オンライン ストアで待ち構える XNUMX つの JavaScript スニッファー

私たちのほぼ全員がオンライン ストアのサービスを利用しています。これは、遅かれ早かれ JavaScript スニファー (攻撃者がユーザーの銀行カード データ、住所、ログイン情報、パスワードを盗むために Web サイトに実装する特別なコード) の被害者になる危険性があることを意味します。 。

ブリティッシュ・エアウェイズのウェブサイトとモバイル・アプリケーションのほぼ400万人のユーザーがすでにスニッファーの影響を受けているほか、スポーツ大手FILAやアメリカの航空券販売会社チケットマスターの英国のウェブサイトへの訪問者も同様だ。 PayPal、Chase Paymenttech、USAePay、Moneris など、その他多くの決済システムが感染しました。

Threat Intelligence Group-IB のアナリスト、ヴィクトール・オコロコフ氏が、スニッファーがどのようにして Web サイトのコードに侵入し、支払い情報を盗むのか、またどの CRM を攻撃するのかについて語ります。

「隠れた脅威」

たまたま、長い間、JS スニッファーはウイルス対策アナリストの目に留まらず、銀行や決済システムは JS スニッファーを深刻な脅威とはみなしていませんでした。 そして完全に無駄でした。 グループIBの専門家 分析した 2440 のオンライン ストアが感染し、その訪問者 (1,5 日あたり合計約 XNUMX 万人) が侵害の危険にさらされていました。 被害者の中にはユーザーだけでなく、オンラインストア、決済システム、侵害されたカードを発行した銀行も含まれます。

レポート Group-IB は、スニッファーのダークネット市場、そのインフラストラクチャ、およびその作成者に数百万ドルをもたらす収益化方法に関する最初の研究となりました。 私たちは 38 のスニッファーファミリーを特定しましたが、そのうち研究者が以前に知っていたのは 12 ファミリーだけでした。

この研究で調査されたXNUMXつのスニッファーファミリーについて詳しく見てみましょう。

ReactGetファミリー

ReactGet ファミリのスニファーは、オンライン ショッピング サイトで銀行カードのデータを盗むために使用されます。 スニファーは、サイトで使用されている多数の異なる支払いシステムで動作できます。XNUMX つのパラメータ値が XNUMX つの支払いシステムに対応し、検出されたスニファーの個々のバージョンを使用して、資格情報を盗んだり、支払いから銀行カードのデータを盗んだりすることができます。いわゆるユニバーサルスニファーなど、複数の支払いシステムを同時に利用できる形式です。 場合によっては、攻撃者がサイトの管理パネルにアクセスするために、オンライン ストア管理者に対してフィッシング攻撃を実行することが判明しました。

このスニファーファミリーを使用したキャンペーンは 2017 年 XNUMX 月に始まり、CMS と Magento、Bigcommerce、Shopify プラットフォームを実行しているサイトが攻撃されました。

ReactGet をオンライン ストアのコードに実装する方法

リンクを介したスクリプトの「古典的な」実装に加えて、ReactGet ファミリのスニファーのオペレーターは特別な手法を使用します。つまり、JavaScript コードを使用して、ユーザーがいる現在のアドレスが特定の基準を満たしているかどうかを確認します。 悪意のあるコードは、現在の URL に部分文字列が存在する場合にのみ実行されます。 チェックアウト または ワンステップチェックアウト, XNUMXページ/, アウト/ワンパグ, チェックアウト/XNUMX, コックアウト/XNUMX。 したがって、スニファー コードは、ユーザーが購入の支払いを開始し、サイト上のフォームに支払い情報を入力した瞬間に実行されます。

このスニファーは非標準的な手法を使用します。 被害者の支払いと個人データは一緒に収集され、次の方法で暗号化されます。 base64、結果の文字列は、攻撃者の Web サイトにリクエストを送信するためのパラメーターとして使用されます。 ほとんどの場合、ゲートへのパスは JavaScript ファイルを模倣します。たとえば、 それぞれjs, data.js などですが、画像ファイルへのリンクも使用されます。 GIF и JPG。 特徴は、スニファーが 1 × 1 ピクセルの画像オブジェクトを作成し、以前に受信したリンクをパラメータとして使用することです。 SRC 画像。 つまり、ユーザーにとって、渋滞中のそのようなリクエストは、通常の写真のリクエストのように見えます。 同様の手法が ImageID ファミリのスニファーでも使用されました。 さらに、1 × 1 ピクセルの画像を使用する手法は、多くの正規のオンライン分析スクリプトで使用されており、これもユーザーを誤解させる可能性があります。

バージョン分析

ReactGet スニファー オペレーターによって使用されるアクティブ ドメインの分析により、このファミリーのスニファーにはさまざまなバージョンが存在することが明らかになりました。 バージョンは難読化の有無が異なり、さらに、各スニファーはオンライン ストアの銀行カード支払いを処理する特定の支払いシステム用に設計されています。 バージョン番号に対応するパラメータの値を並べ替えた後、Group-IB のスペシャリストは、利用可能なスニファーのバリエーションの完全なリストを受け取り、各スニファーがページ コード内で検索するフォーム フィールドの名前によって、支払いシステムを特定しました。スニッファーが狙っていること。

スニッファーとそれに対応する支払いシステムのリスト

スニファー URL	決済システム
反応するjsapi.com/react.js	Authorize.Net
ajaxstatic.com/api.js?v=2.1.1	カードセーブ
ajaxstatic.com/api.js?v=2.1.2	Authorize.Net
ajaxstatic.com/api.js?v=2.1.3	Authorize.Net
ajaxstatic.com/api.js?v=2.1.4	eWAYラピッド
ajaxstatic.com/api.js?v=2.1.5	Authorize.Net
ajaxstatic.com/api.js?v=2.1.6	Adyen
ajaxstatic.com/api.js?v=2.1.7	USAePay
ajaxstatic.com/api.js?v=2.1.9	Authorize.Net
apitstatus.com/api.js?v=2.1.1	USAePay
apitstatus.com/api.js?v=2.1.2	Authorize.Net
apitstatus.com/api.js?v=2.1.3	モネリス
apitstatus.com/api.js?v=2.1.5	USAePay
apitstatus.com/api.js?v=2.1.6	PayPal
apitstatus.com/api.js?v=2.1.7	セージペイ
apitstatus.com/api.js?v=2.1.8	ベリサイン
apitstatus.com/api.js?v=2.1.9	PayPal
apitstatus.com/api.js?v=2.3.0	ストライプ
apitstatus.com/api.js?v=3.0.2	レアレックス
apitstatus.com/api.js?v=3.0.3	PayPal
apitstatus.com/api.js?v=3.0.4	リンクポイント
apitstatus.com/api.js?v=3.0.5	PayPal
apitstatus.com/api.js?v=3.0.7	PayPal
apitstatus.com/api.js?v=3.0.8	データキャッシュ
apitstatus.com/api.js?v=3.0.9	PayPal
asianfoodgracer.com/footer.js	Authorize.Net
billgetstatus.com/api.js?v=1.2	Authorize.Net
billgetstatus.com/api.js?v=1.3	Authorize.Net
billgetstatus.com/api.js?v=1.4	Authorize.Net
billgetstatus.com/api.js?v=1.5	ベリサイン
billgetstatus.com/api.js?v=1.6	Authorize.Net
billgetstatus.com/api.js?v=1.7	モネリス
billgetstatus.com/api.js?v=1.8	セージペイ
billgetstatus.com/api.js?v=2.0	USAePay
billgetstatus.com/react.js	Authorize.Net
cloudodesc.com/gtm.js?v=1.2	Authorize.Net
cloudodesc.com/gtm.js?v=1.3	ANZ eゲート
cloudodesc.com/gtm.js?v=2.3	Authorize.Net
cloudodesc.com/gtm.js?v=2.4	モネリス
cloudodesc.com/gtm.js?v=2.6	セージペイ
cloudodesc.com/gtm.js?v=2.7	セージペイ
cloudodesc.com/gtm.js?v=2.8	チェイス・ペイメンテック
cloudodesc.com/gtm.js?v=2.9	Authorize.Net
cloudodesc.com/gtm.js?v=2.91	Adyen
cloudodesc.com/gtm.js?v=2.92	サイゲート
cloudodesc.com/gtm.js?v=2.93	Cyber​​Source
cloudodesc.com/gtm.js?v=2.95	ANZ eゲート
cloudodesc.com/gtm.js?v=2.97	レアレックス
geisseie.com/gs.js	USAePay
gtmproc.com/age.js	Authorize.Net
gtmproc.com/gtm.js?v=1.2	Authorize.Net
gtmproc.com/gtm.js?v=1.3	ANZ eゲート
gtmproc.com/gtm.js?v=1.5	PayPal
gtmproc.com/gtm.js?v=1.6	PayPal
gtmproc.com/gtm.js?v=1.7	レアレックス
livecheckpay.com/api.js?v=2.0	セージペイ
livecheckpay.com/api.js?v=2.1	PayPal
livecheckpay.com/api.js?v=2.2	ベリサイン
livecheckpay.com/api.js?v=2.3	Authorize.Net
livecheckpay.com/api.js?v=2.4	ベリサイン
livecheckpay.com/react.js	Authorize.Net
livegetpay.com/pay.js?v=2.1.2	ANZ eゲート
livegetpay.com/pay.js?v=2.1.3	PayPal
livegetpay.com/pay.js?v=2.1.5	Cyber​​Source
livegetpay.com/pay.js?v=2.1.7	Authorize.Net
livegetpay.com/pay.js?v=2.1.8	セージペイ
livegetpay.com/pay.js?v=2.1.9	レアレックス
livegetpay.com/pay.js?v=2.2.0	Cyber​​Source
livegetpay.com/pay.js?v=2.2.1	PayPal
livegetpay.com/pay.js?v=2.2.2	PayPal
livegetpay.com/pay.js?v=2.2.3	PayPal
livegetpay.com/pay.js?v=2.2.4	ベリサイン
livegetpay.com/pay.js?v=2.2.5	eWAYラピッド
livegetpay.com/pay.js?v=2.2.7	セージペイ
livegetpay.com/pay.js?v=2.2.8	セージペイ
livegetpay.com/pay.js?v=2.2.9	ベリサイン
livegetpay.com/pay.js?v=2.3.0	Authorize.Net
livegetpay.com/pay.js?v=2.3.1	Authorize.Net
livegetpay.com/pay.js?v=2.3.2	最初のデータ グローバル ゲートウェイ
livegetpay.com/pay.js?v=2.3.3	Authorize.Net
livegetpay.com/pay.js?v=2.3.4	Authorize.Net
livegetpay.com/pay.js?v=2.3.5	モネリス
livegetpay.com/pay.js?v=2.3.6	Authorize.Net
livegetpay.com/pay.js?v=2.3.8	PayPal
livegetpay.com/pay.js?v=2.4.0	ベリサイン
maxstatics.com/site.js	USAePay
mediapack.info/track.js?d=funlove.com	USAePay
mediapack.info/track.js?d=qbedding.com	Authorize.Net
mediapack.info/track.js?d=vseyewear.com	ベリサイン
mxcounter.com/c.js?v=1.2	PayPal
mxcounter.com/c.js?v=1.3	Authorize.Net
mxcounter.com/c.js?v=1.4	ストライプ
mxcounter.com/c.js?v=1.6	Authorize.Net
mxcounter.com/c.js?v=1.7	eWAYラピッド
mxcounter.com/c.js?v=1.8	セージペイ
mxcounter.com/c.js?v=2.0	Authorize.Net
mxcounter.com/c.js?v=2.1	ブレーントリー
mxcounter.com/c.js?v=2.10	ブレーントリー
mxcounter.com/c.js?v=2.2	PayPal
mxcounter.com/c.js?v=2.3	セージペイ
mxcounter.com/c.js?v=2.31	セージペイ
mxcounter.com/c.js?v=2.32	Authorize.Net
mxcounter.com/c.js?v=2.33	PayPal
mxcounter.com/c.js?v=2.34	Authorize.Net
mxcounter.com/c.js?v=2.35	ベリサイン
mxcounter.com/click.js?v=1.2	PayPal
mxcounter.com/click.js?v=1.3	Authorize.Net
mxcounter.com/click.js?v=1.4	ストライプ
mxcounter.com/click.js?v=1.6	Authorize.Net
mxcounter.com/click.js?v=1.7	eWAYラピッド
mxcounter.com/click.js?v=1.8	セージペイ
mxcounter.com/click.js?v=2.0	Authorize.Net
mxcounter.com/click.js?v=2.1	ブレーントリー
mxcounter.com/click.js?v=2.2	PayPal
mxcounter.com/click.js?v=2.3	セージペイ
mxcounter.com/click.js?v=2.31	セージペイ
mxcounter.com/click.js?v=2.32	Authorize.Net
mxcounter.com/click.js?v=2.33	PayPal
mxcounter.com/click.js?v=2.34	Authorize.Net
mxcounter.com/click.js?v=2.35	ベリサイン
mxcounter.com/cnt.js	Authorize.Net
mxcounter.com/j.js	Authorize.Net
newrelicnet.com/api.js?v=1.2	Authorize.Net
newrelicnet.com/api.js?v=1.4	Authorize.Net
newrelicnet.com/api.js?v=1.8	セージペイ
newrelicnet.com/api.js?v=4.5	セージペイ
newrelicnet.com/api.js?v=4.6	ウェストパックペイウェイ
nr-public.com/api.js?v=2.0	ペイフォート
nr-public.com/api.js?v=2.1	PayPal
nr-public.com/api.js?v=2.2	Authorize.Net
nr-public.com/api.js?v=2.3	ストライプ
nr-public.com/api.js?v=2.4	最初のデータ グローバル ゲートウェイ
nr-public.com/api.js?v=2.5	サイゲート
nr-public.com/api.js?v=2.6	Authorize.Net
nr-public.com/api.js?v=2.7	Authorize.Net
nr-public.com/api.js?v=2.8	モネリス
nr-public.com/api.js?v=2.9	Authorize.Net
nr-public.com/api.js?v=3.1	セージペイ
nr-public.com/api.js?v=3.2	ベリサイン
nr-public.com/api.js?v=3.3	モネリス
nr-public.com/api.js?v=3.5	PayPal
nr-public.com/api.js?v=3.6	リンクポイント
nr-public.com/api.js?v=3.7	ウェストパックペイウェイ
nr-public.com/api.js?v=3.8	Authorize.Net
nr-public.com/api.js?v=4.0	モネリス
nr-public.com/api.js?v=4.0.2	PayPal
nr-public.com/api.js?v=4.0.3	Adyen
nr-public.com/api.js?v=4.0.4	PayPal
nr-public.com/api.js?v=4.0.5	Authorize.Net
nr-public.com/api.js?v=4.0.6	USAePay
nr-public.com/api.js?v=4.0.7	EBizCharge
nr-public.com/api.js?v=4.0.8	Authorize.Net
nr-public.com/api.js?v=4.0.9	ベリサイン
nr-public.com/api.js?v=4.1.2	ベリサイン
ordercheckpays.com/api.js?v=2.11	Authorize.Net
ordercheckpays.com/api.js?v=2.12	PayPal
ordercheckpays.com/api.js?v=2.13	モネリス
ordercheckpays.com/api.js?v=2.14	Authorize.Net
ordercheckpays.com/api.js?v=2.15	PayPal
ordercheckpays.com/api.js?v=2.16	PayPal
ordercheckpays.com/api.js?v=2.17	ウェストパックペイウェイ
ordercheckpays.com/api.js?v=2.18	Authorize.Net
ordercheckpays.com/api.js?v=2.19	Authorize.Net
ordercheckpays.com/api.js?v=2.21	セージペイ
ordercheckpays.com/api.js?v=2.22	ベリサイン
ordercheckpays.com/api.js?v=2.23	Authorize.Net
ordercheckpays.com/api.js?v=2.24	PayPal
ordercheckpays.com/api.js?v=2.25	ペイフォート
ordercheckpays.com/api.js?v=2.29	Cyber​​Source
ordercheckpays.com/api.js?v=2.4	ペイパルペイフロープロ
ordercheckpays.com/api.js?v=2.7	Authorize.Net
ordercheckpays.com/api.js?v=2.8	Authorize.Net
ordercheckpays.com/api.js?v=2.9	ベリサイン
ordercheckpays.com/api.js?v=3.1	Authorize.Net
ordercheckpays.com/api.js?v=3.2	Authorize.Net
ordercheckpays.com/api.js?v=3.3	セージペイ
ordercheckpays.com/api.js?v=3.4	Authorize.Net
ordercheckpays.com/api.js?v=3.5	ストライプ
ordercheckpays.com/api.js?v=3.6	Authorize.Net
ordercheckpays.com/api.js?v=3.7	Authorize.Net
ordercheckpays.com/api.js?v=3.8	ベリサイン
ordercheckpays.com/api.js?v=3.9	PayPal
ordercheckpays.com/api.js?v=4.0	Authorize.Net
ordercheckpays.com/api.js?v=4.1	Authorize.Net
ordercheckpays.com/api.js?v=4.2	セージペイ
ordercheckpays.com/api.js?v=4.3	Authorize.Net
反応するjsapi.com/api.js?v=0.1.0	Authorize.Net
反応するjsapi.com/api.js?v=0.1.1	PayPal
反応するjsapi.com/api.js?v=4.1.2	フリント
反応するjsapi.com/api.js?v=4.1.4	PayPal
反応するjsapi.com/api.js?v=4.1.5	セージペイ
反応するjsapi.com/api.js?v=4.1.51	ベリサイン
反応するjsapi.com/api.js?v=4.1.6	Authorize.Net
反応するjsapi.com/api.js?v=4.1.7	Authorize.Net
反応するjsapi.com/api.js?v=4.1.8	ストライプ
反応するjsapi.com/api.js?v=4.1.9	ファットゼブラ
反応するjsapi.com/api.js?v=4.2.0	セージペイ
反応するjsapi.com/api.js?v=4.2.1	Authorize.Net
反応するjsapi.com/api.js?v=4.2.2	最初のデータ グローバル ゲートウェイ
反応するjsapi.com/api.js?v=4.2.3	Authorize.Net
反応するjsapi.com/api.js?v=4.2.4	eWAYラピッド
反応するjsapi.com/api.js?v=4.2.5	Adyen
反応するjsapi.com/api.js?v=4.2.7	PayPal
反応するjsapi.com/api.js?v=4.2.8	QuickBooks 販売者サービス
反応するjsapi.com/api.js?v=4.2.9	ベリサイン
反応するjsapi.com/api.js?v=4.2.91	セージペイ
反応するjsapi.com/api.js?v=4.2.92	ベリサイン
反応するjsapi.com/api.js?v=4.2.94	Authorize.Net
反応するjsapi.com/api.js?v=4.3.97	Authorize.Net
反応するjsapi.com/api.js?v=4.5	セージペイ
反応するjsapi.com/react.js	Authorize.Net
sydneysalonsupplies.com/gtm.js	eWAYラピッド
タグメディアゲット.com/react.js	Authorize.Net
tagstracking.com/tag.js?v=2.1.2	ANZ eゲート
tagstracking.com/tag.js?v=2.1.3	PayPal
tagstracking.com/tag.js?v=2.1.5	Cyber​​Source
tagstracking.com/tag.js?v=2.1.7	Authorize.Net
tagstracking.com/tag.js?v=2.1.8	セージペイ
tagstracking.com/tag.js?v=2.1.9	レアレックス
tagstracking.com/tag.js?v=2.2.0	Cyber​​Source
tagstracking.com/tag.js?v=2.2.1	PayPal
tagstracking.com/tag.js?v=2.2.2	PayPal
tagstracking.com/tag.js?v=2.2.3	PayPal
tagstracking.com/tag.js?v=2.2.4	ベリサイン
tagstracking.com/tag.js?v=2.2.5	eWAYラピッド
tagstracking.com/tag.js?v=2.2.7	セージペイ
tagstracking.com/tag.js?v=2.2.8	セージペイ
tagstracking.com/tag.js?v=2.2.9	ベリサイン
tagstracking.com/tag.js?v=2.3.0	Authorize.Net
tagstracking.com/tag.js?v=2.3.1	Authorize.Net
tagstracking.com/tag.js?v=2.3.2	最初のデータ グローバル ゲートウェイ
tagstracking.com/tag.js?v=2.3.3	Authorize.Net
tagstracking.com/tag.js?v=2.3.4	Authorize.Net
tagstracking.com/tag.js?v=2.3.5	モネリス
tagstracking.com/tag.js?v=2.3.6	Authorize.Net
tagstracking.com/tag.js?v=2.3.8	PayPal

パスワードスニファー

Web サイトのクライアント側で動作する JavaScript スニファーの利点の XNUMX つは、その汎用性です。Web サイトに埋め込まれた悪意のあるコードは、支払いデータやユーザー アカウントのログイン情報やパスワードなど、あらゆる種類のデータを盗む可能性があります。 Group-IB のスペシャリストは、サイト ユーザーの電子メール アドレスとパスワードを盗むように設計された ReactGet ファミリに属する​​スニファーのサンプルを発見しました。

ImageID スニファーとの交差

感染したストアの XNUMX つを分析したところ、そのサイトが XNUMX 回感染していることが判明しました。ReactGet ファミリ スニファの悪意のあるコードに加えて、ImageID ファミリ スニファのコードも検出されました。 この重複は、両方のスニファーの背後にあるオペレーターが同様の手法を使用して悪意のあるコードを挿入している証拠である可能性があります。

ユニバーサルスニファー

ReactGet スニファー インフラストラクチャに関連付けられたドメイン名の 15 つを分析したところ、同じユーザーが他の XNUMX つのドメイン名を登録していたことが判明しました。 これら XNUMX つのドメインは、現実の Web サイトのドメインを模倣しており、以前はスニッファーをホストするために使用されていました。 XNUMX つの正規サイトのコードを分析したところ、未知のスニファーが検出され、さらなる分析の結果、それが ReactGet スニファーの改良版であることが判明しました。 このファミリーのスニファーの以前に監視されていたバージョンはすべて、単一の支払いシステムを対象としていたため、各支払いシステムには特別なバージョンのスニファーが必要でした。 ただし、このケースでは、XNUMX の異なる支払いシステムに関連するフォームや、オンライン支払いを行うための電子商取引サイトのモジュールから情報を盗むことができるスニファーのユニバーサル バージョンが発見されました。

そのため、探知者は作業の開始時に、被害者の個人情報（氏名、住所、電話番号）を含む基本的なフォーム フィールドを検索しました。

次に、スニファーは、さまざまな支払いシステムとオンライン支払いモジュールに対応する 15 種類以上の異なるプレフィックスを検索しました。

次に、被害者の個人データと支払い情報がまとめて収集され、攻撃者が管理するサイトに送信されました。この特定のケースでは、XNUMX つの異なるハッキング サイトに存在するユニバーサル ReactGet スニファーの XNUMX つのバージョンが発見されました。 ただし、どちらのバージョンも盗まれたデータを同じハッキングされたサイトに送信しました。 ズーバショップ.com.

被害者の支払い情報を含むフィールドを検索するためにスニファーが使用したプレフィックスを分析した結果、このスニファー サンプルは次の支払いシステムをターゲットにしていると判断できました。

• Authorize.Net
• ベリサイン
• 最初のデータ
• USAePay
• ストライプ
• PayPal
• ANZ eゲート
• ブレーントリー
• データキャッシュ (マスターカード)
• Realex の支払い
• サイゲート
• ハートランドペイメントシステム

支払い情報を盗むためにどのようなツールが使用されますか?

最初のツールは、攻撃者のインフラストラクチャの分析中に発見され、銀行カードの盗難を引き起こす悪意のあるスクリプトを難読化するために使用されます。 プロジェクトの CLI を使用する bash スクリプトが攻撃者のホス​​トの XNUMX つで発見されました javascript-難読化ツール スニファーコードの難読化を自動化します。

XNUMX 番目に発見されたツールは、メイン スニファーのロードを担当するコードを生成するように設計されています。 このツールは、ユーザーの現在の住所の文字列を検索することで、ユーザーが支払いページにいるかどうかをチェックする JavaScript コードを生成します。 チェックアウト, カート など、結果が肯定的であれば、コードは攻撃者のサーバーからメインのスニッファをロードします。 悪意のあるアクティビティを隠すために、支払いページを決定するためのテスト行とスニファーへのリンクを含むすべての行が、次の方法でエンコードされます。 base64.

フィッシング攻撃

攻撃者のネットワーク インフラストラクチャを分析した結果、犯罪グループがターゲットのオンライン ストアの管理パネルにアクセスするためにフィッシングを頻繁に使用していることが明らかになりました。 攻撃者は、ストアのドメインに視覚的に似たドメインを登録し、そのドメインに偽の Magento 管理パネルのログイン フォームを展開します。 成功すると、攻撃者は Magento CMS の管理パネルにアクセスできるようになり、Web サイトのコンポーネントを編集したり、クレジット カード データを盗むためのスニファーを実装したりする機会が得られます。

インフラ

Домен	発見・出現日
メディアパック.info	04.05.2017
adsgetapi.com	15.06.2017
simcounter.com	14.08.2017
mageanalytics.com	22.12.2017
maxstatics.com	16.01.2018
反応するjsapi.com	19.01.2018
mxcounter.com	02.02.2018
apitstatus.com	01.03.2018
orderracker.com	20.04.2018
タグ追跡.com	25.06.2018
adsapigate.com	12.07.2018
trust-tracker.com	15.07.2018
fbstatspartner.com	02.10.2018
billgetstatus.com	12.10.2018
www.aldenmlilhouse.com	20.10.2018
バレエビューティーフルフル.com	20.10.2018
bargalnjunkie.com	20.10.2018
ペイセレクター.com	21.10.2018
タグメディアゲット.com	02.11.2018
hs-payments.com	16.11.2018
ordercheckpays.com	19.11.2018
geisseie.com	24.11.2018
gtmproc.com	29.11.2018
livegetpay.com	18.12.2018
シドニーサロンサプライズ.com	18.12.2018
newrelicnet.com	19.12.2018
nr-public.com	03.01.2019
クラウドデスク.com	04.01.2019
ajaxstatic.com	11.01.2019
livecheckpay.com	21.01.2019
アジアンフードグレーサー.com	25.01.2019

G-アナリティクスファミリー

このスニッファーのファミリーは、オンライン ストアから顧客カードを盗むために使用されます。 このグループが使用した最初のドメイン名は 2016 年 2016 月に登録されており、これはこのグループが XNUMX 年半ばに活動を開始したことを示している可能性があります。

現在のキャンペーンでは、このグループは Google Analytics や jQuery などの現実のサービスを模倣したドメイン名を使用し、正規のスクリプトと正規のものに類似したドメイン名を使用してスニッファーの活動を隠蔽しています。 Magento CMS を実行しているサイトが攻撃されました。

G-Analytics をオンライン ストアのコードに実装する方法

このファミリーの特徴は、さまざまな方法を使用してユーザーの支払い情報を盗むことです。 犯罪グループは、サイトのクライアント側への JavaScript コードの古典的な挿入に加えて、サイトのサーバー側へのコード挿入手法、つまりユーザーが入力したデータを処理する PHP スクリプトも使用しました。 この手法は、サードパーティの研究者による悪意のあるコードの検出が困難になるため、危険です。 Group-IB のスペシャリストは、ドメインをゲートとして使用し、サイトの PHP コードに埋め込まれたスニファーのバージョンを発見しました。 dittm.org.

同じドメインを使用して盗まれたデータを収集する初期バージョンのスニファーも発見されました dittm.org、ただし、このバージョンはオンライン ストアのクライアント側にインストールすることを目的としています。

その後、このグループは戦術を変更し、悪意のある活動の隠蔽とカモフラージュに重点を置くようになりました。

2017 年の初めに、グループはドメインの使用を開始しました。 jquery-js.com、jQuery の CDN を装う: 攻撃者のサイトにアクセスすると、ユーザーは正規のサイトにリダイレクトされます。 jquery.com.

そして 2018 年半ばに、グループはドメイン名を採用しました。 g-analytics.com そして、スニッファーの活動を正規の Google Analytics サービスとして偽装し始めました。

バージョン分析

スニッファー コードの保存に使用されるドメインの分析中に、このサイトには多数のバージョンが含まれており、難読化の有無や、注意をそらすためにファイルに追加された到達不能なコードの有無が異なることが判明しました。悪意のあるコードを隠します。

サイトの合計 jquery-js.com スニッファーの XNUMX つのバージョンが特定されました。 これらのスニファーは、盗んだデータをスニファー自体と同じ Web サイトにあるアドレスに送信します。 hxxps://jquery-js[.]com/latest/jquery.min.js:

• hxxps://jquery-js[.]com/jquery.min.js
• hxxps://jquery-js[.]com/jquery.2.2.4.min.js
• hxxps://jquery-js[.]com/jquery.1.8.3.min.js
• hxxps://jquery-js[.]com/jquery.1.6.4.min.js
• hxxps://jquery-js[.]com/jquery.1.4.4.min.js
• hxxps://jquery-js[.]com/jquery.1.12.4.min.js

後のドメイン g-analytics.comは、2018 年半ば以降、このグループが攻撃に使用しており、より多くのスニッファーのリポジトリとして機能します。 合計 16 の異なるバージョンのスニファーが発見されました。 この事件では、盗まれたデータを送信するためのゲートが画像形式へのリンクとして偽装されていました。 GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:

• hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
• hxxps://g-analytics[.]com/libs/analytics.js

盗まれたデータの収益化

犯罪グループは、カード利用者にサービスを提供する特別に作成された地下ストアを通じてカードを販売することで、盗んだデータを収益化しています。 攻撃者が使用したドメインの分析により、次のことが判明しました。 google-analytics.cm ドメインと同じユーザーによって登録されました カードズ.vc. ドメイン カードズ.vc 盗まれた銀行カードを販売する店 Cardsurfs (Flysurfs) を指します。Cardsurfs (Flysurfs) は、地下取引プラットフォーム AlphaBay の活動時代に、スニファーを使用して盗まれた銀行カードを販売する店として人気を博しました。

ドメインを分析する 分析的ですは、盗まれたデータを収集するためにスニッファーが使用するドメインと同じサーバー上にあり、Group-IB の専門家は、Cookie スティーラーのログを含むファイルを発見しました。このファイルは、後に開発者によって放棄されたようです。 ログ内のエントリの XNUMX つにドメインが含まれていました iozoz.com、これは以前、2016 年に活動していたスニッファーの XNUMX つで使用されていました。 おそらく、このドメインは、攻撃者がスニファーを使用して盗んだカードを収集するために以前に使用されていたものと考えられます。 このドメインは電子メール アドレスに登録されました [メール保護]、ドメインの登録にも使用されました カードズスー и カードズ.vc、カードショップCardsurfsに関連しています。

取得したデータに基づいて、G-Analytics ファミリのスニッファと、キャッシュ カードを販売する地下ストア Cardsurf が同じ人物によって管理されており、このストアはスニファを使用して盗まれたキャッシュ カードの販売に使用されていると推測できます。

インフラ

Домен	発見・出現日
iozoz.com	08.04.2016
dittm.org	10.09.2016
jquery-js.com	02.01.2017
g-analytics.com	31.05.2018
google-analytics.is	21.11.2018
分析.to	04.12.2018
google-analytics.to	06.12.2018
google-analytics.cm	28.12.2018
分析的です	28.12.2018
googlc-analytics.cm	17.01.2019

イルムファミリー

Illum は、Magento CMS を実行しているオンライン ストアを攻撃するために使用されるスニッファーのファミリーです。 このスニファーの運営者は、悪意のあるコードを導入することに加えて、攻撃者が制御するゲートにデータを送信する本格的な偽の支払いフォームの導入も利用しています。

このスニファーのオペレーターが使用するネットワーク インフラストラクチャを分析したところ、多数の悪意のあるスクリプト、エクスプロイト、偽の支払いフォーム、および競合他社の悪意のあるスニファーの例のコレクションが確認されました。 グループが使用するドメイン名の出現日に関する情報に基づいて、このキャンペーンは 2016 年末に開始されたと推測できます。

Illum がオンライン ストアのコードにどのように実装されるか

発見されたスニファーの最初のバージョンは、侵害されたサイトのコードに直接埋め込まれていました。 盗まれたデータは次の宛先に送信されました。 cdn.illum[.]pw/records.php、ゲートは次を使用してエンコードされました base64.

その後、別のゲートを使用するスニファーのパッケージ版が発見されました。 records.nstatistics[.]com/records.php.

による 届出 Willem de Groot、同じホストがスニッファで使用され、 और देखें、ドイツの政党CSUが所有。

攻撃者の Web サイトの分析

Group-IB の専門家は、この犯罪グループがツールを保管し、盗まれた情報を収集するために使用している Web サイトを発見し、分析しました。

攻撃者のサーバーで見つかったツールの中には、Linux OS で権限を昇格させるためのスクリプトやエクスプロイトが含まれています。たとえば、Mike Czumak が開発した Linux 権限昇格チェック スクリプトや、CVE-2009-1185 のエクスプロイトなどです。

攻撃者は XNUMX つのエクスプロイトを使用してオンライン ストアを直接攻撃しました。 最初の 悪意のあるコードを注入できる コア構成データ CVE-2016-4010 を悪用することにより、 2番目の CMS Magento 用プラグインの RCE 脆弱性を悪用し、脆弱な Web サーバー上で任意のコードを実行できるようにします。

また、サーバーの分析中に、攻撃者がハッキングされたサイトから支払い情報を収集するために使用したスニファーと偽の支払いフォームのさまざまなサンプルが発見されました。 以下のリストからわかるように、一部のスクリプトはハッキングされたサイトごとに個別に作成されましたが、特定の CMS および支払いゲートウェイにはユニバーサル ソリューションが使用されていました。 たとえば、スクリプト segapay_standart.js и segapay_onpage.js Sage Pay 支払いゲートウェイを使用するサイトに実装するために設計されています。

さまざまな支払いゲートウェイのスクリプトのリスト

スクリプト	支払いゲートウェイ
イルムさん[.]pw/mjs_special/visiondirect.co.uk.js	//request.payrightnow[.]cf/checkpayment.php
イルムさん[.]pw/mjs_special/topdierenshop.nl.js	//request.payrightnow[.]cf/alldata.php
イルムさん[.]pw/mjs_special/tiendalenovo.es.js	//request.payrightnow[.]cf/alldata.php
イルムさん[.]pw/mjs_special/pro-bolt.com.js	//request.payrightnow[.]cf/alldata.php
イルムさん[.]pw/mjs_special/plae.co.js	//request.payrightnow[.]cf/alldata.php
イルムさん[.]pw/mjs_special/ottolenghi.co.uk.js	//request.payrightnow[.]cf/alldata.php
イルムさん[.]pw/mjs_special/oldtimecandy.com.js	//request.payrightnow[.]cf/checkpayment.php
イルムさん[.]pw/mjs_special/mylook.ee.js	//cdn.illum[.]pw/records.php
イルムさん[.]pw/mjs_special/luluandsky.com.js	//request.payrightnow[.]cf/checkpayment.php
イルムさん[.]pw/mjs_special/julep.com.js	//cdn.illum[.]pw/records.php
イルムさん[.]pw/mjs_special/gymcompany.es.js	//request.payrightnow[.]cf/alldata.php
イルムさん[.]pw/mjs_special/grotekadoshop.nl.js	//request.payrightnow[.]cf/alldata.php
イルムさん[.]pw/mjs_special/fushi.co.uk.js	//request.payrightnow[.]cf/checkpayment.php
イルムさん[.]pw/mjs_special/fareastflora.com.js	//request.payrightnow[.]cf/checkpayment.php
イルムさん[.]pw/mjs_special/compuindia.com.js	//request.payrightnow[.]cf/alldata.php
イルムさん[.]pw/mjs/segapay_standart.js	//cdn.illum[.]pw/records.php
イルムさん[.]pw/mjs/segapay_onpage.js	//cdn.illum[.]pw/records.php
イルムさん[.]pw/mjs/replace_standart.js	//request.payrightnow[.]cf/checkpayment.php
イルムさん[.]pw/mjs/all_inputs.js	//cdn.illum[.]pw/records.php
イルムさん[.]pw/mjs/add_inputs_standart.js	//request.payrightnow[.]cf/checkpayment.php
イルムさん[.]pw/magento/payment_standart.js	//cdn.illum[.]pw/records.php
イルムさん[.]pw/magento/payment_redirect.js	//今すぐ支払う[.]cf/?payment=
イルムさん[.]pw/magento/payment_redcrypt.js	//今すぐ支払う[.]cf/?payment=
イルムさん[.]pw/magento/payment_forminsite.js	//paymentnow[.]tk/?payment=

ホスト 今すぐ支払い[.]tk、スクリプト内でゲートとして使用されます Payment_forminsite.jsとして発見されました。 件名代替名 CloudFlare サービスに関連するいくつかの証明書に含まれています。 さらに、ホストにはスクリプトが含まれていました 邪悪な.js。 スクリプトの名前から判断すると、このスクリプトは CVE-2016-4010 の悪用の一部として使用される可能性があり、これにより、CMS Magento を実行しているサイトのフッターに悪意のあるコードを挿入することが可能になります。 ホストはこのスクリプトをゲートとして使用しました request.requestnet[.]tkホストと同じ証明書を使用する 今すぐ支払い[.]tk.

偽の支払いフォーム

以下の図は、カードデータを入力するフォームの例を示しています。 このフォームは、オンライン ストアに侵入し、カード データを盗むために使用されました。

次の図は、攻撃者がこの支払い方法でサイトに侵入するために使用した偽の PayPal 支払いフォームの例を示しています。

インフラ

Домен	発見・出現日
cdn.illum.pw	27/11/2016
records.nstatistics.com	06/09/2018
request.payrightnow.cf	25/05/2018
ペイメントナウ.tk	16/07/2017
ペイメントライン.tk	01/03/2018
ペイメントパル.cf	04/09/2017
リクエストネット.tk	28/06/2017

コーヒーモッコ家

CoffeMokko ファミリーのスニッファーは、オンライン ストア ユーザーから銀行カードを盗むように設計されており、少なくとも 2017 年 1 月から使用されています。 おそらく、この盗聴者グループの運営者は、2016 年に RiskIQ の専門家によって記載された犯罪グループ Group XNUMX です。 Magento、OpenCart、WordPress、osCommerce、Shopify などの CMS を実行しているサイトが攻撃されました。

CoffeMokko をオンライン ストアのコードに実装する方法

このファミリーのオペレーターは、感染ごとに固有のスニファーを作成します。スニファー ファイルは次のディレクトリにあります。 SRC または js 攻撃者のサーバー上で。 サイト コードへの組み込みは、スニファーへの直接リンクを介して実行されます。

スニファー コードは、データを盗む必要があるフォーム フィールドの名前をハードコードします。 また、スニファーは、ユーザーの現在の住所とキーワードのリストをチェックすることで、ユーザーが支払いページにアクセスしているかどうかもチェックします。

発見されたスニファーの一部のバージョンは難読化されており、リソースのメイン配列が保存される暗号化された文字列が含まれていました。これには、さまざまな支払いシステムのフォーム フィールドの名前と、盗まれたデータの送信先となるゲート アドレスが含まれていました。

盗まれた支払い情報は途中で攻撃者のサーバー上のスクリプトに送信されました /savePayment/index.php または /tr/index.php。 おそらく、このスクリプトはゲートからメイン サーバーにデータを送信するために使用され、すべてのスニファーからのデータが統合されます。 送信されたデータを隠すために、被害者のすべての支払い情報は次の方法で暗号化されます。 base64、その後、いくつかの文字置換が発生します。

• 「e」文字は「:」に置き換えられます。
• 「w」記号は「+」に置き換えられます
• 「o」文字は「%」に置き換えられます
• 「d」文字は「#」に置き換えられます
• 文字「a」は「-」に置き換えられます
• 記号「7」は「^」に置き換えられます
• 文字「h」は「_」に置き換えられます
• 「T」記号は「@」に置き換えられます
• 文字「0」は「/」に置き換えられます
• 「Y」文字は「*」に置き換えられます

を使用してエンコードされた文字置換の結果として base64 逆変換を行わないとデータをデコードできません。

難読化されていないスニファー コードの一部は次のようになります。

インフラストラクチャ分析

初期のキャンペーンでは、攻撃者は正規のオンライン ショッピング サイトと同様のドメイン名を登録しました。 それらのドメインは、シンボルごとに、または別の TLD によって正規のものと異なる可能性があります。 登録されたドメインはスニファー コードを保存するために使用され、そのコードへのリンクがストア コードに埋め込まれていました。

このグループは、人気のある jQuery プラグイン (slickjs[.]org プラグインを使用しているサイトの場合 slick.js)、支払いゲートウェイ (sagecdn[.]org Sage Pay 支払いシステムを使用するサイトの場合）。

その後、グループは、店のドメ​​インや店のテーマとはまったく関係のない名前のドメインを作成し始めました。

各ドメインは、ディレクトリが作成されたサイトに対応していました /js または /src。 スニファー スクリプトはこのディレクトリに保存されました。新しい感染ごとに XNUMX つのスニファーが存在します。 スニファーは直接リンクを介して Web サイトのコードに埋め込まれていましたが、まれに、攻撃者が Web サイトのファイルの XNUMX つを変更し、悪意のあるコードを追加することがありました。

コード分​​析

最初の難読化アルゴリズム

このファミリーのスニファーのいくつかの発見されたサンプルでは、​​コードは難読化されており、スニファーが動作するために必要な暗号化されたデータ、特にスニファー ゲート アドレス、支払いフォーム フィールドのリスト、および場合によっては偽のコードが含まれていました。支払いフォーム。 関数内のコードでは、リソースは次を使用して暗号化されています。 XOR 同じ関数に引数として渡されたキーによって異なります。

各サンプルに固有の適切なキーを使用して文字列を復号化すると、区切り文字で区切られたスニファー コードのすべての文字列を含む文字列を取得できます。

XNUMX 番目の難読化アルゴリズム

このファミリーのスニファーのその後のサンプルでは、​​別の難読化メカニズムが使用されました。この場合、データは独自に作成されたアルゴリズムを使用して暗号化されました。 スニファーの動作に必要な暗号化されたデータを含む文字列が引数として復号化関数に渡されました。

ブラウザ コンソールを使用すると、暗号化されたデータを復号化し、スニファー リソースを含む配列を取得できます。

初期のMageCart攻撃との関連性

盗まれたデータを収集するためのゲートウェイとしてこのグループが使用しているドメインの 1 つを分析したところ、このドメインには、最初のグループの XNUMX つであるグループ XNUMX が使用していたものと同じ、クレジット カード盗難のためのインフラストラクチャが導入されていることが判明しました。 発見した RiskIQ スペシャリストによる。

CoffeMokko ファミリのスニファーのホストで XNUMX つのファイルが見つかりました。

• mage.js — ゲート アドレスを含むグループ 1 スニファー コードを含むファイル js-cdn.リンク
• mag.php — スニファーによって盗まれたデータを収集する PHP スクリプト

mage.js ファイルの内容
また、CoffeMokko ファミリーのスニッファーグループによって使用されていた最も古いドメインが 17 年 2017 月 XNUMX 日に登録されたことも判明しました。

• リンク-js[.]リンク
• info-js[.]リンク
• track-js[.]リンク
• マップ-js[.]リンク
• スマートjs[.]リンク

これらのドメイン名の形式は、1 年の攻撃で使用されたグループ 2016 のドメイン名と一致します。

発見された事実に基づいて、CoffeMokko スニッファーの運営者と犯罪組織グループ 1 の間にはつながりがあると推測できます。 おそらく、CoffeMokko の運営者は前任者からツールやソフトウェアを借りてカードを盗んだ可能性があります。 ただし、CoffeMokko ファミリーのスニッファーを使用した背後にいる犯罪グループは、グループ 1 攻撃を実行した人物と同一人物である可能性が高く、犯罪グループの活動に関する最初のレポートの公開後、彼らのドメイン名はすべて削除されました。ブロックされ、ツールは詳細に研究され、説明されました。 このグループは攻撃を継続し、検出されないようにするために、休憩をとり、内部ツールを改良し、スニッファーコードを書き直すことを余儀なくされました。

インフラ

Домен	発見・出現日
リンク-js.リンク	17.05.2017
info-js.リンク	17.05.2017
トラック-js.リンク	17.05.2017
マップ-js.リンク	17.05.2017
スマートjs.リンク	17.05.2017
adorebeauty.org	03.09.2017
セキュリティ支払い.su	03.09.2017
ブレインcdn.org	04.09.2017
sagecdn.org	04.09.2017
slickjs.org	04.09.2017
オークアンドフォート.org	10.09.2017
citywlnery.org	15.09.2017
dobell.su	04.10.2017
Childrensplayclothing.org	31.10.2017
jewsondirect.com	05.11.2017
ショップrnib.org	15.11.2017
クローゼットロンドン.org	16.11.2017
ミスシャウス.org	28.11.2017
バッテリーフォース.org	01.12.2017
kik-vape.org	01.12.2017
greatfurnituretradingco.org	02.12.2017
etradesupply.org	04.12.2017
replacemyremote.org	04.12.2017
all-about-sneakers.org	05.12.2017
mage-checkout.org	05.12.2017
ニリロタン.org	07.12.2017
lamoodbigat.net	08.12.2017
ウォレットギア.org	10.12.2017
ダーリー.org	12.12.2017
davidsfootwear.org	20.12.2017
ブラックリバーイメージング.org	23.12.2017
exrpesso.org	02.01.2018
park.su	09.01.2018
pmtonline.su	12.01.2018
otocap.org	15.01.2018
christohperward.org	27.01.2018
コーヒーティー.org	31.01.2018
エネルギーコーヒー.org	31.01.2018
エネルギーティー.org	31.01.2018
ティーコーヒーネット	31.01.2018
アダプティブCSS.org	01.03.2018
コーヒーモッコ.com	01.03.2018
ロンドンティーネット	01.03.2018
ukcoffee.com	01.03.2018
ラベビズ	20.03.2018
バッテリーナート.com	03.04.2018
btosports.net	09.04.2018
ひよこサドルリーネット	16.04.2018
ペイペイペイ.org	11.05.2018
ar500arnor.com	26.05.2018
承認cdn.com	28.05.2018
スリックミン.com	28.05.2018
バナーバズ情報	03.06.2018
キャンディペンス.net	08.06.2018
ミルレンディフォン.com	15.06.2018
フレッシュチャット情報	01.07.2018
3リフト.org	02.07.2018
abtasty.net	02.07.2018
メカットインフォ	02.07.2018
zoplm.com	02.07.2018
zapaljs.com	02.09.2018
foodandcot.com	15.09.2018
freshdepor.com	15.09.2018
スワッパストア.com	15.09.2018
ベリーウェルフィットネス.com	15.09.2018
エレグリナ.com	18.11.2018
majsurplus.com	19.11.2018
トップ5バリュー.com	19.11.2018

出所： habr.com