🥇ក្លិន JavaScript ចំនួនបួនដែលរង់ចាំអ្នកនៅក្នុងហាងអនឡាញ

ស្ទើរតែទាំងអស់នៃពួកយើងប្រើប្រាស់សេវាកម្មរបស់ហាងអនឡាញ ដែលមានន័យថា មិនយូរមិនឆាប់ យើងប្រថុយនឹងការក្លាយជាជនរងគ្រោះនៃ JavaScript sniffers ដែលជាកូដពិសេសដែលអ្នកវាយប្រហារអនុវត្តនៅលើគេហទំព័រដើម្បីលួចទិន្នន័យកាតធនាគារ អាសយដ្ឋាន ការចូល និងពាក្យសម្ងាត់របស់អ្នកប្រើប្រាស់។ .

អ្នកប្រើប្រាស់ស្ទើរតែ 400 នៃគេហទំព័រ និងកម្មវិធីទូរស័ព្ទរបស់ British Airways បានរងផលប៉ះពាល់រួចហើយដោយអ្នកញញួរ ក៏ដូចជាអ្នកទស្សនាគេហទំព័រកីឡាយក្សរបស់អង់គ្លេស FILA និងអ្នកចែកចាយសំបុត្រអាមេរិក Ticketmaster។ PayPal, Chase Paymenttech, USAePay, Moneris - ប្រព័ន្ធទូទាត់ទាំងនេះ និងប្រព័ន្ធទូទាត់ជាច្រើនទៀតត្រូវបានឆ្លងមេរោគ។

អ្នកវិភាគក្រុមហ៊ុន Threat Intelligence Group-IB លោក Viktor Okorokov និយាយអំពីរបៀបដែលអ្នកញញួរជ្រៀតចូលកូដគេហទំព័រ និងលួចព័ត៌មានការទូទាត់ ក៏ដូចជាអ្វីដែល CRMs ដែលពួកគេវាយប្រហារ។

"ការគំរាមកំហែងលាក់កំបាំង"

វាបានកើតឡើងដូច្នេះថា អស់រយៈពេលជាយូរណាស់មកហើយ ឧបករណ៍ស្រូបក្លិនរបស់ JS នៅតែមិនអាចមើលឃើញពីអ្នកវិភាគប្រឆាំងមេរោគ ហើយធនាគារ និងប្រព័ន្ធទូទាត់មិនមើលឃើញថាជាការគំរាមកំហែងធ្ងន់ធ្ងរនោះទេ។ ហើយទាំងស្រុងដោយឥតប្រយោជន៍។ អ្នកជំនាញក្រុម-IB វិភាគ ហាងអនឡាញឆ្លងមេរោគចំនួន 2440 ដែលមានអ្នកចូលទស្សនាសរុបប្រហែល 1,5 លាននាក់ក្នុងមួយថ្ងៃ មានហានិភ័យនៃការសម្របសម្រួល។ ក្នុងចំនោមជនរងគ្រោះមិនត្រឹមតែជាអ្នកប្រើប្រាស់ប៉ុណ្ណោះទេ ថែមទាំងមានហាងអនឡាញ ប្រព័ន្ធទូទាត់ និងធនាគារដែលបានចេញប័ណ្ណសម្របសម្រួល។

របាយការណ៍ Group-IB បានក្លាយជាការសិក្សាដំបូងនៃទីផ្សារ Darknet សម្រាប់ sniffers ហេដ្ឋារចនាសម្ព័ន្ធ និងវិធីសាស្រ្តនៃការរកប្រាក់របស់ពួកគេ ដែលនាំមកនូវអ្នកបង្កើតរបស់ពួកគេរាប់លានដុល្លារ។ យើងបានកំណត់អត្តសញ្ញាណអ្នកហិតក្លិនចំនួន ៣៨ គ្រួសារ ដែលក្នុងនោះមានតែ ១២ នាក់ប៉ុណ្ណោះដែលត្រូវបានអ្នកស្រាវជ្រាវស្គាល់ពីមុន។

ចូរយើងរស់នៅដោយលំអិតអំពីគ្រួសារទាំងបួននៃអ្នក sniffers ដែលបានសិក្សាអំឡុងពេលសិក្សា។

ReactGet គ្រួសារ

Sniffers នៃគ្រួសារ ReactGet ត្រូវបានប្រើដើម្បីលួចទិន្នន័យកាតធនាគារនៅលើគេហទំព័រទិញទំនិញអនឡាញ។ ឧបករណ៍ sniffer អាចធ្វើការជាមួយប្រព័ន្ធទូទាត់ផ្សេងៗគ្នាជាច្រើនដែលប្រើនៅលើគេហទំព័រ៖ តម្លៃប៉ារ៉ាម៉ែត្រមួយត្រូវគ្នានឹងប្រព័ន្ធទូទាត់មួយ ហើយកំណែដែលបានរកឃើញបុគ្គលរបស់ sniffer អាចត្រូវបានប្រើដើម្បីលួចអត្តសញ្ញាណប័ណ្ណ ក៏ដូចជាដើម្បីលួចទិន្នន័យកាតធនាគារពីការទូទាត់។ ទម្រង់នៃប្រព័ន្ធទូទាត់ជាច្រើនក្នុងពេលតែមួយ ដូចជាអ្វីដែលហៅថា universal sniffer។ វាត្រូវបានគេរកឃើញថាក្នុងករណីខ្លះ អ្នកវាយប្រហារធ្វើការវាយប្រហារបន្លំលើអ្នកគ្រប់គ្រងហាងអនឡាញ ដើម្បីទទួលបានសិទ្ធិចូលប្រើបន្ទះរដ្ឋបាលរបស់គេហទំព័រ។

យុទ្ធនាការដែលប្រើក្រុមអ្នកស្មន់នេះបានចាប់ផ្តើមក្នុងខែឧសភា ឆ្នាំ 2017 គេហទំព័រដែលដំណើរការ CMS និង Magento, Bigcommerce និង Shopify platforms ត្រូវបានវាយប្រហារ។

របៀបដែល ReactGet ត្រូវបានអនុវត្តទៅក្នុងកូដនៃហាងអនឡាញ

បន្ថែមពីលើការអនុវត្ត "បុរាណ" នៃស្គ្រីបតាមរយៈតំណ ប្រតិបត្តិករនៃគ្រួសារអ្នកស្មុគ្រស្មាញ ReactGet ប្រើបច្ចេកទេសពិសេសមួយ៖ ដោយប្រើកូដ JavaScript ពួកគេពិនិត្យមើលថាតើអាសយដ្ឋានបច្ចុប្បន្នដែលអ្នកប្រើប្រាស់ស្ថិតនៅត្រូវនឹងលក្ខណៈវិនិច្ឆ័យជាក់លាក់ដែរឬទេ។ កូដព្យាបាទនឹងត្រូវបានប្រតិបត្តិលុះត្រាតែមានខ្សែអក្សររងនៅក្នុង URL បច្ចុប្បន្ន ពិនិត្យមុនពេលចេញ ឬ ការចេញមួយជំហាន, មួយទំព័រ/, ចេញ/onepag, ពិនិត្យចេញ/មួយ។, ច្រកចេញ/មួយ។. ដូច្នេះ កូដ sniffer នឹងត្រូវបានប្រតិបត្តិយ៉ាងពិតប្រាកដនៅពេលអ្នកប្រើប្រាស់បន្តបង់ប្រាក់សម្រាប់ការទិញ និងបញ្ចូលព័ត៌មានការទូទាត់ទៅក្នុងទម្រង់នៅលើគេហទំព័រ។

ឧបករណ៍ស្រូបខ្យល់នេះប្រើបច្ចេកទេសមិនស្តង់ដារ។ ការទូទាត់ និងទិន្នន័យផ្ទាល់ខ្លួនរបស់ជនរងគ្រោះត្រូវបានប្រមូលរួមគ្នា និងអ៊ិនកូដដោយប្រើ មូលដ្ឋាន 64ហើយបន្ទាប់មកខ្សែអក្សរលទ្ធផលត្រូវបានប្រើជាប៉ារ៉ាម៉ែត្រដើម្បីផ្ញើសំណើទៅកាន់គេហទំព័ររបស់អ្នកវាយប្រហារ។ ភាគច្រើនជាញឹកញាប់ ផ្លូវទៅកាន់ច្រកទ្វារធ្វើត្រាប់តាមឯកសារ JavaScript ជាឧទាហរណ៍ resp.js, data.js ហើយដូច្នេះនៅលើ ប៉ុន្តែតំណភ្ជាប់ទៅឯកសាររូបភាពក៏ត្រូវបានប្រើប្រាស់ផងដែរ GIF и JPG. ភាពប្លែកគឺថា sniffer បង្កើតវត្ថុរូបភាពដែលវាស់ 1 គុណនឹង 1 pixel ហើយប្រើតំណភ្ជាប់ដែលទទួលបានពីមុនជាប៉ារ៉ាម៉ែត្រ src រូបភាព។ នោះគឺសម្រាប់អ្នកប្រើដូចជាសំណើក្នុងចរាចរណ៍នឹងមើលទៅដូចជាសំណើសម្រាប់រូបភាពធម្មតាមួយ។ បច្ចេកទេសស្រដៀងគ្នានេះត្រូវបានប្រើនៅក្នុងគ្រួសារ ImageID នៃអ្នកស្មុគ្រស្មាញ។ លើសពីនេះ បច្ចេកទេសនៃការប្រើប្រាស់រូបភាព 1 គុណនឹង 1 ភីកសែល ត្រូវបានប្រើនៅក្នុងស្គ្រីបវិភាគអនឡាញស្របច្បាប់ជាច្រើន ដែលអាចធ្វើឱ្យអ្នកប្រើប្រាស់យល់ច្រឡំផងដែរ។

ការវិភាគកំណែ

ការវិភាគនៃដែនសកម្មដែលប្រើដោយ ReactGet sniffer operators បានបង្ហាញកំណែផ្សេងៗគ្នាជាច្រើននៃគ្រួសារអ្នកស្មុគ្រស្មាញនេះ។ កំណែខុសគ្នានៅក្នុងវត្តមាន ឬអវត្តមាននៃការបំភាន់ ហើយលើសពីនេះទៀត sniffer នីមួយៗត្រូវបានរចនាឡើងសម្រាប់ប្រព័ន្ធទូទាត់ជាក់លាក់ដែលដំណើរការការទូទាត់តាមកាតធនាគារសម្រាប់ហាងអនឡាញ។ ដោយបានតម្រៀបតាមតម្លៃនៃប៉ារ៉ាម៉ែត្រដែលត្រូវនឹងលេខកំណែ អ្នកឯកទេសនៃក្រុម-IB បានទទួលបញ្ជីពេញលេញនៃបំរែបំរួល sniffer ដែលមាន ហើយដោយឈ្មោះនៃទម្រង់បែបបទដែលអ្នក sniffer នីមួយៗស្វែងរកក្នុងលេខកូដទំព័រ ពួកគេបានកំណត់អត្តសញ្ញាណប្រព័ន្ធទូទាត់ ដែល sniffer មានគោលបំណង។

បញ្ជីនៃ sniffers និងប្រព័ន្ធទូទាត់ដែលត្រូវគ្នារបស់ពួកគេ។

Sniffer URL	ប្រព័ន្ធទូទាត់
reactjsapi.com/react.js	ផ្តល់សិទ្ធិ
ajaxstatic.com/api.js?v=2.1.1	ប័ណ្ណសន្សំ
ajaxstatic.com/api.js?v=2.1.2	ផ្តល់សិទ្ធិ
ajaxstatic.com/api.js?v=2.1.3	ផ្តល់សិទ្ធិ
ajaxstatic.com/api.js?v=2.1.4	eWAY លឿន
ajaxstatic.com/api.js?v=2.1.5	ផ្តល់សិទ្ធិ
ajaxstatic.com/api.js?v=2.1.6	អាឌីន
ajaxstatic.com/api.js?v=2.1.7	USAePay
ajaxstatic.com/api.js?v=2.1.9	ផ្តល់សិទ្ធិ
apitstatus.com/api.js?v=2.1.1	USAePay
apitstatus.com/api.js?v=2.1.2	ផ្តល់សិទ្ធិ
apitstatus.com/api.js?v=2.1.3	ម៉ូរីស
apitstatus.com/api.js?v=2.1.5	USAePay
apitstatus.com/api.js?v=2.1.6	PayPal
apitstatus.com/api.js?v=2.1.7	SagePay
apitstatus.com/api.js?v=2.1.8	Verisign
apitstatus.com/api.js?v=2.1.9	PayPal
apitstatus.com/api.js?v=2.3.0	ឆ្នូត
apitstatus.com/api.js?v=3.0.2	ក្រុមហ៊ុន Realex
apitstatus.com/api.js?v=3.0.3	PayPal
apitstatus.com/api.js?v=3.0.4	LinkPoint
apitstatus.com/api.js?v=3.0.5	PayPal
apitstatus.com/api.js?v=3.0.7	PayPal
apitstatus.com/api.js?v=3.0.8	DataCash
apitstatus.com/api.js?v=3.0.9	PayPal
asianfoodgracer.com/footer.js	ផ្តល់សិទ្ធិ
billgetstatus.com/api.js?v=1.2	ផ្តល់សិទ្ធិ
billgetstatus.com/api.js?v=1.3	ផ្តល់សិទ្ធិ
billgetstatus.com/api.js?v=1.4	ផ្តល់សិទ្ធិ
billgetstatus.com/api.js?v=1.5	Verisign
billgetstatus.com/api.js?v=1.6	ផ្តល់សិទ្ធិ
billgetstatus.com/api.js?v=1.7	ម៉ូរីស
billgetstatus.com/api.js?v=1.8	SagePay
billgetstatus.com/api.js?v=2.0	USAePay
billgetstatus.com/react.js	ផ្តល់សិទ្ធិ
cloudodesc.com/gtm.js?v=1.2	ផ្តល់សិទ្ធិ
cloudodesc.com/gtm.js?v=1.3	ANZ eGate
cloudodesc.com/gtm.js?v=2.3	ផ្តល់សិទ្ធិ
cloudodesc.com/gtm.js?v=2.4	ម៉ូរីស
cloudodesc.com/gtm.js?v=2.6	SagePay
cloudodesc.com/gtm.js?v=2.7	SagePay
cloudodesc.com/gtm.js?v=2.8	Chase Paymentech
cloudodesc.com/gtm.js?v=2.9	ផ្តល់សិទ្ធិ
cloudodesc.com/gtm.js?v=2.91	អាឌីន
cloudodesc.com/gtm.js?v=2.92	PsiGate
cloudodesc.com/gtm.js?v=2.93	ប្រភព Cyber
cloudodesc.com/gtm.js?v=2.95	ANZ eGate
cloudodesc.com/gtm.js?v=2.97	ក្រុមហ៊ុន Realex
geisseie.com/gs.js	USAePay
gtmproc.com/age.js	ផ្តល់សិទ្ធិ
gtmproc.com/gtm.js?v=1.2	ផ្តល់សិទ្ធិ
gtmproc.com/gtm.js?v=1.3	ANZ eGate
gtmproc.com/gtm.js?v=1.5	PayPal
gtmproc.com/gtm.js?v=1.6	PayPal
gtmproc.com/gtm.js?v=1.7	ក្រុមហ៊ុន Realex
livecheckpay.com/api.js?v=2.0	SagePay
livecheckpay.com/api.js?v=2.1	PayPal
livecheckpay.com/api.js?v=2.2	Verisign
livecheckpay.com/api.js?v=2.3	ផ្តល់សិទ្ធិ
livecheckpay.com/api.js?v=2.4	Verisign
livecheckpay.com/react.js	ផ្តល់សិទ្ធិ
livegetpay.com/pay.js?v=2.1.2	ANZ eGate
livegetpay.com/pay.js?v=2.1.3	PayPal
livegetpay.com/pay.js?v=2.1.5	ប្រភព Cyber
livegetpay.com/pay.js?v=2.1.7	ផ្តល់សិទ្ធិ
livegetpay.com/pay.js?v=2.1.8	SagePay
livegetpay.com/pay.js?v=2.1.9	ក្រុមហ៊ុន Realex
livegetpay.com/pay.js?v=2.2.0	ប្រភព Cyber
livegetpay.com/pay.js?v=2.2.1	PayPal
livegetpay.com/pay.js?v=2.2.2	PayPal
livegetpay.com/pay.js?v=2.2.3	PayPal
livegetpay.com/pay.js?v=2.2.4	Verisign
livegetpay.com/pay.js?v=2.2.5	eWAY លឿន
livegetpay.com/pay.js?v=2.2.7	SagePay
livegetpay.com/pay.js?v=2.2.8	SagePay
livegetpay.com/pay.js?v=2.2.9	Verisign
livegetpay.com/pay.js?v=2.3.0	ផ្តល់សិទ្ធិ
livegetpay.com/pay.js?v=2.3.1	ផ្តល់សិទ្ធិ
livegetpay.com/pay.js?v=2.3.2	ច្រកទ្វារសកលទិន្នន័យដំបូង
livegetpay.com/pay.js?v=2.3.3	ផ្តល់សិទ្ធិ
livegetpay.com/pay.js?v=2.3.4	ផ្តល់សិទ្ធិ
livegetpay.com/pay.js?v=2.3.5	ម៉ូរីស
livegetpay.com/pay.js?v=2.3.6	ផ្តល់សិទ្ធិ
livegetpay.com/pay.js?v=2.3.8	PayPal
livegetpay.com/pay.js?v=2.4.0	Verisign
maxstatics.com/site.js	USAePay
mediapack.info/track.js?d=funlove.com	USAePay
mediapack.info/track.js?d=qbedding.com	ផ្តល់សិទ្ធិ
mediapack.info/track.js?d=vseyewear.com	Verisign
mxcounter.com/c.js?v=1.2	PayPal
mxcounter.com/c.js?v=1.3	ផ្តល់សិទ្ធិ
mxcounter.com/c.js?v=1.4	ឆ្នូត
mxcounter.com/c.js?v=1.6	ផ្តល់សិទ្ធិ
mxcounter.com/c.js?v=1.7	eWAY លឿន
mxcounter.com/c.js?v=1.8	SagePay
mxcounter.com/c.js?v=2.0	ផ្តល់សិទ្ធិ
mxcounter.com/c.js?v=2.1	Braintree
mxcounter.com/c.js?v=2.10	Braintree
mxcounter.com/c.js?v=2.2	PayPal
mxcounter.com/c.js?v=2.3	SagePay
mxcounter.com/c.js?v=2.31	SagePay
mxcounter.com/c.js?v=2.32	ផ្តល់សិទ្ធិ
mxcounter.com/c.js?v=2.33	PayPal
mxcounter.com/c.js?v=2.34	ផ្តល់សិទ្ធិ
mxcounter.com/c.js?v=2.35	Verisign
mxcounter.com/click.js?v=1.2	PayPal
mxcounter.com/click.js?v=1.3	ផ្តល់សិទ្ធិ
mxcounter.com/click.js?v=1.4	ឆ្នូត
mxcounter.com/click.js?v=1.6	ផ្តល់សិទ្ធិ
mxcounter.com/click.js?v=1.7	eWAY លឿន
mxcounter.com/click.js?v=1.8	SagePay
mxcounter.com/click.js?v=2.0	ផ្តល់សិទ្ធិ
mxcounter.com/click.js?v=2.1	Braintree
mxcounter.com/click.js?v=2.2	PayPal
mxcounter.com/click.js?v=2.3	SagePay
mxcounter.com/click.js?v=2.31	SagePay
mxcounter.com/click.js?v=2.32	ផ្តល់សិទ្ធិ
mxcounter.com/click.js?v=2.33	PayPal
mxcounter.com/click.js?v=2.34	ផ្តល់សិទ្ធិ
mxcounter.com/click.js?v=2.35	Verisign
mxcounter.com/cnt.js	ផ្តល់សិទ្ធិ
mxcounter.com/j.js	ផ្តល់សិទ្ធិ
newrelicnet.com/api.js?v=1.2	ផ្តល់សិទ្ធិ
newrelicnet.com/api.js?v=1.4	ផ្តល់សិទ្ធិ
newrelicnet.com/api.js?v=1.8	SagePay
newrelicnet.com/api.js?v=4.5	SagePay
newrelicnet.com/api.js?v=4.6	Westpac PayWay
nr-public.com/api.js?v=2.0	ការបង់ប្រាក់
nr-public.com/api.js?v=2.1	PayPal
nr-public.com/api.js?v=2.2	ផ្តល់សិទ្ធិ
nr-public.com/api.js?v=2.3	ឆ្នូត
nr-public.com/api.js?v=2.4	ច្រកទ្វារសកលទិន្នន័យដំបូង
nr-public.com/api.js?v=2.5	PsiGate
nr-public.com/api.js?v=2.6	ផ្តល់សិទ្ធិ
nr-public.com/api.js?v=2.7	ផ្តល់សិទ្ធិ
nr-public.com/api.js?v=2.8	ម៉ូរីស
nr-public.com/api.js?v=2.9	ផ្តល់សិទ្ធិ
nr-public.com/api.js?v=3.1	SagePay
nr-public.com/api.js?v=3.2	Verisign
nr-public.com/api.js?v=3.3	ម៉ូរីស
nr-public.com/api.js?v=3.5	PayPal
nr-public.com/api.js?v=3.6	LinkPoint
nr-public.com/api.js?v=3.7	Westpac PayWay
nr-public.com/api.js?v=3.8	ផ្តល់សិទ្ធិ
nr-public.com/api.js?v=4.0	ម៉ូរីស
nr-public.com/api.js?v=4.0.2	PayPal
nr-public.com/api.js?v=4.0.3	អាឌីន
nr-public.com/api.js?v=4.0.4	PayPal
nr-public.com/api.js?v=4.0.5	ផ្តល់សិទ្ធិ
nr-public.com/api.js?v=4.0.6	USAePay
nr-public.com/api.js?v=4.0.7	EBizCharge
nr-public.com/api.js?v=4.0.8	ផ្តល់សិទ្ធិ
nr-public.com/api.js?v=4.0.9	Verisign
nr-public.com/api.js?v=4.1.2	Verisign
ordercheckpays.com/api.js?v=2.11	ផ្តល់សិទ្ធិ
ordercheckpays.com/api.js?v=2.12	PayPal
ordercheckpays.com/api.js?v=2.13	ម៉ូរីស
ordercheckpays.com/api.js?v=2.14	ផ្តល់សិទ្ធិ
ordercheckpays.com/api.js?v=2.15	PayPal
ordercheckpays.com/api.js?v=2.16	PayPal
ordercheckpays.com/api.js?v=2.17	Westpac PayWay
ordercheckpays.com/api.js?v=2.18	ផ្តល់សិទ្ធិ
ordercheckpays.com/api.js?v=2.19	ផ្តល់សិទ្ធិ
ordercheckpays.com/api.js?v=2.21	SagePay
ordercheckpays.com/api.js?v=2.22	Verisign
ordercheckpays.com/api.js?v=2.23	ផ្តល់សិទ្ធិ
ordercheckpays.com/api.js?v=2.24	PayPal
ordercheckpays.com/api.js?v=2.25	ការបង់ប្រាក់
ordercheckpays.com/api.js?v=2.29	ប្រភព Cyber
ordercheckpays.com/api.js?v=2.4	PayPal Payflow Pro
ordercheckpays.com/api.js?v=2.7	ផ្តល់សិទ្ធិ
ordercheckpays.com/api.js?v=2.8	ផ្តល់សិទ្ធិ
ordercheckpays.com/api.js?v=2.9	Verisign
ordercheckpays.com/api.js?v=3.1	ផ្តល់សិទ្ធិ
ordercheckpays.com/api.js?v=3.2	ផ្តល់សិទ្ធិ
ordercheckpays.com/api.js?v=3.3	SagePay
ordercheckpays.com/api.js?v=3.4	ផ្តល់សិទ្ធិ
ordercheckpays.com/api.js?v=3.5	ឆ្នូត
ordercheckpays.com/api.js?v=3.6	ផ្តល់សិទ្ធិ
ordercheckpays.com/api.js?v=3.7	ផ្តល់សិទ្ធិ
ordercheckpays.com/api.js?v=3.8	Verisign
ordercheckpays.com/api.js?v=3.9	PayPal
ordercheckpays.com/api.js?v=4.0	ផ្តល់សិទ្ធិ
ordercheckpays.com/api.js?v=4.1	ផ្តល់សិទ្ធិ
ordercheckpays.com/api.js?v=4.2	SagePay
ordercheckpays.com/api.js?v=4.3	ផ្តល់សិទ្ធិ
reactjsapi.com/api.js?v=0.1.0	ផ្តល់សិទ្ធិ
reactjsapi.com/api.js?v=0.1.1	PayPal
reactjsapi.com/api.js?v=4.1.2	flint
reactjsapi.com/api.js?v=4.1.4	PayPal
reactjsapi.com/api.js?v=4.1.5	SagePay
reactjsapi.com/api.js?v=4.1.51	Verisign
reactjsapi.com/api.js?v=4.1.6	ផ្តល់សិទ្ធិ
reactjsapi.com/api.js?v=4.1.7	ផ្តល់សិទ្ធិ
reactjsapi.com/api.js?v=4.1.8	ឆ្នូត
reactjsapi.com/api.js?v=4.1.9	សេះបង្កង់ខ្លាញ់
reactjsapi.com/api.js?v=4.2.0	SagePay
reactjsapi.com/api.js?v=4.2.1	ផ្តល់សិទ្ធិ
reactjsapi.com/api.js?v=4.2.2	ច្រកទ្វារសកលទិន្នន័យដំបូង
reactjsapi.com/api.js?v=4.2.3	ផ្តល់សិទ្ធិ
reactjsapi.com/api.js?v=4.2.4	eWAY លឿន
reactjsapi.com/api.js?v=4.2.5	អាឌីន
reactjsapi.com/api.js?v=4.2.7	PayPal
reactjsapi.com/api.js?v=4.2.8	សេវាកម្មអ្នកលក់សៀវភៅរហ័ស
reactjsapi.com/api.js?v=4.2.9	Verisign
reactjsapi.com/api.js?v=4.2.91	SagePay
reactjsapi.com/api.js?v=4.2.92	Verisign
reactjsapi.com/api.js?v=4.2.94	ផ្តល់សិទ្ធិ
reactjsapi.com/api.js?v=4.3.97	ផ្តល់សិទ្ធិ
reactjsapi.com/api.js?v=4.5	SagePay
reactjsapi.com/react.js	ផ្តល់សិទ្ធិ
sydneysalonsupplies.com/gtm.js	eWAY លឿន
tagsmediaget.com/react.js	ផ្តល់សិទ្ធិ
tagstracking.com/tag.js?v=2.1.2	ANZ eGate
tagstracking.com/tag.js?v=2.1.3	PayPal
tagstracking.com/tag.js?v=2.1.5	ប្រភព Cyber
tagstracking.com/tag.js?v=2.1.7	ផ្តល់សិទ្ធិ
tagstracking.com/tag.js?v=2.1.8	SagePay
tagstracking.com/tag.js?v=2.1.9	ក្រុមហ៊ុន Realex
tagstracking.com/tag.js?v=2.2.0	ប្រភព Cyber
tagstracking.com/tag.js?v=2.2.1	PayPal
tagstracking.com/tag.js?v=2.2.2	PayPal
tagstracking.com/tag.js?v=2.2.3	PayPal
tagstracking.com/tag.js?v=2.2.4	Verisign
tagstracking.com/tag.js?v=2.2.5	eWAY លឿន
tagstracking.com/tag.js?v=2.2.7	SagePay
tagstracking.com/tag.js?v=2.2.8	SagePay
tagstracking.com/tag.js?v=2.2.9	Verisign
tagstracking.com/tag.js?v=2.3.0	ផ្តល់សិទ្ធិ
tagstracking.com/tag.js?v=2.3.1	ផ្តល់សិទ្ធិ
tagstracking.com/tag.js?v=2.3.2	ច្រកទ្វារសកលទិន្នន័យដំបូង
tagstracking.com/tag.js?v=2.3.3	ផ្តល់សិទ្ធិ
tagstracking.com/tag.js?v=2.3.4	ផ្តល់សិទ្ធិ
tagstracking.com/tag.js?v=2.3.5	ម៉ូរីស
tagstracking.com/tag.js?v=2.3.6	ផ្តល់សិទ្ធិ
tagstracking.com/tag.js?v=2.3.8	PayPal

ពាក្យសម្ងាត់ sniffer

គុណសម្បត្តិមួយក្នុងចំណោមគុណសម្បត្តិរបស់ JavaScript sniffers ដែលធ្វើការនៅផ្នែកអតិថិជននៃគេហទំព័រគឺភាពអាចប្រើប្រាស់បានរបស់ពួកគេ៖ កូដព្យាបាទដែលបានបង្កប់នៅលើគេហទំព័រអាចលួចទិន្នន័យគ្រប់ប្រភេទ មិនថាជាទិន្នន័យបង់ប្រាក់ ឬការចូល និងពាក្យសម្ងាត់នៃគណនីអ្នកប្រើប្រាស់។ អ្នកឯកទេសនៃក្រុម-IB បានរកឃើញគំរូនៃអ្នកស្រូបក្លិនដែលជាកម្មសិទ្ធិរបស់ក្រុមគ្រួសារ ReactGet ដែលត្រូវបានរចនាឡើងដើម្បីលួចអាសយដ្ឋានអ៊ីមែល និងពាក្យសម្ងាត់របស់អ្នកប្រើប្រាស់គេហទំព័រ។

ប្រសព្វជាមួយ ImageID sniffer

ក្នុងអំឡុងពេលនៃការវិភាគនៃហាងដែលមានមេរោគមួយ វាត្រូវបានគេរកឃើញថាគេហទំព័ររបស់វាត្រូវបានឆ្លងមេរោគពីរដង៖ បន្ថែមពីលើកូដព្យាបាទរបស់ ReactGet family sniffer លេខកូដនៃ ImageID family sniffer ត្រូវបានរកឃើញ។ ការត្រួតស៊ីគ្នានេះអាចជាភ័ស្តុតាងដែលថាប្រតិបត្តិករនៅពីក្រោយឧបករណ៍ស្រូបខ្យល់ទាំងពីរប្រើបច្ចេកទេសស្រដៀងគ្នាដើម្បីចាក់បញ្ចូលកូដព្យាបាទ។

ឧបករណ៍ស្រូបខ្យល់

ការវិភាគនៃឈ្មោះដែនមួយដែលត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងហេដ្ឋារចនាសម្ព័ន្ធ sniffer ReactGet បានបង្ហាញថាអ្នកប្រើប្រាស់ដូចគ្នាបានចុះឈ្មោះឈ្មោះដែនចំនួនបីផ្សេងទៀត។ ដែនទាំងបីនេះធ្វើត្រាប់តាមដែននៃគេហទំព័រជីវិតពិត ហើយពីមុនត្រូវបានប្រើដើម្បីធ្វើជាម្ចាស់ផ្ទះ sniffers ។ នៅពេលវិភាគកូដនៃគេហទំព័រស្របច្បាប់ចំនួនបី បានរកឃើញឧបករណ៍ស្មិតដែលមិនស្គាល់មួយ ហើយការវិភាគបន្ថែមបានបង្ហាញថាវាគឺជាកំណែប្រសើរឡើងនៃ ReactGet sniffer ។ កំណែដែលបានត្រួតពិនិត្យពីមុនទាំងអស់នៃគ្រួសារអ្នកញញីញីនេះ គឺសំដៅលើប្រព័ន្ធទូទាត់តែមួយ ពោលគឺប្រព័ន្ធទូទាត់នីមួយៗទាមទារកំណែពិសេសនៃអ្នកញញួរ។ ទោះយ៉ាងណាក៏ដោយ ក្នុងករណីនេះ កំណែជាសកលនៃ sniffer ត្រូវបានរកឃើញដែលមានសមត្ថភាពលួចព័ត៌មានពីទម្រង់ទាក់ទងនឹងប្រព័ន្ធទូទាត់ចំនួន 15 ផ្សេងគ្នា និងម៉ូឌុលនៃគេហទំព័រ e-commerce សម្រាប់ធ្វើការទូទាត់តាមអ៊ីនធឺណិត។

ដូច្នេះ នៅពេលចាប់ផ្តើមការងារ អ្នកជក់បានស្វែងរកវាលទម្រង់មូលដ្ឋានដែលមានព័ត៌មានផ្ទាល់ខ្លួនរបស់ជនរងគ្រោះ៖ ឈ្មោះពេញ អាសយដ្ឋានរូបវន្ត លេខទូរសព្ទ។

បន្ទាប់មក sniffer បានស្វែងរកជាង 15 បុព្វបទផ្សេងគ្នាដែលត្រូវគ្នាទៅនឹងប្រព័ន្ធទូទាត់ផ្សេងគ្នា និងម៉ូឌុលទូទាត់តាមអ៊ីនធឺណិត។

បន្ទាប់មក ទិន្នន័យផ្ទាល់ខ្លួន និងព័ត៌មានការទូទាត់របស់ជនរងគ្រោះត្រូវបានប្រមូលរួមគ្នា ហើយផ្ញើទៅកាន់គេហទំព័រដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ៖ ក្នុងករណីពិសេសនេះ កំណែពីរនៃ ReactGet sniffer សកលត្រូវបានរកឃើញ ដែលមានទីតាំងនៅលើគេហទំព័រដែលត្រូវបានគេលួចចូលពីរផ្សេងគ្នា។ ទោះយ៉ាងណាក៏ដោយ កំណែទាំងពីរបានបញ្ជូនទិន្នន័យលួចទៅគេហទំព័រដែលគេលួចចូលដូចគ្នា។ zoobashop.com.

ការវិភាគនៃបុព្វបទដែលអ្នក sniffer ប្រើដើម្បីស្វែងរកវាលដែលមានព័ត៌មានការទូទាត់របស់ជនរងគ្រោះបានអនុញ្ញាតឱ្យយើងកំណត់ថាគំរូ sniffer នេះគឺសំដៅទៅលើប្រព័ន្ធទូទាត់ដូចខាងក្រោម៖

ផ្តល់សិទ្ធិ
Verisign
ទិន្នន័យដំបូង
USAePay
ឆ្នូត
PayPal
ANZ eGate
Braintree
DataCash (កាតម៉ាស្ទ័រ)
ការទូទាត់របស់ Realex
PsiGate
ប្រព័ន្ធទូទាត់ Heartland

តើឧបករណ៍អ្វីខ្លះដែលត្រូវបានប្រើដើម្បីលួចព័ត៌មានការទូទាត់?

ឧបករណ៍ទីមួយដែលត្រូវបានរកឃើញក្នុងអំឡុងពេលវិភាគហេដ្ឋារចនាសម្ព័ន្ធរបស់អ្នកវាយប្រហារ ត្រូវបានប្រើដើម្បីបំភាន់ស្គ្រីបព្យាបាទដែលទទួលខុសត្រូវចំពោះការលួចកាតធនាគារ។ ស្គ្រីប bash ដោយប្រើ CLI របស់គម្រោងត្រូវបានរកឃើញនៅលើម៉ាស៊ីនមួយរបស់អ្នកវាយប្រហារ javascript-obfuscator ដើម្បីធ្វើស្វ័យប្រវត្តិកម្មភាពច្របូកច្របល់នៃកូដ sniffer ។

ឧបករណ៍ដែលបានរកឃើញទីពីរត្រូវបានរចនាឡើងដើម្បីបង្កើតកូដដែលទទួលខុសត្រូវសម្រាប់ការផ្ទុកមេ sniffer ។ ឧបករណ៍នេះបង្កើតកូដ JavaScript ដែលពិនិត្យមើលថាតើអ្នកប្រើប្រាស់នៅលើទំព័របង់ប្រាក់ដោយស្វែងរកអាសយដ្ឋានបច្ចុប្បន្នរបស់អ្នកប្រើសម្រាប់ខ្សែអក្សរ ពិនិត្យមុនពេលចេញ, រទេះ ហើយដូច្នេះនៅលើ ហើយប្រសិនបើលទ្ធផលគឺវិជ្ជមាន នោះកូដនឹងផ្ទុកមេ sniffer ពី server របស់អ្នកវាយប្រហារ។ ដើម្បីលាក់សកម្មភាពព្យាបាទ បន្ទាត់ទាំងអស់ រួមទាំងបន្ទាត់សាកល្បងសម្រាប់កំណត់ទំព័របង់ប្រាក់ ក៏ដូចជាតំណភ្ជាប់ទៅកាន់អ្នកញញួរត្រូវបានអ៊ិនកូដដោយប្រើ មូលដ្ឋាន 64.

ការវាយប្រហារដោយបន្លំ

ការវិភាគលើហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញរបស់អ្នកវាយប្រហារបានបង្ហាញថា ក្រុមឧក្រិដ្ឋជនជារឿយៗប្រើការបន្លំដើម្បីទទួលបានការចូលទៅកាន់ផ្ទាំងរដ្ឋបាលនៃហាងអនឡាញគោលដៅ។ អ្នកវាយប្រហារចុះឈ្មោះដែនដែលមើលឃើញស្រដៀងនឹងដែនរបស់ហាង ហើយបន្ទាប់មកដាក់ពង្រាយទម្រង់ចូលបន្ទះគ្រប់គ្រង Magento ក្លែងក្លាយនៅលើវា។ ប្រសិនបើជោគជ័យ អ្នកវាយប្រហារនឹងអាចចូលទៅកាន់ផ្ទាំងគ្រប់គ្រងនៃ Magento CMS ដែលផ្តល់ឱ្យពួកគេនូវឱកាសដើម្បីកែសម្រួលសមាសធាតុគេហទំព័រ និងអនុវត្តការលួចស្តាប់ទិន្នន័យកាតឥណទាន។

ហេដ្ឋារចនាសម្ព័ន្ធ

Домен	កាលបរិច្ឆេទនៃការរកឃើញ/រូបរាង
mediapack.info	04.05.2017
adsgetapi.com	15.06.2017
simcounter.com	14.08.2017
mageanalytics.com	22.12.2017
maxstatics.com	16.01.2018
reactjsapi.com	19.01.2018
mxcounter.com	02.02.2018
apitstatus.com	01.03.2018
orderracker.com	20.04.2018
tagstracking.com	25.06.2018
adsapigate.com	12.07.2018
trust-tracker.com	15.07.2018
fbstatspartner.com	02.10.2018
billgetstatus.com	12.10.2018
www.aldenmlilhouse.com	20.10.2018
balletbeautlful.com	20.10.2018
bargalnjunkie.com	20.10.2018
payselector.com	21.10.2018
tagsmediaget.com	02.11.2018
hs-payments.com	16.11.2018
ordercheckpays.com	19.11.2018
geisseie.com	24.11.2018
gtmproc.com	29.11.2018
livegetpay.com	18.12.2018
sydneysalonsupplies.com	18.12.2018
newrelicnet.com	19.12.2018
nr-public.com	03.01.2019
cloudodesc.com	04.01.2019
ajaxstatic.com	11.01.2019
livecheckpay.com	21.01.2019
asianfoodgracer.com	25.01.2019

គ្រួសារ G-Analytics

គ្រួសារអ្នកញីញីនេះត្រូវបានប្រើដើម្បីលួចកាតអតិថិជនពីហាងអនឡាញ។ ឈ្មោះដែនដំបូងគេដែលប្រើដោយក្រុមត្រូវបានចុះឈ្មោះក្នុងខែមេសា ឆ្នាំ 2016 ដែលអាចបង្ហាញថាក្រុមនេះបានចាប់ផ្តើមសកម្មភាពនៅពាក់កណ្តាលឆ្នាំ 2016 ។

នៅក្នុងយុទ្ធនាការបច្ចុប្បន្ន ក្រុមនេះប្រើប្រាស់ឈ្មោះដែនដែលធ្វើត្រាប់តាមសេវាកម្មជីវិតពិត ដូចជា Google Analytics និង jQuery ដោយបិទបាំងសកម្មភាពរបស់អ្នកញញីញីជាមួយនឹងស្គ្រីបស្របច្បាប់ និងឈ្មោះដែនដែលស្រដៀងនឹងឈ្មោះស្របច្បាប់។ គេហទំព័រដែលដំណើរការ Magento CMS ត្រូវបានវាយប្រហារ។

របៀបដែល G-Analytics ត្រូវបានអនុវត្តទៅក្នុងកូដនៃហាងអនឡាញ

លក្ខណៈពិសេសប្លែកនៃគ្រួសារនេះគឺការប្រើប្រាស់វិធីសាស្រ្តផ្សេងៗដើម្បីលួចព័ត៌មានការទូទាត់របស់អ្នកប្រើប្រាស់។ បន្ថែមពីលើការចាក់កូដ JavaScript បុរាណទៅក្នុងផ្នែកអតិថិជននៃគេហទំព័រ ក្រុមឧក្រិដ្ឋជនក៏បានប្រើបច្ចេកទេសចាក់កូដទៅក្នុងផ្នែកម៉ាស៊ីនមេនៃគេហទំព័រ ពោលគឺស្គ្រីប PHP ដែលដំណើរការទិន្នន័យបញ្ចូលដោយអ្នកប្រើប្រាស់។ បច្ចេកទេសនេះគឺមានគ្រោះថ្នាក់ព្រោះវាធ្វើឱ្យអ្នកស្រាវជ្រាវភាគីទីបីពិបាករកឃើញកូដព្យាបាទ។ អ្នកឯកទេសនៃក្រុម-IB បានរកឃើញកំណែនៃ sniffer ដែលបានបង្កប់នៅក្នុងកូដ PHP របស់គេហទំព័រ ដោយប្រើដែនជាច្រក dittm.org.

កំណែដំបូងនៃ sniffer ក៏ត្រូវបានរកឃើញដែលប្រើដែនដូចគ្នាដើម្បីប្រមូលទិន្នន័យដែលលួច dittm.orgប៉ុន្តែកំណែនេះត្រូវបានបម្រុងទុកសម្រាប់ការដំឡើងនៅលើផ្នែកអតិថិជននៃហាងអនឡាញមួយ។

ក្រុមនេះក្រោយមកបានផ្លាស់ប្តូរយុទ្ធសាស្ត្ររបស់ខ្លួន ហើយចាប់ផ្តើមផ្តោតការយកចិត្តទុកដាក់បន្ថែមទៀតលើការលាក់សកម្មភាពព្យាបាទ និងការក្លែងបន្លំ។

នៅដើមឆ្នាំ 2017 ក្រុមបានចាប់ផ្តើមប្រើប្រាស់ដែន jquery-js.comដោយក្លែងបន្លំជា CDN សម្រាប់ jQuery៖ នៅពេលចូលទៅកាន់គេហទំព័ររបស់អ្នកវាយប្រហារ អ្នកប្រើប្រាស់ត្រូវបានបញ្ជូនបន្តទៅកាន់គេហទំព័រស្របច្បាប់ jquery.com.

ហើយនៅពាក់កណ្តាលឆ្នាំ 2018 ក្រុមនេះបានទទួលយកឈ្មោះដែន g-analytics.com ហើយបានចាប់ផ្តើមក្លែងបន្លំសកម្មភាពរបស់អ្នកស្មន់ជាសេវាកម្ម Google Analytics ស្របច្បាប់។

ការវិភាគកំណែ

ក្នុងអំឡុងពេលនៃការវិភាគនៃដែនដែលប្រើដើម្បីរក្សាទុកកូដ sniffer វាត្រូវបានគេរកឃើញថាគេហទំព័រនេះមានកំណែមួយចំនួនធំ ដែលមានភាពខុសប្លែកគ្នានៅក្នុងវត្តមាននៃការយល់ច្រឡំ ក៏ដូចជាវត្តមាន ឬអវត្តមាននៃកូដដែលមិនអាចទៅដល់បានដែលត្រូវបានបន្ថែមទៅក្នុងឯកសារដើម្បីរំខានការយកចិត្តទុកដាក់។ និងលាក់លេខកូដព្យាបាទ។

សរុបនៅលើគេហទំព័រ jquery-js.com កំណែចំនួនប្រាំមួយនៃការ sniffers ត្រូវបានកំណត់អត្តសញ្ញាណ។ sniffers ទាំងនេះផ្ញើទិន្នន័យដែលលួចទៅអាសយដ្ឋានដែលមាននៅលើគេហទំព័រដូចគ្នាទៅនឹង sniffer ខ្លួនវាផ្ទាល់៖ hxxps://jquery-js[.]com/latest/jquery.min.js:

hxxps://jquery-js[.]com/jquery.min.js
hxxps://jquery-js[.]com/jquery.2.2.4.min.js
hxxps://jquery-js[.]com/jquery.1.8.3.min.js
hxxps://jquery-js[.]com/jquery.1.6.4.min.js
hxxps://jquery-js[.]com/jquery.1.4.4.min.js
hxxps://jquery-js[.]com/jquery.1.12.4.min.js

ដែននៅពេលក្រោយ g-analytics.comដែលត្រូវបានប្រើប្រាស់ដោយក្រុមក្នុងការវាយប្រហារតាំងពីពាក់កណ្តាលឆ្នាំ 2018 មក បម្រើជាឃ្លាំងសម្រាប់អ្នក sniffers បន្ថែមទៀត។ សរុបមក 16 កំណែផ្សេងគ្នានៃ sniffer ត្រូវបានរកឃើញ។ ក្នុងករណីនេះ ច្រកសម្រាប់ផ្ញើទិន្នន័យដែលលួចត្រូវបានក្លែងខ្លួនជាតំណទៅទ្រង់ទ្រាយរូបភាព GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:

hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
hxxps://g-analytics[.]com/libs/analytics.js

ការរកប្រាក់ពីទិន្នន័យលួច

ក្រុមឧក្រិដ្ឋជនអាចរកប្រាក់ពីទិន្នន័យដែលបានលួចដោយការលក់កាតតាមរយៈហាងក្រោមដីដែលបង្កើតជាពិសេសដែលផ្តល់សេវាកម្មដល់អ្នកផ្តល់ប័ណ្ណ។ ការវិភាគលើដែនដែលប្រើដោយអ្នកវាយប្រហារបានអនុញ្ញាតឱ្យយើងកំណត់វា។ google-analytics.cm ត្រូវបានចុះឈ្មោះដោយអ្នកប្រើប្រាស់ដូចគ្នាជាមួយដែន cardz.vc. ដែន cardz.vc សំដៅលើហាងដែលលក់កាតធនាគារដែលត្រូវបានគេលួច Cardsurfs (Flysurfs) ដែលទទួលបានប្រជាប្រិយភាពត្រឡប់មកវិញនៅក្នុងថ្ងៃនៃសកម្មភាពនៃវេទិកាពាណិជ្ជកម្មក្រោមដី AlphaBay ជាហាងលក់កាតធនាគារដែលត្រូវបានលួចដោយប្រើឧបករណ៍ស្រូបខ្យល់។

ការវិភាគដែន analytical.isដែលមានទីតាំងនៅលើម៉ាស៊ីនមេដូចគ្នាជាមួយនឹងដែនដែលប្រើដោយអ្នកស្មន់ដើម្បីប្រមូលទិន្នន័យដែលលួចនោះ អ្នកឯកទេស Group-IB បានរកឃើញឯកសារដែលមានកំណត់ហេតុលួចខូគី ដែលហាក់ដូចជាត្រូវបានអ្នកអភិវឌ្ឍន៍បោះបង់ចោលនៅពេលក្រោយ។ ធាតុមួយក្នុងចំណោមធាតុនៅក្នុងកំណត់ហេតុមានដែន iozoz.comដែលពីមុនត្រូវបានគេប្រើនៅក្នុងឧបករណ៍ស្មិតក្លិនមួយសកម្មក្នុងឆ្នាំ 2016។ សន្មតថា ដែននេះពីមុនត្រូវបានអ្នកវាយប្រហារប្រើដើម្បីប្រមូលសន្លឹកបៀដែលលួចដោយប្រើឧបករណ៍ស្គ្រីន។ ដែននេះត្រូវបានចុះឈ្មោះទៅកាន់អាសយដ្ឋានអ៊ីមែល [អ៊ីមែលការពារ]ដែលត្រូវបានប្រើដើម្បីចុះឈ្មោះដែនផងដែរ។ cardz.su и cardz.vcទាក់ទងនឹងហាងលក់កាត Cardsurfs ។

ផ្អែកលើទិន្នន័យដែលទទួលបាន វាអាចត្រូវបានសន្មត់ថា គ្រួសារ G-Analytics នៃអ្នកញញិម និងហាងក្រោមដីដែលលក់កាតធនាគារ Cardsurfs ត្រូវបានគ្រប់គ្រងដោយមនុស្សដូចគ្នា ហើយហាងនេះត្រូវបានប្រើដើម្បីលក់កាតធនាគារដែលលួចដោយប្រើឧបករណ៍ sniffer ។

ហេដ្ឋារចនាសម្ព័ន្ធ

Домен	កាលបរិច្ឆេទនៃការរកឃើញ/រូបរាង
iozoz.com	08.04.2016
dittm.org	10.09.2016
jquery-js.com	02.01.2017
g-analytics.com	31.05.2018
google-analytics.is	21.11.2018
analytical.to	04.12.2018
google-analytics.to	06.12.2018
google-analytics.cm	28.12.2018
analytical.is	28.12.2018
googlc-analytics.cm	17.01.2019

គ្រួសារ Illum

Illum គឺជាគ្រួសារអ្នកស្រូបក្លិនដែលប្រើដើម្បីវាយប្រហារហាងអនឡាញដែលដំណើរការ Magento CMS ។ បន្ថែមពីលើការណែនាំអំពីកូដព្យាបាទ ប្រតិបត្តិករនៃ sniffer នេះក៏ប្រើការណែនាំនៃទម្រង់បង់ប្រាក់ក្លែងក្លាយពេញលេញ ដែលបញ្ជូនទិន្នន័យទៅកាន់ច្រកដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។

នៅពេលវិភាគហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញដែលប្រើដោយប្រតិបត្តិករនៃ sniffer នេះ មួយចំនួនធំនៃស្គ្រីបព្យាបាទ ការកេងប្រវ័ញ្ច ទម្រង់បង់ប្រាក់ក្លែងក្លាយ ក៏ដូចជាបណ្តុំនៃឧទាហរណ៍ជាមួយ sniffer ព្យាបាទពីដៃគូប្រកួតប្រជែងត្រូវបានកត់សម្គាល់។ ដោយផ្អែកលើព័ត៌មានអំពីកាលបរិច្ឆេទនៃការលេចឡើងនៃឈ្មោះដែនដែលប្រើដោយក្រុម វាអាចត្រូវបានសន្មត់ថាយុទ្ធនាការនេះបានចាប់ផ្តើមនៅចុងឆ្នាំ 2016 ។

របៀបដែល Illum ត្រូវបានអនុវត្តទៅក្នុងកូដនៃហាងអនឡាញ

កំណែដំបូងនៃ sniffer ដែលបានរកឃើញត្រូវបានបង្កប់ដោយផ្ទាល់ទៅក្នុងកូដនៃគេហទំព័រដែលត្រូវបានសម្របសម្រួល។ ទិន្នន័យដែលលួចត្រូវបានបញ្ជូនទៅ cdn.illum[.]pw/records.phpច្រកទ្វារត្រូវបានអ៊ិនកូដដោយប្រើ មូលដ្ឋាន 64.

ក្រោយមក កំណែវេចខ្ចប់នៃ sniffer ត្រូវបានរកឃើញដែលប្រើច្រកទ្វារផ្សេងគ្នា - records.nstatistics[.]com/records.php.

នេះបើយោងតាម របាយការណ៍ Willem de Groot ដែលជាម៉ាស៊ីនដូចគ្នាត្រូវបានគេប្រើនៅក្នុងឧបករណ៍ sniffer ដែលត្រូវបានអនុវត្តនៅលើ គេហទំព័រហាងគ្រប់គ្រងដោយគណបក្សនយោបាយអាល្លឺម៉ង់ CSU ។

ការវិភាគគេហទំព័ររបស់អ្នកវាយប្រហារ

អ្នកឯកទេសនៃក្រុម-IB បានរកឃើញ និងវិភាគគេហទំព័រដែលប្រើដោយក្រុមឧក្រិដ្ឋជននេះ ដើម្បីរក្សាទុកឧបករណ៍ និងប្រមូលព័ត៌មានដែលលួច។

ក្នុងចំណោមឧបករណ៍ដែលរកឃើញនៅលើម៉ាស៊ីនមេរបស់អ្នកវាយប្រហារគឺស្គ្រីប និងការកេងប្រវ័ញ្ចសម្រាប់បង្កើនសិទ្ធិនៅក្នុង Linux OS៖ ឧទាហរណ៍ Linux Privilege Escalation Check Script បង្កើតឡើងដោយ Mike Czumak ក៏ដូចជាការកេងប្រវ័ញ្ចសម្រាប់ CVE-2009-1185 ។

អ្នកវាយប្រហារបានប្រើការកេងប្រវ័ញ្ចដោយផ្ទាល់ចំនួនពីរដើម្បីវាយប្រហារហាងអនឡាញ៖ первый មានសមត្ថភាពបញ្ចូលកូដព្យាបាទទៅក្នុង core_config_data ដោយការកេងប្រវ័ញ្ច CVE-2016-4010, ទីពីរ ទាញយកភាពងាយរងគ្រោះ RCE នៅក្នុងកម្មវិធីជំនួយសម្រាប់ CMS Magento ដែលអនុញ្ញាតឱ្យដំណើរការកូដតាមអំពើចិត្តនៅលើម៉ាស៊ីនមេគេហទំព័រដែលងាយរងគ្រោះ។

ដូចគ្នានេះផងដែរ ក្នុងអំឡុងពេលនៃការវិភាគលើម៉ាស៊ីនមេ គំរូផ្សេងៗនៃ sniffers និងទម្រង់បង់ប្រាក់ក្លែងក្លាយត្រូវបានរកឃើញ ដែលប្រើដោយអ្នកវាយប្រហារដើម្បីប្រមូលព័ត៌មានការទូទាត់ពីគេហទំព័រដែលត្រូវបានគេលួចចូល។ ដូចដែលអ្នកអាចមើលឃើញពីបញ្ជីខាងក្រោម ស្គ្រីបមួយចំនួនត្រូវបានបង្កើតជាលក្ខណៈបុគ្គលសម្រាប់គេហទំព័រដែលត្រូវបានគេលួចចូលនីមួយៗ ខណៈដែលដំណោះស្រាយជាសកលត្រូវបានប្រើសម្រាប់ CMS និងច្រកទូទាត់ប្រាក់ជាក់លាក់។ ឧទាហរណ៍ ស្គ្រីប segapay_standart.js и segapay_onpage.js រចនាឡើងសម្រាប់ការអនុវត្តនៅលើគេហទំព័រដោយប្រើច្រកទូទាត់ Sage Pay ។

បញ្ជីស្គ្រីបសម្រាប់ច្រកផ្លូវទូទាត់ផ្សេងៗ

ស្គ្រីប	ច្រកផ្លូវបង់ប្រាក់
sr.illum[.]pw/mjs_special/visiondirect.co.uk.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/topdierenshop.nl.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/tiendalenovo.es.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/pro-bolt.com.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/plae.co.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/ottolenghi.co.uk.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/oldtimecandy.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/mylook.ee.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs_special/luluandsky.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/julep.com.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs_special/gymcompany.es.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/grotekadoshop.nl.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/fushi.co.uk.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/fareastflora.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/compuindia.com.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs/segapay_standart.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/segapay_onpage.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/replace_standart.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs/all_inputs.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/add_inputs_standart.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/magento/payment_standart.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/magento/payment_redirect.js	//payrightnow[.]cf/?payment=
sr.illum[.]pw/magento/payment_redcrypt.js	//payrightnow[.]cf/?payment=
sr.illum[.]pw/magento/payment_forminsite.js	//paymentnow[.]tk/?payment=

ម៉ាស៊ីន Paymentnow[.]tkប្រើជាច្រកក្នុងស្គ្រីប Payment_forminsite.jsត្រូវបានរកឃើញថាជា ប្រធានបទAltName នៅក្នុងវិញ្ញាបនបត្រជាច្រើនដែលទាក់ទងនឹងសេវាកម្ម CloudFlare ។ លើសពីនេះទៀតម៉ាស៊ីនមានស្គ្រីប evil.js. ដោយវិនិច្ឆ័យតាមឈ្មោះនៃស្គ្រីប វាអាចប្រើជាផ្នែកមួយនៃការកេងប្រវ័ញ្ចនៃ CVE-2016-4010 ដោយសារវាអាចបញ្ចូលកូដព្យាបាទទៅក្នុងបាតកថានៃគេហទំព័រដែលដំណើរការ Magento CMS ។ ម្ចាស់ផ្ទះបានប្រើស្គ្រីបនេះជាច្រកទ្វារ request.requestnet[.]tkដោយប្រើវិញ្ញាបនបត្រដូចគ្នានឹងម៉ាស៊ីន Paymentnow[.]tk.

ទម្រង់បង់ប្រាក់ក្លែងក្លាយ

រូបខាងក្រោមបង្ហាញពីឧទាហរណ៍នៃទម្រង់សម្រាប់បញ្ចូលទិន្នន័យកាត។ ទម្រង់នេះត្រូវបានប្រើដើម្បីជ្រៀតចូលហាងអនឡាញ និងលួចទិន្នន័យកាត។

តួរលេខខាងក្រោមបង្ហាញពីឧទាហរណ៍នៃទម្រង់បង់ប្រាក់ PayPal ក្លែងក្លាយ ដែលត្រូវបានប្រើប្រាស់ដោយអ្នកវាយប្រហារ ដើម្បីជ្រៀតចូលគេហទំព័រដោយប្រើវិធីបង់ប្រាក់នេះ។

ហេដ្ឋារចនាសម្ព័ន្ធ

Домен	កាលបរិច្ឆេទនៃការរកឃើញ/រូបរាង
cdn.illum.pw	27/11/2016
records.nstatistics.com	06/09/2018
request.payrightnow.cf	25/05/2018
Paymentnow.tk	16/07/2017
ការទូទាត់-line.tk	01/03/2018
paypal.cf	04/09/2017
requestnet.tk	28/06/2017

គ្រួសារកាហ្វេម៉ុកកូ

គ្រួសារ CoffeMokko នៃអ្នកញញិមដែលត្រូវបានរចនាឡើងដើម្បីលួចកាតធនាគារពីអ្នកប្រើប្រាស់ហាងអនឡាញ ត្រូវបានគេប្រើប្រាស់តាំងពីខែឧសភា ឆ្នាំ 2017 មកម្ល៉េះ។ សន្មតថាប្រតិបត្តិករនៃគ្រួសារអ្នកស្រូបខ្យល់នេះគឺជាក្រុមឧក្រិដ្ឋជនក្រុមទី 1 ដែលពិពណ៌នាដោយអ្នកឯកទេស RiskIQ ក្នុងឆ្នាំ 2016 ។ គេហទំព័រដែលដំណើរការ CMS ដូចជា Magento, OpenCart, WordPress, osCommerce និង Shopify ត្រូវបានវាយប្រហារ។

របៀបដែល CoffeMokko ត្រូវបានអនុវត្តទៅក្នុងកូដនៃហាងអនឡាញ

ប្រតិបត្តិករនៃគ្រួសារនេះបង្កើត sniffers តែមួយគត់សម្រាប់ការឆ្លងនីមួយៗ៖ ឯកសារ sniffer មានទីតាំងនៅក្នុងថត src ឬ js នៅលើ server របស់អ្នកវាយប្រហារ។ ការបញ្ចូលទៅក្នុងកូដគេហទំព័រត្រូវបានអនុវត្តតាមរយៈតំណផ្ទាល់ទៅកាន់អ្នក sniffer ។

កូដ sniffer hardcodes ឈ្មោះនៃទម្រង់បែបបទដែលទិន្នន័យត្រូវលួច។ sniffer ក៏ពិនិត្យមើលថាតើអ្នកប្រើប្រាស់នៅលើទំព័រទូទាត់ដោយពិនិត្យមើលបញ្ជីពាក្យគន្លឹះជាមួយនឹងអាសយដ្ឋានបច្ចុប្បន្នរបស់អ្នកប្រើ។

កំណែដែលបានរកឃើញមួយចំនួនរបស់ sniffer ត្រូវបានបំភាន់ និងមានខ្សែអក្សរដែលបានអ៊ិនគ្រីប ដែលអារេចម្បងនៃធនធានត្រូវបានរក្សាទុក៖ វាមានឈ្មោះនៃទម្រង់បែបបទសម្រាប់ប្រព័ន្ធទូទាត់ផ្សេងៗ ក៏ដូចជាអាសយដ្ឋានច្រកដែលទិន្នន័យដែលត្រូវបានលួចគួរតែត្រូវបានផ្ញើ។

ព័ត៌មានការទូទាត់ដែលត្រូវបានលួចត្រូវបានបញ្ជូនទៅស្គ្រីបនៅលើម៉ាស៊ីនមេរបស់អ្នកវាយប្រហារតាមផ្លូវ /savePayment/index.php ឬ /tr/index.php. សន្មតថាស្គ្រីបនេះត្រូវបានប្រើដើម្បីបញ្ជូនទិន្នន័យពីច្រកទ្វារទៅម៉ាស៊ីនមេដែលបង្រួបបង្រួមទិន្នន័យពីអ្នកញញួរទាំងអស់។ ដើម្បីលាក់ទិន្នន័យដែលបានបញ្ជូន ព័ត៌មានការទូទាត់ទាំងអស់របស់ជនរងគ្រោះត្រូវបានអ៊ិនគ្រីបដោយប្រើ មូលដ្ឋាន 64ហើយបន្ទាប់មកការជំនួសតួអក្សរជាច្រើនកើតឡើង៖

តួអក្សរ "e" ត្រូវបានជំនួសដោយ ":" ។
និមិត្តសញ្ញា "w" ត្រូវបានជំនួសដោយ "+" ។
តួអក្សរ "o" ត្រូវបានជំនួសដោយ "%" ។
តួអក្សរ "d" ត្រូវបានជំនួសដោយ "#" ។
តួអក្សរ "a" ត្រូវបានជំនួសដោយ "-" ។
និមិត្តសញ្ញា "7" ត្រូវបានជំនួសដោយ "^" ។
តួអក្សរ "h" ត្រូវបានជំនួសដោយ "_"
និមិត្តសញ្ញា "T" ត្រូវបានជំនួសដោយ "@" ។
តួអក្សរ "0" ត្រូវបានជំនួសដោយ "/" ។
តួអក្សរ "Y" ត្រូវបានជំនួសដោយ "*" ។

ជាលទ្ធផលនៃការជំនួសតួអក្សរដែលបានអ៊ិនកូដដោយប្រើ មូលដ្ឋាន 64 ទិន្នន័យមិនអាចត្រូវបានឌិកូដដោយមិនបានអនុវត្តការបម្លែងបញ្ច្រាស។

នេះគឺជាអ្វីដែលបំណែកនៃកូដ sniffer ដែលមិនត្រូវបានបំភាន់មើលទៅ៖

ការវិភាគហេដ្ឋារចនាសម្ព័ន្ធ

នៅក្នុងយុទ្ធនាការដំបូង អ្នកវាយប្រហារបានចុះឈ្មោះឈ្មោះដែនស្រដៀងគ្នាទៅនឹងគេហទំព័រទិញទំនិញអនឡាញស្របច្បាប់។ ដែនរបស់ពួកគេអាចខុសគ្នាពីនិមិត្តសញ្ញាមួយដោយស្របច្បាប់ ឬ TLD ផ្សេងទៀត។ ដែនដែលបានចុះឈ្មោះត្រូវបានប្រើដើម្បីរក្សាទុកកូដ sniffer ដែលជាតំណភ្ជាប់ទៅដែលត្រូវបានបង្កប់នៅក្នុងកូដហាង។

ក្រុមនេះក៏បានប្រើឈ្មោះដែនដែលនឹកឃើញដល់កម្មវិធីជំនួយ jQuery ដ៏ពេញនិយម (slickjs[.]org សម្រាប់គេហទំព័រដោយប្រើកម្មវិធីជំនួយ slick.js), ច្រកផ្លូវបង់ប្រាក់ (sagecdn[.]org សម្រាប់គេហទំព័រដែលប្រើប្រព័ន្ធទូទាត់ Sage Pay) ។

ក្រោយមក ក្រុមនេះបានចាប់ផ្តើមបង្កើតដែនដែលឈ្មោះរបស់ពួកគេមិនមានជាប់ទាក់ទងនឹងដែនរបស់ហាង ឬប្រធានបទរបស់ហាងនោះទេ។

ដែននីមួយៗត្រូវគ្នាទៅនឹងគេហទំព័រដែលថតត្រូវបានបង្កើត /js ឬ /src. ស្គ្រីប Sniffer ត្រូវបានរក្សាទុកក្នុងថតនេះ៖ មួយ sniffer សម្រាប់ការឆ្លងមេរោគថ្មីនីមួយៗ។ sniffer ត្រូវបានបង្កប់នៅក្នុងកូដគេហទំព័រតាមរយៈតំណភ្ជាប់ផ្ទាល់ ប៉ុន្តែក្នុងករណីដ៏កម្រ អ្នកវាយប្រហារបានកែប្រែឯកសារគេហទំព័រមួយ ហើយបន្ថែមកូដព្យាបាទទៅវា។

ការវិភាគកូដ

ក្បួនដោះស្រាយភាពច្របូកច្របល់ដំបូង

នៅក្នុងគំរូដែលបានរកឃើញមួយចំនួននៃ sniffers នៃគ្រួសារនេះ លេខកូដត្រូវបានបំភាន់ និងមានទិន្នន័យដែលបានអ៊ិនគ្រីបដែលចាំបាច់សម្រាប់ sniffer ដំណើរការ៖ ជាពិសេស អាសយដ្ឋានច្រកទ្វារ sniffer បញ្ជីនៃទម្រង់បែបបទបង់ប្រាក់ ហើយក្នុងករណីខ្លះ លេខកូដក្លែងក្លាយ។ ទម្រង់បង់ប្រាក់។ នៅក្នុងកូដខាងក្នុងមុខងារ ធនធានត្រូវបានអ៊ិនគ្រីបដោយប្រើ XOR ដោយគ្រាប់ចុចដែលត្រូវបានបញ្ជូនជាអាគុយម៉ង់ទៅមុខងារដូចគ្នា។

ដោយការឌិគ្រីបខ្សែអក្សរដោយប្រើសោដែលសមរម្យមានតែមួយគត់សម្រាប់គំរូនីមួយៗ អ្នកអាចទទួលបានខ្សែអក្សរដែលមានខ្សែអក្សរទាំងអស់ពីកូដ sniffer ដែលបំបែកដោយតួអក្សរបំបែក។

ក្បួនដោះស្រាយការបំភាន់ទីពីរ

នៅក្នុងគំរូក្រោយៗនៃ sniffers នៃគ្រួសារនេះ យន្តការនៃការបំភាន់ផ្សេងគ្នាត្រូវបានប្រើ៖ ក្នុងករណីនេះ ទិន្នន័យត្រូវបានអ៊ិនគ្រីបដោយប្រើក្បួនដោះស្រាយដែលសរសេរដោយខ្លួនឯង។ ខ្សែអក្សរដែលមានទិន្នន័យដែលបានអ៊ិនគ្រីបចាំបាច់សម្រាប់ sniffer ដើម្បីដំណើរការត្រូវបានបញ្ជូនជាអាគុយម៉ង់ទៅមុខងារឌិគ្រីប។

ដោយប្រើកុងសូលកម្មវិធីរុករកតាមអ៊ីនធឺណិត អ្នកអាចឌិគ្រីបទិន្នន័យដែលបានអ៊ិនគ្រីប និងទទួលបានអារេដែលមានធនធាន sniffer ។

ការតភ្ជាប់ទៅនឹងការវាយប្រហារ MageCart ដំបូង

ក្នុងអំឡុងពេលនៃការវិភាគនៃដែនមួយក្នុងចំណោមដែនដែលក្រុមប្រើប្រាស់ជាច្រកផ្លូវដើម្បីប្រមូលទិន្នន័យលួច វាត្រូវបានគេរកឃើញថាដែននេះបានរៀបចំហេដ្ឋារចនាសម្ព័ន្ធសម្រាប់ការលួចកាតឥណទាន ដែលដូចគ្នាបេះបិទទៅនឹងក្រុមទី 1 ដែលជាក្រុមទីមួយ។ បានរកឃើញ ដោយអ្នកឯកទេស RiskIQ ។

ឯកសារចំនួនពីរត្រូវបានរកឃើញនៅលើម៉ាស៊ីននៃគ្រួសារ CoffeMokko sniffers៖

mage.js - ឯកសារដែលមានលេខកូដក្រុម 1 sniffer ជាមួយអាសយដ្ឋានច្រកទ្វារ js-cdn.link
mag.php - ស្គ្រីប PHP ទទួលខុសត្រូវក្នុងការប្រមូលទិន្នន័យដែលលួចដោយ sniffer

ខ្លឹមសារនៃឯកសារ mage.js
វាក៏ត្រូវបានកំណត់ផងដែរថាដែនដំបូងបំផុតដែលប្រើដោយក្រុមនៅពីក្រោយគ្រួសារអ្នកស្មុគ្រស្មាញ CoffeMokko ត្រូវបានចុះឈ្មោះនៅថ្ងៃទី 17 ខែឧសភា ឆ្នាំ 2017៖

link-js[.]link
info-js[.]link
បទ-js[.]តំណ
map-js[.]link
smart-js[.]link

ទម្រង់នៃឈ្មោះដែនទាំងនេះត្រូវគ្នានឹងឈ្មោះដែនក្រុមទី 1 ដែលត្រូវបានប្រើក្នុងការវាយប្រហារឆ្នាំ 2016 ។

ផ្អែកលើអង្គហេតុដែលបានរកឃើញ គេអាចសន្និដ្ឋានបានថា មានទំនាក់ទំនងគ្នារវាងប្រតិបត្តិករនៃក្រុមអ្នកជក់ កូហ្វម៉ុកកូ និងក្រុមឧក្រិដ្ឋជនក្រុមទី ១ ។ សន្មតថា ប្រតិបត្តិករ CoffeMokko អាចខ្ចីឧបករណ៍ និងកម្មវិធីពីអ្នកកាន់តំណែងមុនរបស់ពួកគេ ដើម្បីលួចកាត។ ទោះបីជាយ៉ាងណាក៏ដោយ វាទំនងជាថាក្រុមឧក្រិដ្ឋជនដែលនៅពីក្រោយការប្រើប្រាស់ឧបករណ៍ស្រូបក្លិនគ្រួសារ CoffeMokko គឺជាមនុស្សដូចគ្នាដែលបានធ្វើការវាយប្រហារក្រុមទី 1 ។ ត្រូវបានរារាំង ហើយឧបករណ៍ត្រូវបានសិក្សាលម្អិត និងពិពណ៌នា។ ក្រុមនេះត្រូវបានបង្ខំឱ្យសម្រាក កែលម្អឧបករណ៍ខាងក្នុងរបស់ខ្លួន និងសរសេរកូដ sniffer ឡើងវិញ ដើម្បីបន្តការវាយប្រហារ និងនៅតែមិនអាចរកឃើញ។

ហេដ្ឋារចនាសម្ព័ន្ធ

Домен	កាលបរិច្ឆេទនៃការរកឃើញ/រូបរាង
link-js.link	17.05.2017
info-js.link	17.05.2017
បទ-js.link	17.05.2017
map-js.link	17.05.2017
smart-js.link	17.05.2017
adorebeauty.org	03.09.2017
security-payment.su	03.09.2017
braincdn.org	04.09.2017
sagecdn.org	04.09.2017
slickjs.org	04.09.2017
oakandfort.org	10.09.2017
citywlnery.org	15.09.2017
dobell.su	04.10.2017
Childrensplayclothing.org	31.10.2017
jewsondirect.com	05.11.2017
ហាង-rnib.org	15.11.2017
closetlondon.org	16.11.2017
misshaus.org	28.11.2017
ថ្ម-force.org	01.12.2017
kik-vape.org	01.12.2017
greatfurnituretradingco.org	02.12.2017
etradesupply.org	04.12.2017
replacemyremote.org	04.12.2017
all-about-sneakers.org	05.12.2017
mage-checkout.org	05.12.2017
nililotan.org	07.12.2017
lamodbighat.net	08.12.2017
walletgear.org	10.12.2017
dahlie.org	12.12.2017
davidsfootwear.org	20.12.2017
blackriverimaging.org	23.12.2017
exrpesso.org	02.01.2018
parks.su	09.01.2018
pmtonline.su	12.01.2018
otocap.org	15.01.2018
christohperward.org	27.01.2018
coffetea.org	31.01.2018
Energycoffe.org	31.01.2018
Energytea.org	31.01.2018
teacoffe.net	31.01.2018
adaptivecss.org	01.03.2018
coffemokko.com	01.03.2018
londontea.net	01.03.2018
ukcoffe.com	01.03.2018
labbe.biz	20.03.2018
batterynart.com	03.04.2018
btosports.net	09.04.2018
chicksaddlery.net	16.04.2018
paypaypay.org	11.05.2018
ar500arnor.com	26.05.2018
authorizecdn.com	28.05.2018
slickmin.com	28.05.2018
bannerbuzz.info	03.06.2018
kandypens.net	08.06.2018
mylrendyphone.com	15.06.2018
freshchat.info	01.07.2018
3lift.org	02.07.2018
abtasty.net	02.07.2018
mechat.info	02.07.2018
zoplm.com	02.07.2018
zapaljs.com	02.09.2018
foodandcot.com	15.09.2018
freshdepor.com	15.09.2018
swappastore.com	15.09.2018
verywellfitnesse.com	15.09.2018
elegrina.com	18.11.2018
majsurplus.com	19.11.2018
top5value.com	19.11.2018

ប្រភព: www.habr.com

អ្នកស្រូប JavaScript ចំនួនបួនដែលរង់ចាំអ្នកនៅក្នុងហាងអនឡាញ

"ការគំរាមកំហែងលាក់កំបាំង"

ReactGet គ្រួសារ

របៀបដែល ReactGet ត្រូវបានអនុវត្តទៅក្នុងកូដនៃហាងអនឡាញ

ការវិភាគកំណែ

ពាក្យសម្ងាត់ sniffer

ប្រសព្វជាមួយ ImageID sniffer

ឧបករណ៍ស្រូបខ្យល់

តើឧបករណ៍អ្វីខ្លះដែលត្រូវបានប្រើដើម្បីលួចព័ត៌មានការទូទាត់?

ការវាយប្រហារដោយបន្លំ

គ្រួសារ G-Analytics

របៀបដែល G-Analytics ត្រូវបានអនុវត្តទៅក្នុងកូដនៃហាងអនឡាញ

ការវិភាគកំណែ

ការរកប្រាក់ពីទិន្នន័យលួច

គ្រួសារ Illum

របៀបដែល Illum ត្រូវបានអនុវត្តទៅក្នុងកូដនៃហាងអនឡាញ

ការវិភាគគេហទំព័ររបស់អ្នកវាយប្រហារ

ទម្រង់បង់ប្រាក់ក្លែងក្លាយ

គ្រួសារកាហ្វេម៉ុកកូ

របៀបដែល CoffeMokko ត្រូវបានអនុវត្តទៅក្នុងកូដនៃហាងអនឡាញ

ការវិភាគហេដ្ឋារចនាសម្ព័ន្ធ

ការវិភាគកូដ

ក្បួនដោះស្រាយភាពច្របូកច្របល់ដំបូង

ក្បួនដោះស្រាយការបំភាន់ទីពីរ

ការតភ្ជាប់ទៅនឹងការវាយប្រហារ MageCart ដំបូង

បន្ថែមមតិយោបល់ ответОтменить

អ្នកស្រូប JavaScript ចំនួនបួនដែលរង់ចាំអ្នកនៅក្នុងហាងអនឡាញ

"ការគំរាមកំហែងលាក់កំបាំង"

ReactGet គ្រួសារ

របៀបដែល ReactGet ត្រូវបានអនុវត្តទៅក្នុងកូដនៃហាងអនឡាញ

ការវិភាគកំណែ

ពាក្យ​សម្ងាត់ sniffer

ប្រសព្វជាមួយ ImageID sniffer

ឧបករណ៍ស្រូបខ្យល់

តើឧបករណ៍អ្វីខ្លះដែលត្រូវបានប្រើដើម្បីលួចព័ត៌មានការទូទាត់?

ការវាយប្រហារដោយបន្លំ

គ្រួសារ G-Analytics

របៀបដែល G-Analytics ត្រូវបានអនុវត្តទៅក្នុងកូដនៃហាងអនឡាញ

ការវិភាគកំណែ

ការរកប្រាក់ពីទិន្នន័យលួច

គ្រួសារ Illum

របៀបដែល Illum ត្រូវបានអនុវត្តទៅក្នុងកូដនៃហាងអនឡាញ

ការវិភាគគេហទំព័ររបស់អ្នកវាយប្រហារ

ទម្រង់បង់ប្រាក់ក្លែងក្លាយ

គ្រួសារកាហ្វេម៉ុកកូ

របៀបដែល CoffeMokko ត្រូវបានអនុវត្តទៅក្នុងកូដនៃហាងអនឡាញ

ការវិភាគហេដ្ឋារចនាសម្ព័ន្ធ

ការវិភាគកូដ

ក្បួនដោះស្រាយភាពច្របូកច្របល់ដំបូង

ក្បួនដោះស្រាយការបំភាន់ទីពីរ

ការតភ្ជាប់ទៅនឹងការវាយប្រហារ MageCart ដំបូង

បន្ថែមមតិយោបល់ ответОтменить

ពាក្យសម្ងាត់ sniffer