem tengjast ReactGet sniffer innviðunum leiddi í ljós að sami notandi hafði skráð þrjú önnur lén. Þessi þrjú lén líktu eftir lénum raunverulegra vefsíðna og voru áður notuð til að hýsa sniffers. Við greiningu á kóða þriggja lögmætra vefsvæða fannst óþekktur sniffer og frekari greining sýndi að þetta var endurbætt útgáfa af ReactGet sniffernum. Allar áður vöktaðar útgáfur af þessari fjölskyldu sniffers beindust að einu greiðslukerfi, það er að hvert greiðslukerfi þurfti sérstaka útgáfu af sniffernum. Hins vegar, í þessu tilviki, uppgötvaðist alhliða útgáfa af sniffer sem er fær um að stela upplýsingum úr eyðublöðum sem tengjast 15 mismunandi greiðslukerfum og einingum af rafrænum viðskiptasíðum til að gera netgreiðslur.
Svo, í upphafi vinnunnar, leitaði snifferinn að grunnreitum sem innihalda persónulegar upplýsingar fórnarlambsins: fullt nafn, heimilisfang, símanúmer.
Sneiðarinn leitaði síðan í yfir 15 mismunandi forskeyti sem samsvara mismunandi greiðslukerfum og greiðslueiningum á netinu.
Næst var persónuupplýsingum fórnarlambsins og greiðsluupplýsingum safnað saman og sendar á síðu sem stjórnað er af árásarmanninum: í þessu tiltekna tilviki fundust tvær útgáfur af alhliða ReactGet sniffernum, staðsettar á tveimur mismunandi tölvusnáðum síðum. Hins vegar sendu báðar útgáfurnar stolin gögn á sömu tölvuþrjótsíðuna zoobashop.com.
Greining á forskeytum sem notandinn notaði til að leita að reitum sem innihéldu greiðsluupplýsingar fórnarlambsins gerði okkur kleift að komast að því að þetta sýnishorn úr sniffer var ætlað að eftirfarandi greiðslukerfum:
- Authorize.Net
- VeriSign
- Fyrsta gögnin
- USAePay
- Rönd
- PayPal
- ANZ eGate
- Braintree
- DataCash (MasterCard)
- Realex greiðslur
- PsiGate
- Heartland greiðslukerfi
Hvaða verkfæri eru notuð til að stela greiðsluupplýsingum?
Fyrsta tólið, sem uppgötvaðist við greiningu á innviðum árásarmannanna, er notað til að hylja skaðleg forskriftir sem bera ábyrgð á þjófnaði á bankakortum. Bash forskrift sem notar CLI verkefnisins fannst á einum af vélum árásarmannsins til að gera sjálfvirkan obfuscation á sniffer kóða.
Annað tólið sem uppgötvaði er hannað til að búa til kóða sem ber ábyrgð á því að hlaða aðalsniffarnum. Þetta tól býr til JavaScript kóða sem athugar hvort notandinn sé á greiðslusíðunni með því að leita að strengjum á núverandi heimilisfangi notandans stöðva, körfu og svo framvegis, og ef niðurstaðan er jákvæð, þá hleður kóðinn aðal snifferinn frá netþjóni árásarmannsins. Til að fela illgjarn virkni eru allar línur, þar með talið prófunarlínur til að ákvarða greiðslusíðuna, sem og hlekkur á snifferinn, kóðaðar með grunn64.
Vefveiðarárásir
Greining á innviðum netkerfis árásarmannanna leiddi í ljós að glæpahópurinn notar oft vefveiðar til að fá aðgang að stjórnborði netverslunarinnar. Árásarmenn skrá lén sem er sjónrænt líkt léni verslunar og setja síðan falsað Magento stjórnborðsinnskráningareyðublað á það. Ef vel tekst til munu árásarmennirnir fá aðgang að stjórnborði Magento CMS, sem gefur þeim tækifæri til að breyta vefsíðuhlutum og innleiða sniffer til að stela kreditkortagögnum.
Infrastructure
| Домен | Dagsetning uppgötvunar/útlits |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagstracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trust-tracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
G-Analytics fjölskylda
Þessi fjölskylda sniffers er notuð til að stela kortum viðskiptavina frá netverslunum. Fyrsta lénið sem hópurinn notaði var skráð í apríl 2016, sem gæti bent til þess að hópurinn hafi hafið starfsemi um mitt ár 2016.
Í yfirstandandi herferð notar hópurinn lén sem líkja eftir raunverulegri þjónustu, eins og Google Analytics og jQuery, sem felur virkni sniffers með lögmætum forskriftum og lénsnöfnum sem líkjast lögmætum. Ráðist var á vefsvæði sem keyra Magento CMS.
Hvernig G-Analytics er innleitt í kóða netverslunar
Sérkenni þessarar fjölskyldu er notkun ýmissa aðferða til að stela greiðsluupplýsingum notenda. Til viðbótar við klassíska innspýtingu JavaScript kóða inn á biðlarahlið síðunnar, notaði glæpahópurinn einnig kóða innspýtingartækni inn á netþjónahlið síðunnar, nefnilega PHP forskriftir sem vinna úr gögnum sem notendur hafa slegið inn. Þessi tækni er hættuleg vegna þess að það gerir þriðja aðila erfitt fyrir að greina skaðlegan kóða. Sérfræðingar Group-IB uppgötvuðu útgáfu af sniffer sem var felld inn í PHP kóða síðunnar og notuðu lén sem hlið dittm.org.
Snemma útgáfa af sniffer fannst einnig sem notar sama lén til að safna stolnum gögnum dittm.org, en þessi útgáfa er ætluð til uppsetningar á viðskiptavinamegin í netverslun.
Hópurinn breytti síðar aðferðum sínum og fór að einbeita sér meira að því að fela illgjarn athæfi og felulitur.
Í byrjun árs 2017 hóf hópurinn að nota lénið jquery-js.com, líkjast CDN fyrir jQuery: þegar farið er á síðu árásarmanna er notandanum vísað á lögmæta síðu jquery.com.
Og um mitt ár 2018 tók hópurinn upp lénið g-analytics.com og byrjaði að dulbúa starfsemi sniffersins sem lögmæta Google Analytics þjónustu.
Útgáfugreining
Við greiningu á lénunum sem notuð eru til að geyma sniffer kóða, kom í ljós að vefsíðan inniheldur mikinn fjölda útgáfur, sem eru mismunandi ef um er að ræða þoku, sem og tilvist eða fjarveru óaðgengilegs kóða sem bætt er við skrána til að dreifa athyglinni. og fela skaðlegan kóða.
Samtals á síðunni jquery-js.com Sex útgáfur af sniffers fundust. Þessir sniffers senda stolnu gögnin á heimilisfang sem er staðsett á sömu vefsíðu og snifferinn sjálfur: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Seinna lén g-analytics.com, notað af hópnum í árásum síðan um mitt ár 2018, þjónar sem geymsla fyrir fleiri sniffers. Alls fundust 16 mismunandi útgáfur af sniffernum. Í þessu tilviki var hliðið til að senda stolin gögn dulbúið sem tengill á myndsnið GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Tekjuöflun á stolnum gögnum
Glæpahópurinn aflar tekna af stolnu gögnunum með því að selja kort í gegnum þar til gerða neðanjarðarverslun sem veitir kortara þjónustu. Greining á lénunum sem árásarmennirnir notuðu gerði okkur kleift að ákvarða það google-analytics.cm var skráð af sama notanda og lénið cardz.vc. Lén cardz.vc vísar til verslunar sem selur stolin bankakort Cardsurfs (Flysurfs), sem náði vinsældum á dögum neðanjarðarviðskiptavettvangsins AlphaBay sem verslun sem selur bankakort sem stolið var með sniffer.
Að greina lénið analytical.is, sem staðsett er á sama netþjóni og lénin sem sniffers notuðu til að safna stolnum gögnum, fundu sérfræðingar Group-IB skrá sem innihélt kexþjófaskrár, sem virðist síðar hafa verið yfirgefin af þróunaraðilanum. Ein af færslunum í skránni innihélt lén iozoz.com, sem áður var notað í einum af snifferunum sem voru virkir árið 2016. Væntanlega var þetta lén áður notað af árásarmanni til að safna kortum sem stolið var með því að nota sniffer. Þetta lén var skráð á netfang [netvarið], sem einnig var notað til að skrá lén cardz.su и cardz.vc, sem tengist kortabúðinni Cardsurfs.
Miðað við gögnin sem aflað er má gera ráð fyrir að G-Analytics-fjölskylda sniffers og neðanjarðarverslun sem selur bankakorta Cardsurfs sé stjórnað af sömu aðilum og verslunin sé notuð til að selja bankakort sem stolið er með sniffernum.
Infrastructure
| Домен | Dagsetning uppgötvunar/útlits |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| greinandi.til | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| analytical.is | 28.12.2018 |
| googlc-analytics.cm | 17.01.2019 |
Illum fjölskylda
Illum er fjölskylda sniffers sem notuð eru til að ráðast á netverslanir sem keyra Magento CMS. Auk þess að kynna skaðlegan kóða, nota rekstraraðilar þessa sniffer einnig kynningu á fullgildum fölsuðum greiðslueyðublöðum sem senda gögn að hliðum sem stjórnað er af árásarmönnum.
Við greiningu á innviðum netkerfisins sem rekstraraðilar þessa sniffer notuðu kom fram mikill fjöldi illgjarnra forskrifta, hetjudáð, fölsuð greiðslueyðublöð, auk safn dæma með illgjarnri sniffer frá samkeppnisaðilum. Miðað við upplýsingar um birtingardaga lénanna sem hópurinn notar má gera ráð fyrir að átakið hafi hafist í lok árs 2016.
Hvernig Illum er innleitt í kóða netverslunar
Fyrstu útgáfurnar af sniffernum sem fundust voru felldar beint inn í kóðann á vefsvæðinu sem varð fyrir hættu. Hin stolnu gögn voru send til cdn.illum[.]pw/records.php, hliðið var kóðað með grunn64.
Síðar fannst pakkað útgáfa af sniffernum sem notar annað hlið - records.nstatistics[.]com/records.php.
Samkvæmt Willem de Groot, sami gestgjafi var notaður í snifferinn, sem var útfærður á , í eigu þýska stjórnmálaflokksins CSU.
Greining á vefsíðu árásarmannanna
Sérfræðingar Group-IB uppgötvuðu og greindu vefsíðu sem þessi glæpahópur notaði til að geyma verkfæri og safna stolnum upplýsingum.
Meðal verkfæra sem fundust á netþjóni árásarmannanna voru forskriftir og hetjudáð til að auka réttindi í Linux stýrikerfinu: til dæmis Linux Privilege Escalation Check Script þróað af Mike Czumak, auk hagnýtingar fyrir CVE-2009-1185.
Árásarmennirnir notuðu tvær hetjudáðir beint til að ráðast á netverslanir: fær um að sprauta skaðlegum kóða inn í core_config_data með því að nýta CVE-2016-4010, notar RCE varnarleysi í viðbótum fyrir CMS Magento, sem gerir kleift að keyra handahófskenndan kóða á viðkvæmum vefþjóni.
Einnig, við greiningu á netþjóninum, fundust ýmis sýnishorn af sniffers og fölsuðum greiðslueyðublöðum, sem árásarmenn nota til að safna greiðsluupplýsingum frá hakkaðum síðum. Eins og þú sérð á listanum hér að neðan voru nokkur forskriftir búnar til sérstaklega fyrir hverja tölvuþrjóta síðu á meðan alhliða lausn var notuð fyrir ákveðin CMS og greiðslugátt. Til dæmis handrit segapay_standart.js и segapay_onpage.js hannað til innleiðingar á vefsvæðum sem nota Sage Pay greiðslugáttina.
Listi yfir forskriftir fyrir ýmsar greiðslugáttir
| Handrit | Greiðslugátt |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdierenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_forminsite.js | //paymentnow[.]tk/?payment= |
Gestgjafi greiðsla nú[.]tk, notað sem hlið í handriti payment_forminsite.js, uppgötvaðist sem subjectAltName í nokkrum vottorðum sem tengjast CloudFlare þjónustunni. Að auki innihélt gestgjafinn handrit evil.js. Af nafni handritsins að dæma gæti það verið notað sem hluta af nýtingu CVE-2016-4010, þökk sé því hægt að sprauta skaðlegum kóða inn í síðufót síðu sem keyrir CMS Magento. Gestgjafinn notaði þetta handrit sem hlið request.requestnet[.]tknota sama vottorð og gestgjafinn greiðsla nú[.]tk.
Fölsuð greiðslueyðublöð
Myndin hér að neðan sýnir dæmi um eyðublað til að slá inn kortagögn. Þetta eyðublað var notað til að síast inn í netverslun og stela kortagögnum.
Eftirfarandi mynd sýnir dæmi um falsað PayPal greiðslueyðublað sem var notað af árásarmönnum til að síast inn á síður með þessum greiðslumáta.
Infrastructure
| Домен | Dagsetning uppgötvunar/útlits |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| request.payrightnow.sbr | 25/05/2018 |
| paymentnow.tk | 16/07/2017 |
| greiðslulína.tk | 01/03/2018 |
| paypal.sbr | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
CoffeeMokko fjölskylda
CoffeMokko-fjölskyldan af sniffers, hönnuð til að stela bankakortum frá netverslunarnotendum, hefur verið í notkun síðan að minnsta kosti í maí 2017. Væntanlega eru rekstraraðilar þessarar sniffersfjölskyldu glæpahópurinn Group 1, lýst af RiskIQ sérfræðingum árið 2016. Ráðist var á vefsvæði sem keyra CMS eins og Magento, OpenCart, WordPress, osCommerce og Shopify.
Hvernig CoffeMokko er innleitt í kóða netverslunar
Rekstraraðilar þessarar fjölskyldu búa til einstaka sniffers fyrir hverja sýkingu: sniffer skráin er staðsett í möppunni src eða js á netþjóni árásarmannanna. Innlimun í kóða vefsvæðisins fer fram með beinum hlekk á snifferinn.
Sniffarkóði harðkóða nöfn eyðublaða sem þarf að stela gögnum úr. Sneiðarinn athugar einnig hvort notandinn sé á greiðslusíðunni með því að athuga leitarorðalistann með núverandi heimilisfangi notandans.
Sumar uppgötvaðar útgáfur af sniffernum voru huldar og innihéldu dulkóðaðan streng þar sem aðalfylki auðlinda var geymd: hann innihélt nöfn eyðublaða fyrir ýmis greiðslukerfi, auk heimilisfangsins sem stolnu gögnunum ætti að senda til.
Hinar stolnu greiðsluupplýsingar voru sendar í handrit á netþjóni árásarmannanna í leiðinni /savePayment/index.php eða /tr/index.php. Væntanlega er þetta handrit notað til að senda gögn frá hliðinu á aðalþjóninn, sem sameinar gögn frá öllum sniffers. Til að fela send gögn eru allar greiðsluupplýsingar fórnarlambsins dulkóðaðar með því að nota grunn64, og þá koma nokkrar stafaskiptingar:
- „e“ stafnum er skipt út fyrir „:“
- "w" tákninu er skipt út fyrir "+"
- „o“ stafnum er skipt út fyrir „%“
- „d“ stafnum er skipt út fyrir „#“
- stafnum „a“ er skipt út fyrir „-“
- tákninu „7“ er skipt út fyrir „^“
- stafnum „h“ er skipt út fyrir „_“
- „T“ tákninu er skipt út fyrir „@“
- stafinn "0" er skipt út fyrir "/"
- „Y“ stafnum er skipt út fyrir „*“
Sem afleiðing af stafaskiptum sem eru kóðaðar með grunn64 Ekki er hægt að afkóða gögnin án þess að framkvæma öfuga umbreytingu.
Svona lítur brot af sniffer kóða út sem ekki hefur verið skyggt:
Innviðagreining
Í fyrstu herferðum skráðu árásarmenn lén svipuð og lögmætum innkaupasíðum á netinu. Lén þeirra gæti verið frábrugðið hinu lögmæta tákni fyrir sig eða annað TLD. Skráð lén voru notuð til að geyma sniffer kóða, tengill sem var felldur inn í verslunarkóðann.
Þessi hópur notaði einnig lén sem minna á vinsæl jQuery viðbætur (slickjs[.]org fyrir síður sem nota viðbótina slick.js), greiðslugáttir (sagecdn[.]org fyrir síður sem nota Sage Pay greiðslukerfið).
Síðar byrjaði hópurinn að búa til lén sem nöfnin höfðu ekkert með lén verslunarinnar eða þema verslunarinnar að gera.
Hvert lén samsvaraði síðu þar sem skráin var búin til /js eða / src. Sniffer forskriftir voru geymdar í þessari möppu: einn sniffer fyrir hverja nýja sýkingu. Snifferinn var felldur inn í vefsíðukóðann með beinum hlekk, en í mjög sjaldgæfum tilfellum breyttu árásarmenn einni af vefsíðuskránum og bættu illgjarnri kóða við hana.
Kóðagreining
Fyrsta þokunaralgrímið
Í sumum uppgötvuðum sýnishornum af sniffers af þessari fjölskyldu var kóðinn hulinn og innihélt dulkóðuð gögn sem nauðsynleg eru til að snifferinn virki: einkum heimilisfang sniffer hliðsins, listi yfir greiðslueyðublaðareiti og í sumum tilfellum kóðann fyrir falsa. greiðsluform. Í kóðanum inni í aðgerðinni voru auðlindirnar dulkóðaðar með því að nota XOR með lyklinum sem var sendur sem rök fyrir sama falli.
Með því að afkóða strenginn með viðeigandi lykli, einstökum fyrir hvert sýni, er hægt að fá streng sem inniheldur alla strengi úr sniffer kóðanum aðskilinn með skiljustaf.
Annað þokunaralgrím
Í síðari sýnishornum af sniffers af þessari fjölskyldu var annar þokunarbúnaður notaður: í þessu tilviki voru gögnin dulkóðuð með sjálfskrifuðu reikniriti. Strengur sem innihélt dulkóðuð gögn sem nauðsynleg eru til að sniffer geti starfað var send sem rök fyrir afkóðunaraðgerðina.
Með því að nota vafraborðið geturðu afkóðað dulkóðuðu gögnin og fengið fylki sem inniheldur sniffer auðlindir.
Tenging við fyrstu MageCart árásir
Við greiningu á einu af lénunum sem hópurinn notaði sem gátt til að safna stolnum gögnum, kom í ljós að þetta lén hýsti innviði fyrir kreditkortaþjófnað, eins og hópur 1 notaði, einn af fyrstu hópunum, af RiskIQ sérfræðingum.
Tvær skrár fundust á gestgjafa CoffeMokko fjölskyldu sniffers:
- mage.js — skrá sem inniheldur hóp 1 sniffer kóða með heimilisfangi hliðs js-cdn.link
- mag.php — PHP forskrift sem ber ábyrgð á að safna gögnum sem þjófurinn hefur stolið
Innihald mage.js skráarinnar
Það var einnig ákveðið að elstu lén sem hópurinn á bak við CoffeMokko fjölskyldu sniffers notaði voru skráð 17. maí 2017:
- link-js[.]tengill
- info-js[.]tengill
- track-js[.]tengill
- map-js[.]tengill
- smart-js[.]tengill
Snið þessara lénanna passar við hóp 1 lénsnöfnin sem voru notuð í 2016 árásunum.
Miðað við uppgötvaðar staðreyndir má ætla að tengsl séu á milli rekstraraðila CoffeMokko sniffersins og glæpahópsins Group 1. Væntanlega gætu rekstraraðilar CoffeMokko hafa fengið lánað verkfæri og hugbúnað frá forverum sínum til að stela kortum. Hins vegar er líklegra að glæpahópurinn á bak við notkun CoffeMokko-fjölskyldu sniffers séu þeir sömu og gerðu árásirnar á hóp 1. Eftir að fyrstu skýrslan um starfsemi glæpahópsins birtist voru öll lén þeirra læst og verkfærin voru rannsökuð ítarlega og þeim lýst. Hópurinn neyddist til að draga sig í hlé, betrumbæta innri verkfæri sín og endurskrifa sniffer kóða til að halda áfram árásum sínum og vera óuppgötvuð.
Infrastructure
| Домен | Dagsetning uppgötvunar/útlits |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| security-payment.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parks.su | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffeetea.org | 31.01.2018 |
| energycoffe.org | 31.01.2018 |
| energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| kaffimokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| authorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitnesse.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
Heimild: www.habr.com