ארבעה סניפרים של JavaScript שמחכים לכם בחנויות מקוונות

כמעט כולנו משתמשים בשירותי חנויות מקוונות, מה שאומר שבמוקדם או במאוחר אנו מסתכנים להפוך לקורבן של סנפירי JavaScript - קוד מיוחד שתוקפים מיישמים באתר כדי לגנוב נתוני כרטיסי בנק, כתובות, כניסות וסיסמאות של משתמשים .

כמעט 400 משתמשים באתר ובאפליקציית הסלולר של בריטיש איירווייס כבר הושפעו מרחפנים, כמו גם מבקרים באתר הבריטי של ענקית הספורט FILA ומפיץ הכרטיסים האמריקאי Ticketmaster. PayPal, Chase Paymenttech, USAePay, Moneris - מערכות תשלום אלה ועוד רבות אחרות נדבקו.

אנליסט של Threat Intelligence Group-IB ויקטור אוקורוקוב מדבר על האופן שבו מרחרחים חודרים לקוד אתר וגונבים מידע על תשלום, כמו גם על אילו CRMs הם תוקפים.

"איום נסתר"

כך קרה שבמשך זמן רב נותרו מרחרח JS מחוץ לטווח ראייתם של אנליסטים של אנטי-וירוס, ובנקים ומערכות תשלום לא ראו בהם איום רציני. ולשווא לגמרי. מומחי Group-IB מְנוּתָח 2440 חנויות מקוונות נגועות, שהמבקרים בהן - בסך הכל כ-1,5 מיליון איש ביום - היו בסיכון לפשרה. בין הנפגעים לא רק משתמשים, אלא גם חנויות מקוונות, מערכות תשלום ובנקים שהנפיקו כרטיסים שנפגעו.

דווח Group-IB הפך למחקר הראשון על שוק ה-Darknet ל-Sniffers, התשתית שלהם ושיטות המונטיזציה, מה שמכניס ליוצריהם מיליוני דולרים. זיהינו 38 משפחות של מרחרחים, מתוכן רק 12 היו מוכרות בעבר לחוקרים.

הבה נתעכב בפירוט על ארבע משפחות המרחרחים שנחקרו במהלך המחקר.

ReactGet Family

סניפרים ממשפחת ReactGet משמשים לגניבת נתוני כרטיסי בנק באתרי קניות מקוונים. הסניפר יכול לעבוד עם מספר רב של מערכות תשלום שונות המשמשות באתר: ערך פרמטר אחד מתאים למערכת תשלום אחת, וניתן להשתמש בגרסאות בודדות שזוהו של הסניפר לגניבת אישורים, כמו גם לגניבת נתוני כרטיס בנק מתשלום צורות של כמה מערכות תשלום בו-זמנית, כמו מה שנקרא סניפר אוניברסלי. נמצא שבמקרים מסוימים תוקפים מבצעים התקפות פישינג על מנהלי חנויות מקוונות על מנת לקבל גישה לפאנל הניהולי של האתר.

מסע פרסום שמשתמש במשפחת הסניפרים הזו החל במאי 2017; אתרים המריצים CMS ופלטפורמות Magento, Bigcommerce ו-Shopify הותקפו.

איך ReactGet מיושמת בקוד של חנות מקוונת

בנוסף להטמעה ה"קלאסית" של סקריפט באמצעות קישור, המפעילים של משפחת הסניפרים ReactGet משתמשים בטכניקה מיוחדת: באמצעות קוד JavaScript, הם בודקים האם הכתובת הנוכחית שבה נמצא המשתמש עומדת בקריטריונים מסוימים. הקוד הזדוני יבוצע רק אם המחרוזת המשנה קיימת בכתובת האתר הנוכחית לתשלום או תשלום צעד אחד, עמוד אחד/, out/onepag, קופה/אחד, ckout/one. לפיכך, קוד הסניפר יתבצע בדיוק ברגע בו המשתמש ימשיך לשלם עבור רכישות ויזין פרטי תשלום בטופס באתר.

המרחרח הזה משתמש בטכניקה לא סטנדרטית. התשלום והנתונים האישיים של הקורבן נאספים יחד ומקודדים באמצעות base64, ולאחר מכן המחרוזת המתקבלת משמשת כפרמטר לשליחת בקשה לאתר התוקפים. לרוב, הנתיב לשער מחקה קובץ JavaScript, למשל resp.js, data.js וכן הלאה, אבל משתמשים גם בקישורים לקבצי תמונה, GIF и JPG. המוזרות היא שהרחרח יוצר אובייקט תמונה בגודל 1 על פיקסל אחד ומשתמש בקישור שהתקבל קודם לכן כפרמטר src תמונות. כלומר, עבור המשתמש בקשה כזו בתנועה תיראה כמו בקשה לתמונה רגילה. טכניקה דומה שימשה במשפחת המרחחים ImageID. בנוסף, הטכניקה של שימוש בתמונה של 1 על 1 פיקסל משמשת בהרבה סקריפטים לגיטימיים לניתוח מקוון, שעלולים גם להטעות את המשתמש.

ניתוח גרסאות

ניתוח של הדומיינים הפעילים המשמשים את מפעילי הסניפרים של ReactGet גילה גרסאות רבות ושונות של משפחת הסניפרים הזו. גרסאות שונות בנוכחות או היעדר ערפול, ובנוסף, כל סניפר מיועד למערכת תשלומים ספציפית המעבדת תשלומים בכרטיסי בנק עבור חנויות מקוונות. לאחר שסיינו את ערך הפרמטר המתאים למספר הגרסה, מומחי Group-IB קיבלו רשימה מלאה של וריאציות הסניפר הזמינות, ולפי שמות שדות הטופס שכל סנפיר מחפש בקוד העמוד, הם זיהו את מערכות התשלום שהרחרח מכוון אליו.

רשימת הסניפרים ומערכות התשלום המתאימות להם

כתובת אתר של Sniffer	מערכת תשלום
reactjsapi.com/react.js	Authorize.Net
ajaxstatic.com/api.js?v=2.1.1	שמירת כרטיסים
ajaxstatic.com/api.js?v=2.1.2	Authorize.Net
ajaxstatic.com/api.js?v=2.1.3	Authorize.Net
ajaxstatic.com/api.js?v=2.1.4	eWAY מהיר
ajaxstatic.com/api.js?v=2.1.5	Authorize.Net
ajaxstatic.com/api.js?v=2.1.6	אדין
ajaxstatic.com/api.js?v=2.1.7	USAePay
ajaxstatic.com/api.js?v=2.1.9	Authorize.Net
apitstatus.com/api.js?v=2.1.1	USAePay
apitstatus.com/api.js?v=2.1.2	Authorize.Net
apitstatus.com/api.js?v=2.1.3	מונריס
apitstatus.com/api.js?v=2.1.5	USAePay
apitstatus.com/api.js?v=2.1.6	PayPal
apitstatus.com/api.js?v=2.1.7	סייג שלם
apitstatus.com/api.js?v=2.1.8	Verisign
apitstatus.com/api.js?v=2.1.9	PayPal
apitstatus.com/api.js?v=2.3.0	פַּס
apitstatus.com/api.js?v=3.0.2	ריאלקס
apitstatus.com/api.js?v=3.0.3	PayPal
apitstatus.com/api.js?v=3.0.4	LinkPoint
apitstatus.com/api.js?v=3.0.5	PayPal
apitstatus.com/api.js?v=3.0.7	PayPal
apitstatus.com/api.js?v=3.0.8	DataCash
apitstatus.com/api.js?v=3.0.9	PayPal
asianfoodgracer.com/footer.js	Authorize.Net
billgetstatus.com/api.js?v=1.2	Authorize.Net
billgetstatus.com/api.js?v=1.3	Authorize.Net
billgetstatus.com/api.js?v=1.4	Authorize.Net
billgetstatus.com/api.js?v=1.5	Verisign
billgetstatus.com/api.js?v=1.6	Authorize.Net
billgetstatus.com/api.js?v=1.7	מונריס
billgetstatus.com/api.js?v=1.8	סייג שלם
billgetstatus.com/api.js?v=2.0	USAePay
billgetstatus.com/react.js	Authorize.Net
cloudodesc.com/gtm.js?v=1.2	Authorize.Net
cloudodesc.com/gtm.js?v=1.3	ANZ eGate
cloudodesc.com/gtm.js?v=2.3	Authorize.Net
cloudodesc.com/gtm.js?v=2.4	מונריס
cloudodesc.com/gtm.js?v=2.6	סייג שלם
cloudodesc.com/gtm.js?v=2.7	סייג שלם
cloudodesc.com/gtm.js?v=2.8	צ'ייס פיימנטש
cloudodesc.com/gtm.js?v=2.9	Authorize.Net
cloudodesc.com/gtm.js?v=2.91	אדין
cloudodesc.com/gtm.js?v=2.92	PsiGate
cloudodesc.com/gtm.js?v=2.93	מקור סייבר
cloudodesc.com/gtm.js?v=2.95	ANZ eGate
cloudodesc.com/gtm.js?v=2.97	ריאלקס
geisseie.com/gs.js	USAePay
gtmproc.com/age.js	Authorize.Net
gtmproc.com/gtm.js?v=1.2	Authorize.Net
gtmproc.com/gtm.js?v=1.3	ANZ eGate
gtmproc.com/gtm.js?v=1.5	PayPal
gtmproc.com/gtm.js?v=1.6	PayPal
gtmproc.com/gtm.js?v=1.7	ריאלקס
livecheckpay.com/api.js?v=2.0	סייג שלם
livecheckpay.com/api.js?v=2.1	PayPal
livecheckpay.com/api.js?v=2.2	Verisign
livecheckpay.com/api.js?v=2.3	Authorize.Net
livecheckpay.com/api.js?v=2.4	Verisign
livecheckpay.com/react.js	Authorize.Net
livegetpay.com/pay.js?v=2.1.2	ANZ eGate
livegetpay.com/pay.js?v=2.1.3	PayPal
livegetpay.com/pay.js?v=2.1.5	מקור סייבר
livegetpay.com/pay.js?v=2.1.7	Authorize.Net
livegetpay.com/pay.js?v=2.1.8	סייג שלם
livegetpay.com/pay.js?v=2.1.9	ריאלקס
livegetpay.com/pay.js?v=2.2.0	מקור סייבר
livegetpay.com/pay.js?v=2.2.1	PayPal
livegetpay.com/pay.js?v=2.2.2	PayPal
livegetpay.com/pay.js?v=2.2.3	PayPal
livegetpay.com/pay.js?v=2.2.4	Verisign
livegetpay.com/pay.js?v=2.2.5	eWAY מהיר
livegetpay.com/pay.js?v=2.2.7	סייג שלם
livegetpay.com/pay.js?v=2.2.8	סייג שלם
livegetpay.com/pay.js?v=2.2.9	Verisign
livegetpay.com/pay.js?v=2.3.0	Authorize.Net
livegetpay.com/pay.js?v=2.3.1	Authorize.Net
livegetpay.com/pay.js?v=2.3.2	First Data Global Gateway
livegetpay.com/pay.js?v=2.3.3	Authorize.Net
livegetpay.com/pay.js?v=2.3.4	Authorize.Net
livegetpay.com/pay.js?v=2.3.5	מונריס
livegetpay.com/pay.js?v=2.3.6	Authorize.Net
livegetpay.com/pay.js?v=2.3.8	PayPal
livegetpay.com/pay.js?v=2.4.0	Verisign
maxstatics.com/site.js	USAePay
mediapack.info/track.js?d=funlove.com	USAePay
mediapack.info/track.js?d=qbedding.com	Authorize.Net
mediapack.info/track.js?d=vseyewear.com	Verisign
mxcounter.com/c.js?v=1.2	PayPal
mxcounter.com/c.js?v=1.3	Authorize.Net
mxcounter.com/c.js?v=1.4	פַּס
mxcounter.com/c.js?v=1.6	Authorize.Net
mxcounter.com/c.js?v=1.7	eWAY מהיר
mxcounter.com/c.js?v=1.8	סייג שלם
mxcounter.com/c.js?v=2.0	Authorize.Net
mxcounter.com/c.js?v=2.1	בריינטרי
mxcounter.com/c.js?v=2.10	בריינטרי
mxcounter.com/c.js?v=2.2	PayPal
mxcounter.com/c.js?v=2.3	סייג שלם
mxcounter.com/c.js?v=2.31	סייג שלם
mxcounter.com/c.js?v=2.32	Authorize.Net
mxcounter.com/c.js?v=2.33	PayPal
mxcounter.com/c.js?v=2.34	Authorize.Net
mxcounter.com/c.js?v=2.35	Verisign
mxcounter.com/click.js?v=1.2	PayPal
mxcounter.com/click.js?v=1.3	Authorize.Net
mxcounter.com/click.js?v=1.4	פַּס
mxcounter.com/click.js?v=1.6	Authorize.Net
mxcounter.com/click.js?v=1.7	eWAY מהיר
mxcounter.com/click.js?v=1.8	סייג שלם
mxcounter.com/click.js?v=2.0	Authorize.Net
mxcounter.com/click.js?v=2.1	בריינטרי
mxcounter.com/click.js?v=2.2	PayPal
mxcounter.com/click.js?v=2.3	סייג שלם
mxcounter.com/click.js?v=2.31	סייג שלם
mxcounter.com/click.js?v=2.32	Authorize.Net
mxcounter.com/click.js?v=2.33	PayPal
mxcounter.com/click.js?v=2.34	Authorize.Net
mxcounter.com/click.js?v=2.35	Verisign
mxcounter.com/cnt.js	Authorize.Net
mxcounter.com/j.js	Authorize.Net
newrelicnet.com/api.js?v=1.2	Authorize.Net
newrelicnet.com/api.js?v=1.4	Authorize.Net
newrelicnet.com/api.js?v=1.8	סייג שלם
newrelicnet.com/api.js?v=4.5	סייג שלם
newrelicnet.com/api.js?v=4.6	Westpac PayWay
nr-public.com/api.js?v=2.0	PayFort
nr-public.com/api.js?v=2.1	PayPal
nr-public.com/api.js?v=2.2	Authorize.Net
nr-public.com/api.js?v=2.3	פַּס
nr-public.com/api.js?v=2.4	First Data Global Gateway
nr-public.com/api.js?v=2.5	PsiGate
nr-public.com/api.js?v=2.6	Authorize.Net
nr-public.com/api.js?v=2.7	Authorize.Net
nr-public.com/api.js?v=2.8	מונריס
nr-public.com/api.js?v=2.9	Authorize.Net
nr-public.com/api.js?v=3.1	סייג שלם
nr-public.com/api.js?v=3.2	Verisign
nr-public.com/api.js?v=3.3	מונריס
nr-public.com/api.js?v=3.5	PayPal
nr-public.com/api.js?v=3.6	LinkPoint
nr-public.com/api.js?v=3.7	Westpac PayWay
nr-public.com/api.js?v=3.8	Authorize.Net
nr-public.com/api.js?v=4.0	מונריס
nr-public.com/api.js?v=4.0.2	PayPal
nr-public.com/api.js?v=4.0.3	אדין
nr-public.com/api.js?v=4.0.4	PayPal
nr-public.com/api.js?v=4.0.5	Authorize.Net
nr-public.com/api.js?v=4.0.6	USAePay
nr-public.com/api.js?v=4.0.7	EBizCharge
nr-public.com/api.js?v=4.0.8	Authorize.Net
nr-public.com/api.js?v=4.0.9	Verisign
nr-public.com/api.js?v=4.1.2	Verisign
ordercheckpays.com/api.js?v=2.11	Authorize.Net
ordercheckpays.com/api.js?v=2.12	PayPal
ordercheckpays.com/api.js?v=2.13	מונריס
ordercheckpays.com/api.js?v=2.14	Authorize.Net
ordercheckpays.com/api.js?v=2.15	PayPal
ordercheckpays.com/api.js?v=2.16	PayPal
ordercheckpays.com/api.js?v=2.17	Westpac PayWay
ordercheckpays.com/api.js?v=2.18	Authorize.Net
ordercheckpays.com/api.js?v=2.19	Authorize.Net
ordercheckpays.com/api.js?v=2.21	סייג שלם
ordercheckpays.com/api.js?v=2.22	Verisign
ordercheckpays.com/api.js?v=2.23	Authorize.Net
ordercheckpays.com/api.js?v=2.24	PayPal
ordercheckpays.com/api.js?v=2.25	PayFort
ordercheckpays.com/api.js?v=2.29	מקור סייבר
ordercheckpays.com/api.js?v=2.4	PayPal Payflow Pro
ordercheckpays.com/api.js?v=2.7	Authorize.Net
ordercheckpays.com/api.js?v=2.8	Authorize.Net
ordercheckpays.com/api.js?v=2.9	Verisign
ordercheckpays.com/api.js?v=3.1	Authorize.Net
ordercheckpays.com/api.js?v=3.2	Authorize.Net
ordercheckpays.com/api.js?v=3.3	סייג שלם
ordercheckpays.com/api.js?v=3.4	Authorize.Net
ordercheckpays.com/api.js?v=3.5	פַּס
ordercheckpays.com/api.js?v=3.6	Authorize.Net
ordercheckpays.com/api.js?v=3.7	Authorize.Net
ordercheckpays.com/api.js?v=3.8	Verisign
ordercheckpays.com/api.js?v=3.9	PayPal
ordercheckpays.com/api.js?v=4.0	Authorize.Net
ordercheckpays.com/api.js?v=4.1	Authorize.Net
ordercheckpays.com/api.js?v=4.2	סייג שלם
ordercheckpays.com/api.js?v=4.3	Authorize.Net
reactjsapi.com/api.js?v=0.1.0	Authorize.Net
reactjsapi.com/api.js?v=0.1.1	PayPal
reactjsapi.com/api.js?v=4.1.2	צור
reactjsapi.com/api.js?v=4.1.4	PayPal
reactjsapi.com/api.js?v=4.1.5	סייג שלם
reactjsapi.com/api.js?v=4.1.51	Verisign
reactjsapi.com/api.js?v=4.1.6	Authorize.Net
reactjsapi.com/api.js?v=4.1.7	Authorize.Net
reactjsapi.com/api.js?v=4.1.8	פַּס
reactjsapi.com/api.js?v=4.1.9	זברה שמנה
reactjsapi.com/api.js?v=4.2.0	סייג שלם
reactjsapi.com/api.js?v=4.2.1	Authorize.Net
reactjsapi.com/api.js?v=4.2.2	First Data Global Gateway
reactjsapi.com/api.js?v=4.2.3	Authorize.Net
reactjsapi.com/api.js?v=4.2.4	eWAY מהיר
reactjsapi.com/api.js?v=4.2.5	אדין
reactjsapi.com/api.js?v=4.2.7	PayPal
reactjsapi.com/api.js?v=4.2.8	שירותי סוחרים QuickBooks
reactjsapi.com/api.js?v=4.2.9	Verisign
reactjsapi.com/api.js?v=4.2.91	סייג שלם
reactjsapi.com/api.js?v=4.2.92	Verisign
reactjsapi.com/api.js?v=4.2.94	Authorize.Net
reactjsapi.com/api.js?v=4.3.97	Authorize.Net
reactjsapi.com/api.js?v=4.5	סייג שלם
reactjsapi.com/react.js	Authorize.Net
sydneysalonsupplies.com/gtm.js	eWAY מהיר
tagsmediaget.com/react.js	Authorize.Net
tagstracking.com/tag.js?v=2.1.2	ANZ eGate
tagstracking.com/tag.js?v=2.1.3	PayPal
tagstracking.com/tag.js?v=2.1.5	מקור סייבר
tagstracking.com/tag.js?v=2.1.7	Authorize.Net
tagstracking.com/tag.js?v=2.1.8	סייג שלם
tagstracking.com/tag.js?v=2.1.9	ריאלקס
tagstracking.com/tag.js?v=2.2.0	מקור סייבר
tagstracking.com/tag.js?v=2.2.1	PayPal
tagstracking.com/tag.js?v=2.2.2	PayPal
tagstracking.com/tag.js?v=2.2.3	PayPal
tagstracking.com/tag.js?v=2.2.4	Verisign
tagstracking.com/tag.js?v=2.2.5	eWAY מהיר
tagstracking.com/tag.js?v=2.2.7	סייג שלם
tagstracking.com/tag.js?v=2.2.8	סייג שלם
tagstracking.com/tag.js?v=2.2.9	Verisign
tagstracking.com/tag.js?v=2.3.0	Authorize.Net
tagstracking.com/tag.js?v=2.3.1	Authorize.Net
tagstracking.com/tag.js?v=2.3.2	First Data Global Gateway
tagstracking.com/tag.js?v=2.3.3	Authorize.Net
tagstracking.com/tag.js?v=2.3.4	Authorize.Net
tagstracking.com/tag.js?v=2.3.5	מונריס
tagstracking.com/tag.js?v=2.3.6	Authorize.Net
tagstracking.com/tag.js?v=2.3.8	PayPal

מרחרח סיסמאות

אחד היתרונות של סנפירי JavaScript הפועלים בצד הלקוח של אתר אינטרנט הוא הרבגוניות שלהם: קוד זדוני המוטמע באתר יכול לגנוב כל סוג של נתונים, בין אם זה נתוני תשלום או פרטי כניסה וסיסמה של חשבון משתמש. מומחי Group-IB גילו דוגמה של רחרח השייך למשפחת ReactGet, שנועד לגנוב כתובות אימייל וסיסמאות של משתמשי האתר.

צומת עם ImageID sniffer

במהלך הניתוח של אחת החנויות הנגועות, נמצא שהאתר שלה נגוע פעמיים: בנוסף לקוד הזדוני של הסניפר המשפחתי של ReactGet, זוהה קוד של הסניפר המשפחתי של ImageID. חפיפה זו יכולה להוות עדות לכך שהמפעילים שמאחורי שני המרחרחים משתמשים בטכניקות דומות כדי להחדיר קוד זדוני.

רחרח אוניברסלי

ניתוח של אחד משמות הדומיין המשויכים לתשתית הסניפר של ReactGet העלה שאותו משתמש רשם שלושה שמות דומיינים נוספים. שלושת הדומיינים הללו חיקו את הדומיינים של אתרים מהחיים האמיתיים ושימשו בעבר לאירוח סניפרים. בעת ניתוח הקוד של שלושה אתרים לגיטימיים, זוהה סניפר לא ידוע, וניתוח נוסף הראה כי מדובר בגרסה משופרת של סניפר ReactGet. כל הגרסאות המנוטרות בעבר של משפחת הסניפרים הזו כוונו למערכת תשלום אחת, כלומר, כל מערכת תשלום דרשה גרסה מיוחדת של הסניפר. עם זאת, במקרה זה, התגלתה גרסה אוניברסלית של הסניפר שמסוגלת לגנוב מידע מטפסים הקשורים ל-15 מערכות תשלום שונות ומודולים של אתרי מסחר אלקטרוני לביצוע תשלומים מקוונים.

אז, בתחילת העבודה, המרחרח חיפש שדות טפסים בסיסיים המכילים את המידע האישי של הקורבן: שם מלא, כתובת פיזית, מספר טלפון.

לאחר מכן חיפש המרחרח מעל 15 קידומות שונות המתאימות למערכות תשלום שונות ולמודולי תשלום מקוונים.

לאחר מכן, הנתונים האישיים ופרטי התשלום של הקורבן נאספו יחד ונשלחו לאתר שנשלט על ידי התוקף: במקרה הספציפי הזה, התגלו שתי גרסאות של הרחפן האוניברסלי של ReactGet, הממוקמות בשני אתרים שונים שנפרצו. עם זאת, שתי הגרסאות שלחו נתונים גנובים לאותו אתר פרוץ zoobashop.com.

ניתוח הקידומות שבהן השתמש המרחרח לחיפוש שדות המכילים את פרטי התשלום של הקורבן אפשרו לנו לקבוע שדגימת המרחרח הזו כוונה למערכות התשלומים הבאות:

• Authorize.Net
• Verisign
• נתונים הראשונים
• USAePay
• פַּס
• PayPal
• ANZ eGate
• בריינטרי
• DataCash (מאסטרקארד)
• Realex Payments
• PsiGate
• Heartland Payment Systems

באילו כלים משתמשים כדי לגנוב פרטי תשלום?

הכלי הראשון, שהתגלה במהלך ניתוח התשתית של התוקפים, משמש לטשטש סקריפטים זדוניים האחראים לגניבת כרטיסי בנק. באחד המארחים של התוקף התגלה תסריט bash שמשתמש ב-CLI של הפרויקט javascript-obfuscator כדי להפוך ערפול של קוד המרחף לאוטומטי.

הכלי השני שהתגלה נועד ליצור קוד שאחראי לטעינת הסניפר הראשי. כלי זה יוצר קוד JavaScript שבודק אם המשתמש נמצא בדף התשלום על ידי חיפוש מחרוזות בכתובת הנוכחית של המשתמש לתשלום, עגלה וכן הלאה, ואם התוצאה חיובית, אז הקוד טוען את הסניפר הראשי מהשרת של התוקפים. כדי להסתיר פעילות זדונית, כל השורות, לרבות שורות בדיקה לקביעת דף התשלום, וכן קישור ל-sniffer, מקודדות באמצעות base64.

התקפות דיוג

ניתוח של תשתית הרשת של התוקפים העלה כי הקבוצה הפושעת משתמשת לעתים קרובות בדיוג כדי לקבל גישה לפאנל הניהולי של חנות היעד המקוונת. תוקפים רושמים דומיין שדומה מבחינה ויזואלית לדומיין של חנות, ואז פורסים בו טופס התחברות מזויף לפאנל ניהול Magento. אם יצליח, התוקפים יקבלו גישה לפאנל האדמיניסטרטיבי של Magento CMS, מה שנותן להם הזדמנות לערוך את רכיבי האתר וליישם סניפר כדי לגנוב נתוני כרטיסי אשראי.

תשתית

Домен	תאריך גילוי/הופעה
mediapack.info	04.05.2017
adsgetapi.com	15.06.2017
simcounter.com	14.08.2017
mageanalytics.com	22.12.2017
maxstatics.com	16.01.2018
reactjsapi.com	19.01.2018
mxcounter.com	02.02.2018
apitstatus.com	01.03.2018
orderracker.com	20.04.2018
tagstracking.com	25.06.2018
adsapigate.com	12.07.2018
trust-tracker.com	15.07.2018
fbstatspartner.com	02.10.2018
billgetstatus.com	12.10.2018
www.aldenmlilhouse.com	20.10.2018
balletbeautlful.com	20.10.2018
bargalnjunkie.com	20.10.2018
payselector.com	21.10.2018
tagsmediaget.com	02.11.2018
hs-payments.com	16.11.2018
ordercheckpays.com	19.11.2018
geisseie.com	24.11.2018
gtmproc.com	29.11.2018
livegetpay.com	18.12.2018
sydneysalonsupplies.com	18.12.2018
newrelicnet.com	19.12.2018
nr-public.com	03.01.2019
cloudodesc.com	04.01.2019
ajaxstatic.com	11.01.2019
livecheckpay.com	21.01.2019
asianfoodgracer.com	25.01.2019

משפחת G-Analytics

משפחת המרחרחים הזו משמשת לגניבת כרטיסי לקוחות מחנויות מקוונות. שם הדומיין הראשון בשימוש הקבוצה נרשם באפריל 2016, מה שעשוי להעיד על כך שהקבוצה החלה בפעילות באמצע 2016.

בקמפיין הנוכחי, הקבוצה משתמשת בשמות דומיין המחקים שירותים מהחיים האמיתיים, כמו גוגל אנליטיקס ו-jQuery, המסווה את פעילות הסניפרים עם סקריפטים לגיטימיים ושמות דומיין דומים לאלה לגיטימיים. אתרים המריצים את Magento CMS הותקפו.

כיצד מיושמת G-Analytics בקוד של חנות מקוונת

מאפיין ייחודי של משפחה זו הוא השימוש בשיטות שונות לגניבת פרטי תשלום של משתמשים. בנוסף להזרקה הקלאסית של קוד JavaScript לצד הלקוח של האתר, הקבוצה הפושעת השתמשה גם בטכניקות של הזרקת קוד לצד השרת של האתר, כלומר סקריפטים של PHP המעבדים נתונים שהוזנו על ידי המשתמש. טכניקה זו מסוכנת מכיוון שהיא מקשה על חוקרים של צד שלישי לזהות קוד זדוני. מומחי Group-IB גילו גרסה של הסניפר המוטמעת בקוד PHP של האתר, תוך שימוש בדומיין כשער dittm.org.

התגלתה גם גרסה מוקדמת של סניפר שמשתמשת באותו תחום כדי לאסוף נתונים גנובים dittm.org, אך גרסה זו מיועדת להתקנה בצד הלקוח של חנות מקוונת.

מאוחר יותר הקבוצה שינתה את הטקטיקה שלה והחלה להתמקד יותר בהסתרת פעילות זדונית והסוואה.

בתחילת 2017 החלה הקבוצה להשתמש בדומיין jquery-js.com, מתחזה ל-CDN עבור jQuery: כאשר עוברים לאתר התוקפים, המשתמש מופנה לאתר לגיטימי jquery.com.

ובאמצע 2018, הקבוצה אימצה את שם הדומיין g-analytics.com והחל להסוות את פעילותו של המרחרח כשירות לגיטימי של גוגל אנליטיקס.

ניתוח גרסאות

במהלך ניתוח הדומיינים המשמשים לאחסון קוד הסניפר, נמצא כי האתר מכיל מספר רב של גרסאות, הנבדלות בנוכחות ערפול, וכן בנוכחות או היעדר קוד בלתי ניתן להשגה שנוסף לקובץ כדי להסיח את תשומת הלב ולהסתיר קוד זדוני.

סה"כ באתר jquery-js.com זוהו שש גרסאות של מרחרחים. המרחרחים האלה שולחים את הנתונים הגנובים לכתובת הממוקמת באותו אתר כמו המרחרח עצמו: hxxps://jquery-js[.]com/latest/jquery.min.js:

• hxxps://jquery-js[.]com/jquery.min.js
• hxxps://jquery-js[.]com/jquery.2.2.4.min.js
• hxxps://jquery-js[.]com/jquery.1.8.3.min.js
• hxxps://jquery-js[.]com/jquery.1.6.4.min.js
• hxxps://jquery-js[.]com/jquery.1.4.4.min.js
• hxxps://jquery-js[.]com/jquery.1.12.4.min.js

תחום מאוחר יותר g-analytics.com, המשמש את הקבוצה בהתקפות מאז אמצע 2018, משמש כמאגר לרחפנים נוספים. בסך הכל התגלו 16 גרסאות שונות של המרחרח. במקרה זה, השער לשליחת נתונים גנובים הוסווה כקישור לפורמט תמונה GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:

• hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
• hxxps://g-analytics[.]com/libs/analytics.js

מונטיזציה של נתונים גנובים

הקבוצה הפושעת מייצרת רווחים מהנתונים הגנובים על ידי מכירת כרטיסים דרך חנות מחתרתית שנוצרה במיוחד המספקת שירותים לקלפים. ניתוח של הדומיינים שבהם השתמשו התוקפים אפשרו לנו לקבוע זאת google-analytics.cm נרשם על ידי אותו משתמש כמו הדומיין cardz.vc. תְחוּם cardz.vc הכוונה לחנות שמוכרת כרטיסים בנקאיים גנובים Cardsurfs (Flysurfs), שזכתה לפופולריות עוד בימי פעילותה של פלטפורמת המסחר המחתרתית AlphaBay כחנות לממכר כרטיסים בנקאיים שנגנבו באמצעות סניפר.

ניתוח התחום analytical.is, הממוקם באותו שרת כמו הדומיינים המשמשים את הסניפרים לאיסוף נתונים גנובים, מומחי Group-IB גילו קובץ המכיל יומני גניבת עוגיות, שנראה כאילו נטש מאוחר יותר על ידי המפתח. אחד הערכים ביומן הכיל דומיין iozoz.com, ששימש בעבר באחד מהסניפרים הפעילים ב-2016. ככל הנראה, דומיין זה שימש בעבר על ידי תוקף לאיסוף כרטיסים שנגנבו באמצעות סניפר. דומיין זה נרשם לכתובת דוא"ל [מוגן בדוא"ל], ששימש גם לרישום דומיינים cardz.su и cardz.vc, קשור לחנות הקלפים Cardsurfs.

על סמך הנתונים שהתקבלו, ניתן לשער כי משפחת המרחחים G-Analytics והחנות המחתרתית לממכר כרטיסים בנקאיים Cardsurf מנוהלים על ידי אותם אנשים, והחנות משמשת למכירת כרטיסי בנק שנגנבו באמצעות הסניפר.

תשתית

Домен	תאריך גילוי/הופעה
iozoz.com	08.04.2016
dittm.org	10.09.2016
jquery-js.com	02.01.2017
g-analytics.com	31.05.2018
google-analytics.is	21.11.2018
אנליטי.ל	04.12.2018
google-analytics.to	06.12.2018
google-analytics.cm	28.12.2018
analytical.is	28.12.2018
google-analytics.cm	17.01.2019

משפחת אילום

Illum היא משפחה של רחפנים המשמשת לתקוף חנויות מקוונות המרצות את Magento CMS. בנוסף להכנסת קוד זדוני, מפעילי המרחרח הזה משתמשים גם בהחדרת טפסי תשלום מזויפים מלאים השולחים נתונים לשערים שנשלטים על ידי תוקפים.

בעת ניתוח תשתית הרשת המשמשת את מפעילי המרחרח הזה, צוין מספר רב של סקריפטים זדוניים, ניצולים, טפסי תשלום מזויפים, כמו גם אוסף של דוגמאות עם סניפרים זדוניים של מתחרים. על סמך מידע על תאריכי הופעתם של שמות הדומיין בהם השתמשה הקבוצה, ניתן לשער כי הקמפיין החל בסוף שנת 2016.

איך Illum מיושמת בקוד של חנות מקוונת

הגרסאות הראשונות של הסניפר שהתגלו הוטמעו ישירות בקוד של האתר שנפרץ. הנתונים הגנובים נשלחו אל cdn.illum[.]pw/records.php, השער קודד באמצעות base64.

מאוחר יותר, התגלתה גרסה ארוזה של המרחרח שמשתמשת בשער אחר - records.nstatistics[.]com/records.php.

על פי להגיש תלונה וילם דה גרוט, אותו מארח שימש בסניפר, שיושם על אתר החנות, בבעלות המפלגה הגרמנית CSU.

ניתוח אתר האינטרנט של התוקפים

מומחי Group-IB גילו וניתחו אתר אינטרנט המשמש את הקבוצה הפושעת הזו לאחסון כלים ולאיסוף מידע גנוב.

בין הכלים שנמצאו בשרת התוקפים היו סקריפטים וניצולים להסלמה של הרשאות במערכת ההפעלה Linux: למשל, Linux Privilege Escalation Check Script שפותח על ידי Mike Czumak, כמו גם ניצול עבור CVE-2009-1185.

התוקפים השתמשו בשני מעללים ישירות כדי לתקוף חנויות מקוונות: первый מסוגל להחדיר לתוכו קוד זדוני core_config_data על ידי ניצול CVE-2016-4010, שני מנצל פגיעות RCE בתוספים עבור CMS Magento, ומאפשר להפעיל קוד שרירותי בשרת אינטרנט פגיע.

כמו כן, במהלך ניתוח השרת התגלו דוגמאות שונות של סניפרים וטפסי תשלום מזויפים, המשמשים תוקפים לאיסוף פרטי תשלום מאתרים פרוצים. כפי שניתן לראות מהרשימה למטה, כמה סקריפטים נוצרו בנפרד עבור כל אתר שנפרץ, בעוד שפתרון אוניברסלי שימש עבור CMS ושערים מסוימים לתשלום. למשל, תסריטים segapay_standart.js и segapay_onpage.js מיועדים ליישום באתרים המשתמשים בשער התשלום של Sage Pay.

רשימת סקריפטים לשערי תשלום שונים

תַסרִיט	שער תשלום
sr.illum[.]pw/mjs_special/visiondirect.co.uk.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/topdierenshop.nl.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/tiendalenovo.es.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/pro-bolt.com.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/plae.co.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/ottolenghi.co.uk.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/oldtimecandy.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/mylook.ee.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs_special/luluandsky.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/julep.com.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs_special/gymcompany.es.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/grotekadoshop.nl.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/fushi.co.uk.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/fareastflora.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/compuindia.com.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs/segapay_standart.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/segapay_onpage.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/replace_standart.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs/all_inputs.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/add_inputs_standart.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/magento/payment_standart.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/magento/payment_redirect.js	//payrightnow[.]cf/?payment=
sr.illum[.]pw/magento/payment_redcrypt.js	//payrightnow[.]cf/?payment=
sr.illum[.]pw/magento/payment_forminsite.js	//paymentnow[.]tk/?payment=

מארח paynow[.]tk, משמש כשער בתסריט payment_forminsite.js, התגלה כ subjectAltName במספר אישורים הקשורים לשירות CloudFlare. בנוסף, המארח הכיל תסריט evil.js. אם לשפוט לפי שם הסקריפט, ניתן להשתמש בו כחלק מניצול ה-CVE-2016-4010, שבזכותו ניתן להחדיר קוד זדוני לכותרת התחתונה של אתר המריץ את CMS Magento. המארח השתמש בסקריפט זה כשער request.requestnet[.]tkבאמצעות אותו אישור כמו המארח paynow[.]tk.

טפסי תשלום מזויפים

האיור שלהלן מציג דוגמה לטופס להזנת נתוני כרטיס. טופס זה שימש כדי לחדור לחנות מקוונת ולגניבת נתוני כרטיסים.

האיור הבא מציג דוגמה לטופס תשלום מזויף של PayPal ששימש את התוקפים כדי לחדור לאתרים עם אמצעי תשלום זה.

תשתית

Домен	תאריך גילוי/הופעה
cdn.illum.pw	27/11/2016
records.nstatistics.com	06/09/2018
request.payrightnow.cf	25/05/2018
paymentnow.tk	16/07/2017
pay-line.tk	01/03/2018
paypal.cf	04/09/2017
requestnet.tk	28/06/2017

משפחת CoffeeMokko

משפחת המרחחים CoffeMokko, שנועדה לגנוב כרטיסי בנק ממשתמשי חנות מקוונת, נמצאת בשימוש לפחות מאז מאי 2017. יש להניח שהמפעילים של משפחת המרחרחים הזו הם קבוצת הפשע Group 1, שתוארה על ידי מומחי RiskIQ ב-2016. אתרים המריצים מערכות CMS כמו Magento, OpenCart, WordPress, osCommerce ו-Shopify הותקפו.

כיצד CoffeMokko מיושם בקוד של חנות מקוונת

מפעילי משפחה זו יוצרים סניפרים ייחודיים עבור כל זיהום: קובץ הסניפר ממוקם בספרייה src או js בשרת של התוקפים. השילוב בקוד האתר מתבצע באמצעות קישור ישיר ל-sniffer.

קוד הסניפר מקודד בצורה קשיחה את שמות שדות הטופס שמהם צריך לגנוב נתונים. המרחרח גם בודק האם המשתמש נמצא בדף התשלום על ידי בדיקת רשימת מילות המפתח עם הכתובת הנוכחית של המשתמש.

כמה גרסאות שהתגלו של המרחרח היו מעורפלות והכילו מחרוזת מוצפנת שבה מאוחסן מערך המשאבים העיקרי: היא הכילה את שמות שדות הטפסים עבור מערכות תשלום שונות, וכן את כתובת השער שאליה יש לשלוח את הנתונים הגנובים.

פרטי התשלום הגנובים נשלחו לסקריפט בשרת התוקפים לאורך הדרך /savePayment/index.php או /tr/index.php. ככל הנראה, הסקריפט הזה משמש לשליחת נתונים מהשער לשרת הראשי, המאחד נתונים מכל הסניפרים. כדי להסתיר את הנתונים המועברים, כל פרטי התשלום של הקורבן מוצפנים באמצעות base64, ולאחר מכן מתרחשות מספר החלפות תווים:

• התו "e" מוחלף ב-":"
• הסמל "w" מוחלף ב-"+"
• התו "o" מוחלף ב-"%"
• התו "d" מוחלף ב-"#"
• התו "a" מוחלף ב-"-"
• הסמל "7" מוחלף ב-"^"
• התו "h" מוחלף ב-"_"
• הסמל "T" מוחלף ב-"@"
• התו "0" מוחלף ב-"/"
• התו "Y" מוחלף ב-"*"

כתוצאה מהחלפות תווים המקודדות באמצעות base64 לא ניתן לפענח את הנתונים ללא המרה הפוכה.

כך נראה קטע של קוד סניפר שלא הוסב:

ניתוח תשתיות

בקמפיינים מוקדמים, תוקפים רשמו שמות דומיין דומים לאלה של אתרי קניות מקוונים לגיטימיים. התחום שלהם יכול להיות שונה מה-TLD הלגיטימי אחד לסמל אחד או אחר. דומיינים רשומים שימשו לאחסון קוד sniffer, קישור אליו הוטבע בקוד החנות.

קבוצה זו השתמשה גם בשמות דומיין המזכירים את התוספים הפופולריים של jQuery (slickjs[.]org לאתרים המשתמשים בתוסף slick.js), שערי תשלום (sagecdn[.]org לאתרים המשתמשים במערכת התשלומים של Sage Pay).

מאוחר יותר, החלה הקבוצה ליצור דומיינים שלשמותיהם אין כל קשר לדומיין של החנות או לנושא החנות.

כל דומיין תואם לאתר שבו נוצרה הספרייה /js או / src. סקריפטים של Sniffer אוחסנו בספרייה זו: Sniffer אחד עבור כל זיהום חדש. הסניפר הוטבע בקוד האתר באמצעות קישור ישיר, אך במקרים נדירים, התוקפים שינו את אחד מקבצי האתר והוסיפו לו קוד זדוני.

ניתוח קוד

אלגוריתם ערפול ראשון

בחלק מהדגימות שהתגלו של מרחרח ממשפחה זו, הקוד היה מעורפל והכיל נתונים מוצפנים הדרושים על מנת שהרחרח יפעל: בפרט, כתובת שער המרחרח, רשימה של שדות טפסי תשלום, ובמקרים מסוימים, קוד מזויף. טופס תשלום. בקוד שבתוך הפונקציה, המשאבים הוצפנו באמצעות XOR על ידי המפתח שהועבר כארגומנט לאותה פונקציה.

על ידי פענוח המחרוזת עם המפתח המתאים, הייחודי לכל דוגמה, ניתן לקבל מחרוזת המכילה את כל המחרוזות מקוד ה-sniffer מופרדים באמצעות תו מפריד.

אלגוריתם ערפול שני

בדגימות מאוחרות יותר של סניפרים ממשפחה זו, נעשה שימוש במנגנון ערפול שונה: במקרה זה, הנתונים הוצפנו באמצעות אלגוריתם שנכתב בעצמו. מחרוזת המכילה נתונים מוצפנים הדרושים להפעלת המריח הועברה כארגומנט לפונקציית הפענוח.

באמצעות מסוף הדפדפן, אתה יכול לפענח את הנתונים המוצפנים ולקבל מערך המכיל משאבי סניפר.

חיבור להתקפות MageCart מוקדמות

במהלך ניתוח אחד מהדומיינים המשמשים את הקבוצה כשער לאיסוף נתונים גנובים, נמצא כי דומיין זה מארח תשתית לגניבת כרטיסי אשראי, זהה לזו ששימשה את קבוצה 1, אחת הקבוצות הראשונות. גילה על ידי מומחי RiskIQ.

שני קבצים נמצאו על המארח של משפחת המרחחים CoffeMokko:

• mage.js - קובץ המכיל קוד רחיפה מקבוצה 1 עם כתובת שער js-cdn.link
• mag.php - סקריפט PHP שאחראי לאיסוף נתונים שנגנבו על ידי המרחרח

תוכן הקובץ mage.js
כמו כן, נקבע כי הדומיינים המוקדמים ביותר ששימשו את הקבוצה מאחורי משפחת המרחחים CoffeMokko נרשמו ב-17 במאי 2017:

• link-js[.]קישור
• info-js[.]קישור
• track-js[.]קישור
• map-js[.]קישור
• smart-js[.]קישור

הפורמט של שמות הדומיין הללו תואם את שמות הדומיינים של קבוצה 1 שהיו בשימוש בהתקפות 2016.

על סמך העובדות שהתגלו, ניתן לשער כי קיים קשר בין מפעילי הרחפנים של CoffeMokko לבין קבוצת הפשע קבוצה 1. יש להניח שמפעילי CoffeMokko יכלו לשאול כלים ותוכנות מקודמיהם כדי לגנוב כרטיסים. עם זאת, סביר יותר שהקבוצה הפושעת שעומדת מאחורי השימוש במשפחת המרחרחים CoffeMokko הם אותם אנשים שביצעו את פיגועי קבוצה 1. לאחר פרסום הדו"ח הראשון על פעילות הקבוצה הפלילית, כל שמות הדומיין שלהם היו נחסם והכלים נלמדו בפירוט ותוארו. הקבוצה נאלצה לקחת הפסקה, לשכלל את הכלים הפנימיים שלה ולשכתב את קוד הסניפר על מנת להמשיך בהתקפותיה ולהישאר בלתי מזוהה.

תשתית

Домен	תאריך גילוי/הופעה
link-js.link	17.05.2017
info-js.link	17.05.2017
track-js.link	17.05.2017
map-js.link	17.05.2017
smart-js.link	17.05.2017
adorebeauty.org	03.09.2017
security-payment.su	03.09.2017
braincdn.org	04.09.2017
sagecdn.org	04.09.2017
slickjs.org	04.09.2017
oakandfort.org	10.09.2017
citywlnery.org	15.09.2017
dobell.su	04.10.2017
childrensplayclothing.org	31.10.2017
jewsondirect.com	05.11.2017
shop-rnib.org	15.11.2017
closetlondon.org	16.11.2017
misshaus.org	28.11.2017
battery-force.org	01.12.2017
kik-vape.org	01.12.2017
greatfurnituretradingco.org	02.12.2017
etradesupply.org	04.12.2017
replacemyremote.org	04.12.2017
all-about-sneakers.org	05.12.2017
mage-checkout.org	05.12.2017
nililotan.org	07.12.2017
lamoodbighat.net	08.12.2017
walletgear.org	10.12.2017
dahlie.org	12.12.2017
davidsfootwear.org	20.12.2017
blackriverimaging.org	23.12.2017
exrpesso.org	02.01.2018
parks.su	09.01.2018
pmtonline.su	12.01.2018
otocap.org	15.01.2018
christohperward.org	27.01.2018
coffetea.org	31.01.2018
energycoffe.org	31.01.2018
energytea.org	31.01.2018
teaoffe.net	31.01.2018
adaptivecss.org	01.03.2018
coffemokko.com	01.03.2018
londontea.net	01.03.2018
ukcoffe.com	01.03.2018
labbe.biz	20.03.2018
batterynart.com	03.04.2018
btosports.net	09.04.2018
chicksaddlery.net	16.04.2018
paypaypay.org	11.05.2018
ar500arnor.com	26.05.2018
authorizecdn.com	28.05.2018
slickmin.com	28.05.2018
bannerbuzz.info	03.06.2018
kandypens.net	08.06.2018
mylrendyphone.com	15.06.2018
freshchat.info	01.07.2018
3lift.org	02.07.2018
abtasty.net	02.07.2018
mechat.info	02.07.2018
zoplm.com	02.07.2018
zapaljs.com	02.09.2018
foodandcot.com	15.09.2018
freshdepor.com	15.09.2018
swappastore.com	15.09.2018
verywellfitnesse.com	15.09.2018
elegrina.com	18.11.2018
majsurplus.com	19.11.2018
top5value.com	19.11.2018

מקור: www.habr.com