Біздің әрқайсымыз дерлік интернет-дүкендердің қызметтерін пайдаланамыз, бұл ерте ме, кеш пе JavaScript снайферлерінің құрбаны болу қаупі бар екенін білдіреді - шабуылдаушылар банк картасының деректерін, мекенжайларын, пайдаланушы аттары мен құпия сөздерді ұрлау үшін веб-сайтқа енгізетін арнайы код. .
British Airways веб-сайты мен мобильді қосымшасының 400 000-ға жуық пайдаланушысы қазірдің өзінде иісшілдердің, сондай-ақ британдық спорт алпауыты FILA веб-сайтына және АҚШ билеттерін таратушы Ticketmaster келушілеріне әсер етті. PayPal, Chase Paymenttech, USAePay, Moneris - осы және басқа да көптеген төлем жүйелері жұқтырылған.
Threat Intelligence Group-IB талдаушысы Виктор Окороков снайферлер веб-сайт кодын қалай еніп, төлем ақпаратын ұрлайтыны, сондай-ақ олардың қандай CRM-ге шабуыл жасайтыны туралы әңгімелейді.
«Жасырын қауіп»
JS-снайферлер ұзақ уақыт бойы антивирустық талдаушылардың назарынан тыс қалды, ал банктер мен төлем жүйелері оларды елеулі қауіп ретінде қарастырмады. Және мүлдем бекер. Group-IB сарапшылары 2440 вирус жұқтырған интернет-дүкендер, олардың келушілері - күніне шамамен 1,5 миллион адам - ымыраға келу қаупіне ұшырады. Зардап шеккендердің арасында тек қолданушылар ғана емес, сонымен қатар интернет-дүкендер, төлем жүйелері мен бұзылған карталарды шығарған банктер де бар.
Group-IB снайферлер қараңғы желі нарығын, олардың инфрақұрылымын және монетизация әдістерін зерттеп, оларды жасаушыларға миллиондаған доллар әкелді. Біз 38 иісшіл отбасын анықтадық, олардың тек 12-сі бұрын зерттеушілерге белгілі болған.
Зерттеу барысында зерттелген иісшілдердің төрт тұқымдастығына егжей-тегжейлі тоқталайық.
ReactGet отбасы
ReactGet отбасының снайферлері онлайн сауда сайттарында банк картасының деректерін ұрлау үшін қолданылады. Снайфер сайтта қолданылатын көптеген әртүрлі төлем жүйелерімен жұмыс істей алады: бір параметр мәні бір төлем жүйесіне сәйкес келеді, ал снайфердің жеке анықталған нұсқалары тіркелгі деректерін ұрлау үшін, сондай-ақ банк картасының деректерін пайдаланушыдан ұрлау үшін пайдаланылуы мүмкін. бірден бірнеше төлем жүйелерінің төлем нысандары, мысалы, әмбебап снайфер. Кейбір жағдайларда шабуылдаушылар сайттың әкімшілік панеліне қол жеткізу үшін интернет-дүкен әкімшілеріне фишингтік шабуылдар жасайтыны анықталды.
Снайферлер тобын пайдаланатын науқан 2017 жылдың мамыр айында басталды. CMS және Magento, Bigcommerce, Shopify платформаларымен жұмыс істейтін сайттар шабуылға ұшырады.
ReactGet интернет-дүкеннің кодына қалай енгізілген
Сілтеме арқылы «классикалық» сценарийді енгізуден басқа, ReactGet отбасылық снайферлік операторлары арнайы әдісті пайдаланады: JavaScript кодын пайдалана отырып, ол пайдаланушы орналасқан ағымдағы мекенжайдың белгілі бір критерийлерге сәйкес келетінін тексереді. Зиянды код ағымдағы URL мекенжайында ішкі жол болса ғана іске қосылады шығу немесе бір қадам тексеру, бір бет/, out/onepage, тексеру/бір, скаут/бір. Осылайша, sniffer коды дәл пайдаланушы сатып алу үшін төлеуге кіріскен және сайттағы пішінге төлем туралы ақпаратты енгізген сәтте орындалады.
Бұл иісшіл стандартты емес техниканы пайдаланады. Жәбірленушінің төлемі мен жеке деректері бірге жиналады, кодталған негіз 64, содан кейін алынған жол зиянды сайтқа сұрау жіберу үшін параметр ретінде пайдаланылады. Көбінесе қақпаға жол JavaScript файлын имитациялайды, мысалы resp.js, деректер.js және т.б., бірақ сурет файлдарына сілтемелер де пайдаланылады, GIF и JPG. Ерекшелігі мынада, снайфер өлшемі 1-ден 1 пиксельге дейінгі кескін нысанын жасайды және параметр ретінде бұрын алынған сілтемені пайдаланады. SRC Суреттер. Яғни, пайдаланушы үшін трафиктегі мұндай сұраныс кәдімгі суретке сұраныс сияқты көрінеді. Осыған ұқсас әдіс ImageID иісшілдер тобында қолданылған. Сонымен қатар, 1x1 пиксельдік кескін әдісі көптеген заңды онлайн аналитикалық сценарийлерде қолданылады, бұл да пайдаланушыны адастыруы мүмкін.
Нұсқа талдауы
ReactGet sniffer операторлары пайдаланатын белсенді домендердің талдауы осы снайферлер тобының көптеген әртүрлі нұсқаларын анықтады. Нұсқалар күңгірттенудің болуы немесе болмауымен ерекшеленеді, сонымен қатар, әрбір снайферлер интернет-дүкендер үшін банк картасы бойынша төлемдерді өңдейтін белгілі бір төлем жүйесіне арналған. Нұсқа нөміріне сәйкес параметрдің мәні бойынша сұрыптағаннан кейін Group-IB мамандары қол жетімді снайферлік вариациялардың толық тізімін алды және әрбір снайфер бет кодында іздейтін пішін өрістерінің атаулары бойынша төлем жүйелерін анықтады. иісшіл нысанаға алады.
Снайферлер тізімі және оларға сәйкес төлем жүйелері
| Sniffer URL | Төлем жүйесі |
|---|---|
| Authorize.Net | |
| Карточканы сақтау | |
| Authorize.Net | |
| Authorize.Net | |
| eWAY Rapid | |
| Authorize.Net | |
| Адиен | |
| USAePay | |
| Authorize.Net | |
| USAePay | |
| Authorize.Net | |
| Монерис | |
| USAePay | |
| PayPal | |
| SagePay | |
| Verisign | |
| PayPal | |
| жолақ | |
| Realex | |
| PayPal | |
| LinkPoint | |
| PayPal | |
| PayPal | |
| datacash | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Монерис | |
| SagePay | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| Authorize.Net | |
| Монерис | |
| SagePay | |
| SagePay | |
| Chase Paymentech | |
| Authorize.Net | |
| Адиен | |
| PsiGate | |
| киберресурс | |
| ANZ eGate | |
| Realex | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| Realex | |
| SagePay | |
| PayPal | |
| Verisign | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| киберресурс | |
| Authorize.Net | |
| SagePay | |
| Realex | |
| киберресурс | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Rapid | |
| SagePay | |
| SagePay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Бірінші деректер жаһандық шлюзі | |
| Authorize.Net | |
| Authorize.Net | |
| Монерис | |
| Authorize.Net | |
| PayPal | |
| Verisign | |
| USAePay | |
| USAePay | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| жолақ | |
| Authorize.Net | |
| eWAY Rapid | |
| SagePay | |
| Authorize.Net | |
| Braintree | |
| Braintree | |
| PayPal | |
| SagePay | |
| SagePay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| жолақ | |
| Authorize.Net | |
| eWAY Rapid | |
| SagePay | |
| Authorize.Net | |
| Braintree | |
| PayPal | |
| SagePay | |
| SagePay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| SagePay | |
| Westpac PayWay | |
| төлем | |
| PayPal | |
| Authorize.Net | |
| жолақ | |
| Бірінші деректер жаһандық шлюзі | |
| PsiGate | |
| Authorize.Net | |
| Authorize.Net | |
| Монерис | |
| Authorize.Net | |
| SagePay | |
| Verisign | |
| Монерис | |
| PayPal | |
| LinkPoint | |
| Westpac PayWay | |
| Authorize.Net | |
| Монерис | |
| PayPal | |
| Адиен | |
| PayPal | |
| Authorize.Net | |
| USAePay | |
| EBizCharge | |
| Authorize.Net | |
| Verisign | |
| Verisign | |
| Authorize.Net | |
| PayPal | |
| Монерис | |
| Authorize.Net | |
| PayPal | |
| PayPal | |
| Westpac PayWay | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Verisign | |
| Authorize.Net | |
| PayPal | |
| төлем | |
| киберресурс | |
| PayPal PayflowPro | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| жолақ | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| Authorize.Net | |
| PayPal | |
| Флинт | |
| PayPal | |
| SagePay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| жолақ | |
| Майлы Зебра | |
| SagePay | |
| Authorize.Net | |
| Бірінші деректер жаһандық шлюзі | |
| Authorize.Net | |
| eWAY Rapid | |
| Адиен | |
| PayPal | |
| QuickBooks сауда қызметтері | |
| Verisign | |
| SagePay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| eWAY Rapid | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| киберресурс | |
| Authorize.Net | |
| SagePay | |
| Realex | |
| киберресурс | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Rapid | |
| SagePay | |
| SagePay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Бірінші деректер жаһандық шлюзі | |
| Authorize.Net | |
| Authorize.Net | |
| Монерис | |
| Authorize.Net | |
| PayPal |
Құпия сөзді анықтаушы
Веб-сайттың клиенттік жағында жұмыс істейтін JavaScript снайферлерінің артықшылықтарының бірі оның әмбебаптығы болып табылады: веб-сайтқа енгізілген зиянды код деректердің кез келген түрін ұрлауы мүмкін, ол төлем ақпараты немесе пайдаланушы тіркелгісіндегі логин мен құпия сөз болсын. Group-IB мамандары сайт пайдаланушыларының электрондық пошта мекенжайлары мен құпия сөздерін ұрлауға арналған ReactGet отбасына жататын снайфер үлгісін тапты.
ImageID снайферімен қиылысу
Вирус жұқтырған дүкендердің бірін талдау барысында оның веб-сайтына екі рет вирус жұққаны анықталды: ReactGet отбасылық снайферінің зиянды кодынан басқа, ImageID отбасылық снайфердің коды табылды. Бұл қабаттасу екі спикердің артындағы операторлар зиянды кодты енгізу үшін ұқсас әдістерді қолданатынының дәлелі болуы мүмкін.
Әмбебап иісшіл
ReactGet sniffer инфрақұрылымына қатысты домендік атаулардың бірін талдау барысында бір қолданушының тағы үш домен атауын тіркегені анықталды. Бұл үш домен шынайы өмірдегі сайттардың домендерін имитациялады және бұрын снайферлерді орналастыру үшін пайдаланылған. Үш заңды сайттың кодын талдау кезінде белгісіз спикер табылды және одан әрі талдау бұл ReactGet снайферінің жетілдірілген нұсқасы екенін көрсетті. Осы снайферлер тобының бұрын бақыланатын барлық нұсқалары бір төлем жүйесіне бағытталған, яғни әрбір төлем жүйесі үшін снайфердің арнайы нұсқасы қажет болды. Дегенмен, бұл жағдайда 15 түрлі төлем жүйелеріне және онлайн төлемдерге арналған электрондық коммерция сайттарының модульдеріне қатысты пішіндерден ақпаратты ұрлауға қабілетті снайфердің әмбебап нұсқасы табылды.
Сонымен, жұмыстың басында иісші жәбірленушінің жеке мәліметтерін қамтитын негізгі пішін өрістерін іздеді: толық аты-жөні, физикалық мекен-жайы, телефон нөмірі.
Содан кейін снайфер әртүрлі төлем жүйелеріне және онлайн төлемдерге арналған модульдерге сәйкес келетін 15-тен астам әртүрлі префикстерді іздеді.
Әрі қарай, жәбірленушінің жеке деректері мен төлем туралы ақпарат бірге жиналып, шабуылдаушы басқаратын сайтқа жіберілді: бұл жағдайда ReactGet әмбебап снайферінің екі нұсқасы бұзылған екі түрлі сайтта орналасқан. Дегенмен, екі нұсқа да ұрланған деректерді бір бұзылған сайтқа жіберді. zoobashop.com.
Жәбірленушінің төлем ақпараты бар өрістерді табу үшін снайфер пайдаланатын префикстерді талдау бұл снифтер үлгісі келесі төлем жүйелеріне бағытталғанын анықтады:
- Authorize.Net
- Verisign
- Алғашқы деректер
- USAePay
- жолақ
- PayPal
- ANZ eGate
- Braintree
- Data Cash (MasterCard)
- Realex төлемдері
- PsiGate
- Heartland төлем жүйелері
Төлем ақпаратын ұрлау үшін қандай құралдар қолданылады
Шабуыл жасаушылардың инфрақұрылымын талдау кезінде табылған бірінші құрал банк карталарын ұрлауға жауапты зиянды сценарийлерді жасыру үшін қызмет етеді. Шабуыл жасаушылардың хосттарының бірінде жобаның CLI қолданатын bash сценарийі табылды. sniffer кодының бұрмалануын автоматтандыру үшін.
Екінші табылған құрал негізгі снайферді жүктеуге жауапты кодты құруға арналған. Бұл құрал жолдар үшін пайдаланушының ағымдағы мекенжайын іздеу арқылы пайдаланушының тексеру бетінде екенін тексеретін JavaScript кодын жасайды. шығу, арба және т.б. және нәтиже оң болса, онда код бұзушының серверінен негізгі снайферді жүктейді. Зиянды әрекетті жасыру үшін барлық жолдар, соның ішінде төлем бетін анықтауға арналған сынақ жолақтары, сондай-ақ снайферге сілтеме кодталған. негіз 64.
Фишингтік шабуылдар
Шабуыл жасаушылардың желілік инфрақұрылымын талдау барысында қылмыстық топтың мақсатты интернет-дүкеннің әкімшілік панеліне қол жеткізу үшін фишингті жиі қолданатыны анықталды. Қауіптілер дүкен доменіне ұқсайтын доменді тіркейді, содан кейін оған жалған Magento әкімші кіру пішінін орналастырады. Сәтті болса, шабуылдаушылар Magento CMS басқару тақтасына қол жеткізеді, бұл оларға сайт компоненттерін өңдеуге және несие картасы деректерін ұрлау үшін снайферді енгізуге мүмкіндік береді.
Инфрақұрылым
| Домен атауы | Табылған/пайда болған күні |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagtracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trusttracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
G-Analytics отбасы
Бұл иісшілдер отбасы интернет-дүкендердегі клиенттердің карталарын ұрлау үшін қолданылады. Топ қолданатын ең бірінші домендік атау 2016 жылдың сәуір айында тіркелді, бұл топтың 2016 жылдың ортасында жұмыс істей бастағанын көрсетуі мүмкін.
Ағымдағы науқанда топ Google Analytics және jQuery сияқты шынайы қызметтерді имитациялайтын домен атауларын пайдаланады, скрипттердің әрекетін заңды сценарийлермен және заңды көрінетін домен атауларымен жасырады. CMS Magento астында жұмыс істейтін веб-сайттарға шабуыл жасалды.
Интернет-дүкен кодында G-Analytics қалай жүзеге асырылады
Бұл отбасының ерекшелігі - пайдаланушының төлем ақпаратын ұрлаудың әртүрлі әдістерін қолдану. Сайттың клиенттік бөлігіне классикалық JavaScript инъекциясынан басқа, қылмыстық топ сайттың сервер бөлігіне код енгізу әдісін, атап айтқанда, пайдаланушы енгізуін өңдейтін PHP сценарийлерін пайдаланды. Бұл әдіс қауіпті, себебі ол үшінші тарап зерттеушілеріне зиянды кодты анықтауды қиындатады. Group-IB мамандары доменді қақпа ретінде пайдаланып, сайттың PHP кодына енгізілген снайфердің нұсқасын тапты. dittm.org.
Ұрланған деректерді жинау үшін сол доменді пайдаланатын снайфердің ерте нұсқасы да табылды. dittm.org, бірақ бұл нұсқа интернет-дүкеннің клиенттік жағында орнатуға арналған.
Кейінірек бұл топ өз тактикасын өзгертіп, зиянды әрекеттер мен камуфляжды жасыруға көбірек көңіл бөле бастады.
2017 жылдың басында топ доменді пайдалана бастады jquery-js.comjQuery үшін CDN ретінде маскарадтау: зиянды сайтқа өткенде пайдаланушыны заңды сайтқа қайта бағыттайды jquery.com.
Ал 2018 жылдың ортасында топ домендік атауды қабылдады g-analytics.com және sniffer қызметін заңды Google Analytics қызметі ретінде жасыра бастады.
Нұсқа талдауы
Снайферлік кодты сақтау үшін пайдаланылатын домендерді талдау барысында сайтта түсініксіздігімен ерекшеленетін нұсқалардың көптігі, сондай-ақ назарды аудару үшін файлға қосылған қол жетімсіз кодтың болуы немесе болмауы анықталды. және зиянды кодты жасырыңыз.
Сайттағы барлығы jquery-js.com иісшілдердің алты нұсқасы анықталды. Бұл снайферлер ұрланған деректерді иісшінің өзімен бір сайтта орналасқан мекенжайға жібереді: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Кейінірек домен g-analytics.com, топ 2018 жылдың ортасынан бастап шабуылдарда қолданып келеді, бұл көбірек иісшілдер үшін репозиторий ретінде қызмет етеді. Барлығы иісшінің 16 түрлі нұсқасы табылды. Бұл жағдайда ұрланған деректерді жіберуге арналған қақпа пішім кескініне сілтеме ретінде жасырылған. GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Ұрланған деректерді монетизациялау
Қылмыстық топ ұрланған мәліметтерді карташыларға қызмет көрсететін арнайы құрылған астыртын дүкен арқылы карталарды сату арқылы ақшаға айналдырады. Шабуыл жасаушылар пайдаланатын домендерді талдау мұны анықтауға мүмкіндік берді google-analytics.cm домен сияқты пайдаланушы тіркеді cardz.vc. Домен cardz.vc Cardsurfs (Flysurfs) ұрланған банк карталарын сататын дүкенге сілтеме жасайды, ол AlphaBay астыртын базарында снайфер арқылы ұрланған банк карталарын сататын дүкен ретінде танымал болды.
Доменді талдау analytical.is, ұрланған деректерді жинау үшін снайферлер пайдаланатын домендермен бір серверде орналасқан Group-IB мамандары cookie файлдарын ұрлау журналдары бар файлды тапты, оны әзірлеуші кейінірек тастап кеткен сияқты. Журналдағы жазбалардың бірінде домен болды iozoz.com, ол бұрын 2016 жылы белсенді снайферлердің бірінде қолданылған. Болжам бойынша, бұл доменді бұрын шабуылдаушы снайфер арқылы ұрланған карталарды жинау үшін пайдаланған. Бұл домен электрондық пошта мекенжайына тіркелген [электрондық пошта қорғалған], ол домендерді тіркеу үшін де пайдаланылды cardz.su и cardz.vcCardsurfs тарау цехына қатысты.
Алынған деректерге сүйене отырып, G-Analytics sniffer отбасы мен жерасты Cardsurfs банктік карталар дүкенін бір адамдар басқарады және дүкен sniffer көмегімен ұрланған банк карталарын сату үшін пайдаланылады деп болжауға болады.
Инфрақұрылым
| Домен атауы | Табылған/пайда болған күні |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| analytical.to | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| analytical.is | 28.12.2018 |
| googlelc-analytics.cm | 17.01.2019 |
Иллум отбасы
Illum - Magento CMS жұмыс істейтін интернет-дүкендерге шабуыл жасау үшін қолданылатын иісшілдер отбасы. Зиянды кодты енгізуден басқа, осы снайфер операторлары деректерді шабуылдаушылар басқаратын қақпаларға жіберетін толыққанды жалған төлем формаларын енгізуді де пайдаланады.
Осы sniffer операторлары пайдаланатын желілік инфрақұрылымды талдау кезінде зиянды сценарийлердің, эксплуаттардың, жалған төлем нысандарының үлкен саны, сондай-ақ зиянды sniffer бәсекелестері бар мысалдар жинағы атап өтілді. Топ пайдаланатын домендік атаулардың пайда болу күндері туралы ақпаратқа сүйене отырып, науқанның басталуы 2016 жылдың соңына сәйкес келеді деп болжауға болады.
Интернет-дүкеннің кодында Illum қалай жүзеге асырылады
Снайфердің алғашқы табылған нұсқалары тікелей бұзылған сайттың кодына ендірілді. Ұрланған деректер мына мекенжайға жіберілді cdn.illum[.]pw/records.php, қақпасы кодталған негіз 64.
Кейінірек иісшінің қапталған нұсқасы басқа қақпаның көмегімен табылды - records.nstatistics[.]com/records.php.
бойынша Willem de Groot, дәл сол хост іске асырылған снайферде пайдаланылды , Германияның CSU саяси партиясына тиесілі.
Шабуыл сайтын талдау
Group-IB мамандары осы қылмыстық топ құралдарды сақтау және ұрланған ақпаратты жинау үшін пайдаланатын сайтты анықтап, талдау жасады.
Шабуыл жасаушының серверінде табылған құралдардың ішінде Linux ОЖ-де артықшылықты арттыруға арналған сценарийлер мен эксплойттар табылды: мысалы, Майк Цзумак әзірлеген Linux артықшылықты арттыру тексеру сценарийі, сондай-ақ CVE-2009-1185 эксплоиттері.
Шабуылшылар интернет-дүкендерге тікелей шабуыл жасау үшін екі эксплойт пайдаланды: зиянды кодты енгізуге қабілетті негізгі_конфигурация_деректері CVE-2016-4010 пайдалану арқылы, осал веб-серверде еркін кодты орындауға мүмкіндік беретін Magento CMS плагиндеріндегі RCE осалдығын пайдаланады.
Сондай-ақ, серверді талдау барысында шабуылдаушылар бұзылған сайттардан төлем ақпаратын жинау үшін пайдаланатын снайферлердің әртүрлі үлгілері мен жалған төлем нысандары табылды. Төмендегі тізімнен көріп отырғаныңыздай, әрбір бұзылған сайт үшін кейбір сценарийлер жеке жасалған, ал белгілі CMS және төлем шлюздері үшін әмбебап шешім қолданылған. Мысалы, сценарийлер segapay_standard.js и segapay_onpage.js Sage Pay төлем шлюзін пайдаланып сайттарға ендіруге арналған.
Әртүрлі төлем шлюздері үшін сценарийлер тізімі
| Сценарий | Төлем шлюзі |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdirenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standard.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standard.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?төлем= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?төлем= |
| [.]pw/magento/payment_forminsite.js | //paymentnow[.]tk/?төлем= |
Хост paymentnow[.]tk, сценарийде қақпа ретінде пайдаланылады payment_forminsite.js, ретінде ашылды SubjectAltName CloudFlare қызметіне қатысты бірнеше сертификаттарда. Сонымен қатар, сценарий хостта орналасқан evil.js. Сценарийдің атауына қарағанда, ол CVE-2016-4010 эксплуатациясының бөлігі ретінде пайдаланылуы мүмкін еді, соның арқасында Magento CMS жұмыс істейтін сайттың төменгі деректемесіне зиянды кодты енгізуге болады. Бұл сценарий хостты қақпа ретінде пайдаланды request.requestnet[.]tk, хост сияқты бірдей сертификатты пайдалану paymentnow[.]tk.
Жалған төлем нысандары
Төмендегі суретте карта деректерін енгізуге арналған пішіннің мысалы көрсетілген. Бұл пішін интернет-дүкеннің веб-сайтына ену және карта деректерін ұрлау үшін пайдаланылған.
Төмендегі сурет шабуылдаушылар осы төлем әдісін пайдаланып сайттарға ену үшін пайдаланған жалған PayPal төлем пішінінің мысалы болып табылады.
Инфрақұрылым
| Домен атауы | Табылған/пайда болған күні |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| request.payrightnow.cf | 25/05/2018 |
| paymentnow.tk | 16/07/2017 |
| payment-line.tk | 01/03/2018 |
| paymentpal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
Кофе Мокко отбасы
Интернет-дүкен пайдаланушыларының банк карталарын ұрлауға арналған CoffeMokko снайферлер отбасы кем дегенде 2017 жылдың мамыр айынан бері қолданылып келеді. Болжам бойынша, бұл иісшілер отбасының операторлары 1 жылы RiskIQ сарапшылары сипаттаған 2016-ші топ қылмыстық топ болып табылады. Magento, OpenCart, WordPress, osCommerce, Shopify сияқты CMS жұмыс істейтін веб-сайттарға шабуыл жасалды.
CoffeMokko интернет-дүкеннің кодына қалай енгізілген
Бұл топтың операторлары әрбір инфекция үшін бірегей иіскегіштер жасайды: иістеуіш файлы каталогта орналасқан. SRC немесе js шабуылдаушының серверінде. Сайт кодына енгізу снайферге тікелей сілтеме арқылы жүзеге асырылады.
Снайферлік код деректерді ұрлағыңыз келетін пішін өрістерінің атауларын қатты кодтайды. Снайффер сонымен қатар пайдаланушының ағымдағы мекенжайы бойынша кілт сөздер тізімін тексеру арқылы пайдаланушының тексеру бетінде бар-жоғын тексереді.
Снайфердің кейбір табылған нұсқалары түсініксіз болды және ресурстардың негізгі массивін сақтайтын шифрланған жолды қамтыды: онда әртүрлі төлем жүйелеріне арналған пішін өрістерінің атаулары, сондай-ақ ұрланған деректер жіберілетін қақпаның мекенжайы болды.
Ұрланған төлем ақпараты жол бойында шабуылдаушылардың серверіндегі сценарийге жіберілді. /savePayment/index.php немесе /tr/index.php. Болжам бойынша, бұл сценарий қақпадан деректерді барлық снайферлерден біріктіретін негізгі серверге жіберу үшін қолданылады. Жіберілген деректерді жасыру үшін жәбірленушінің барлық төлем ақпараты кодталған негіз 64, содан кейін бірнеше таңба ауыстыру орын алады:
- "e" таңбасы ":" символына ауыстырылды
- «w» таңбасы «+» белгісімен ауыстырылды
- "o" таңбасы "%" белгісімен ауыстырылды
- "d" таңбасы "#" белгісімен ауыстырылды
- «a» таңбасы «-» белгісімен ауыстырылды
- "7" таңбасы "^" белгісімен ауыстырылды
- "h" таңбасы "_" таңбасымен ауыстырылды
- «T» таңбасы «@» белгісімен ауыстырылды
- «0» таңбасы «/» белгісімен ауыстырылады
- "Y" таңбасы "*" белгісімен ауыстырылды
кодталған таңбаларды ауыстыру нәтижесінде негіз 64 деректерді кері түрлендірусіз декодтау мүмкін емес.
Снайферлік кодтың бұлдырылмаған фрагменті келесідей көрінеді:
Инфрақұрылымдық талдау
Алғашқы науқандарда шабуылдаушылар заңды онлайн сауда сайттарының домендік атауларын тіркеді. Олардың домені заңдыдан бір немесе басқа TLD таңбасымен ерекшеленуі мүмкін. Снайферлік кодты сақтау үшін тіркелген домендер пайдаланылды, оның сілтемесі дүкен кодына ендірілген.
Бұл топ танымал jQuery плагиндерін еске түсіретін домен атауларын да пайдаланды (slickjs[.]org плагинді пайдаланатын сайттар үшін slick.js), төлем шлюздері (sagecdn[.]org Sage Pay төлем жүйесін пайдаланатын сайттар үшін).
Кейінірек топ атаулары дүкеннің доменіне де, дүкеннің тақырыбына да еш қатысы жоқ домендерді жасай бастады.
Әрбір домен каталог жасалған сайтқа сәйкес болды /js немесе /src. Sniffer сценарийлері осы каталогта сақталды: әрбір жаңа жұқтыру үшін бір снайфер. Снайфер сайт кодына тікелей сілтеме арқылы енгізілді, бірақ сирек жағдайларда шабуылдаушылар сайт файлдарының бірін өзгертіп, оған зиянды код қосады.
Кодты талдау
Бірінші бұрмалану алгоритмі
Осы отбасының кейбір иіскегіш үлгілерінде код күңгірттенді және иісшінің жұмыс істеуі үшін қажетті шифрланған деректерден тұрады: атап айтқанда, снайфердің қақпасының мекенжайы, төлем пішіні өрістерінің тізімі және кейбір жағдайларда жалған төлем пішінінің коды. Функцияның ішіндегі кодта ресурстар шифрланған XOR сол функцияға аргумент ретінде берілген кілт арқылы.
Әр үлгі үшін бірегей сәйкес кілтпен жолды шифрын ашу арқылы сіз бөлгіш таңбамен бөлінген иісші кодынан барлық жолдарды қамтитын жолды ала аласыз.
Екінші шатастыру алгоритмі
Бұл иісшілдер отбасының кейінгі үлгілерінде басқа шатастыру механизмі қолданылды: бұл жағдайда деректер өздігінен жазылған алгоритм арқылы шифрланған. Снайфер жұмыс істеуі үшін қажетті шифрланған деректерді қамтитын жол шифрды шешу функциясына аргумент ретінде жіберілді.
Браузер консолін пайдалану арқылы шифрланған деректердің шифрын ашуға және снайферлік ресурстарды қамтитын массив алуға болады.
MageCart шабуылдарына сілтеме
Топ ұрланған деректерді жинауға арналған қақпа ретінде пайдаланатын домендердің бірін талдау барысында бұл доменде несие карталарын ұрлауға арналған инфрақұрылым бірінші топтардың бірі болып табылатын 1-топ пайдаланатын инфрақұрылыммен бірдей орналасқаны анықталды. RiskIQ мамандары.
CoffeMokko снайферлер отбасының иесінен екі файл табылды:
- mage.js — қақпа мекенжайы бар 1-топтың снайферлік кодын қамтитын файл js-cdn.link
- mag.php - Снайфер ұрлаған деректерді жинауға жауапты PHP сценарийі
mage.js файлының мазмұны
Сондай-ақ CoffeMokko снайферлер отбасының артында тұрған топ пайдаланған ең ерте домендер 17 жылдың 2017 мамырында тіркелгені анықталды:
- link-js[.]сілтеме
- info-js[.]сілтемесі
- track-js[.]сілтемесі
- map-js[.]сілтемесі
- smart-js[.]сілтемесі
Бұл домендік атаулардың пішімі 1 жылғы шабуылдарда пайдаланылған 2016-топ домендік атауларымен бірдей.
Анықталған фактілерге сүйене отырып, CoffeMokko снайферлік операторлары мен 1-топтың қылмыстық тобы арасында байланыс бар деп болжауға болады. Болжам бойынша, CoffeMokko операторлары өздерінің алдындағы карталарды ұрлау үшін құралдар мен бағдарламалық жасақтаманы алған болуы мүмкін. Дегенмен, CoffeMokko жанұясының иісшілдерін пайдаланудың артында тұрған қылмыстық топ 1-ші топтың қызметі шеңберіндегі шабуылдарды жасаған дәл сол адамдар болуы ықтимал.Қылмыстық топтың қызметі туралы алғашқы есеп жарияланғаннан кейін олардың барлық домендік атаулар бұғатталды, құралдар егжей-тегжейлі зерттелді және сипатталды. Шабуылдарын жалғастыру және назардан тыс қалу үшін топ үзіліс жасауға, ішкі құралдарын дәл баптауға және иісші кодын қайта жазуға мәжбүр болды.
Инфрақұрылым
| Домен атауы | Табылған/пайда болған күні |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| security-payment.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parks.su | 09.01.2018 |
| pmtonline.com | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffetea.org | 31.01.2018 |
| Energycoffe.org | 31.01.2018 |
| Energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| authorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitness.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
Ақпарат көзі: www.habr.com