ನಾವೆಲ್ಲರೂ ಆನ್ಲೈನ್ ಸ್ಟೋರ್ಗಳ ಸೇವೆಗಳನ್ನು ಬಳಸುತ್ತೇವೆ, ಅಂದರೆ ಬೇಗ ಅಥವಾ ನಂತರ ನಾವು ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಸ್ನಿಫರ್ಗಳಿಗೆ ಬಲಿಯಾಗುವ ಅಪಾಯವನ್ನು ಎದುರಿಸುತ್ತೇವೆ - ಬ್ಯಾಂಕ್ ಕಾರ್ಡ್ ಡೇಟಾ, ವಿಳಾಸಗಳು, ಲಾಗಿನ್ಗಳು ಮತ್ತು ಬಳಕೆದಾರರ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಕದಿಯಲು ಆಕ್ರಮಣಕಾರರು ವೆಬ್ಸೈಟ್ನಲ್ಲಿ ಅಳವಡಿಸುವ ವಿಶೇಷ ಕೋಡ್ .
ಬ್ರಿಟಿಷ್ ಏರ್ವೇಸ್ ವೆಬ್ಸೈಟ್ ಮತ್ತು ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್ನ ಸುಮಾರು 400 ಬಳಕೆದಾರರು ಈಗಾಗಲೇ ಸ್ನಿಫರ್ಗಳಿಂದ ಪ್ರಭಾವಿತರಾಗಿದ್ದಾರೆ, ಜೊತೆಗೆ ಕ್ರೀಡಾ ದೈತ್ಯ FILA ಮತ್ತು ಅಮೇರಿಕನ್ ಟಿಕೆಟ್ ವಿತರಕ ಟಿಕೆಟ್ಮಾಸ್ಟರ್ನ ಬ್ರಿಟಿಷ್ ವೆಬ್ಸೈಟ್ಗೆ ಭೇಟಿ ನೀಡುವವರು. PayPal, Chase Paymenttech, USAePay, Moneris - ಇವುಗಳು ಮತ್ತು ಇತರ ಹಲವು ಪಾವತಿ ವ್ಯವಸ್ಥೆಗಳು ಸೋಂಕಿಗೆ ಒಳಗಾಗಿವೆ.
ಥ್ರೆಟ್ ಇಂಟೆಲಿಜೆನ್ಸ್ ಗ್ರೂಪ್-ಐಬಿ ವಿಶ್ಲೇಷಕ ವಿಕ್ಟರ್ ಒಕೊರೊಕೊವ್ ಅವರು ಹೇಗೆ ಸ್ನಿಫರ್ಗಳು ವೆಬ್ಸೈಟ್ ಕೋಡ್ ಅನ್ನು ನುಸುಳುತ್ತಾರೆ ಮತ್ತು ಪಾವತಿ ಮಾಹಿತಿಯನ್ನು ಕದಿಯುತ್ತಾರೆ, ಹಾಗೆಯೇ ಅವರು ಯಾವ ಸಿಆರ್ಎಂ ಮೇಲೆ ದಾಳಿ ಮಾಡುತ್ತಾರೆ ಎಂಬುದರ ಕುರಿತು ಮಾತನಾಡುತ್ತಾರೆ.
"ಗುಪ್ತ ಬೆದರಿಕೆ"
ದೀರ್ಘಕಾಲದವರೆಗೆ ಜೆಎಸ್ ಸ್ನಿಫರ್ಗಳು ಆಂಟಿ-ವೈರಸ್ ವಿಶ್ಲೇಷಕರ ದೃಷ್ಟಿಯಲ್ಲಿ ಉಳಿಯಲಿಲ್ಲ, ಮತ್ತು ಬ್ಯಾಂಕುಗಳು ಮತ್ತು ಪಾವತಿ ವ್ಯವಸ್ಥೆಗಳು ಅವುಗಳನ್ನು ಗಂಭೀರ ಬೆದರಿಕೆಯಾಗಿ ನೋಡಲಿಲ್ಲ. ಮತ್ತು ಸಂಪೂರ್ಣವಾಗಿ ಭಾಸ್ಕರ್. ಗುಂಪು-IB ತಜ್ಞರು 2440 ಸೋಂಕಿತ ಆನ್ಲೈನ್ ಸ್ಟೋರ್ಗಳು, ಅವರ ಸಂದರ್ಶಕರು - ದಿನಕ್ಕೆ ಒಟ್ಟು 1,5 ಮಿಲಿಯನ್ ಜನರು - ರಾಜಿಯಾಗುವ ಅಪಾಯವಿದೆ. ಬಲಿಪಶುಗಳಲ್ಲಿ ಬಳಕೆದಾರರು ಮಾತ್ರವಲ್ಲ, ಆನ್ಲೈನ್ ಸ್ಟೋರ್ಗಳು, ಪಾವತಿ ವ್ಯವಸ್ಥೆಗಳು ಮತ್ತು ರಾಜಿ ಕಾರ್ಡ್ಗಳನ್ನು ನೀಡಿದ ಬ್ಯಾಂಕ್ಗಳು ಸಹ ಇವೆ.
ಗುಂಪು-IB ಸ್ನಿಫರ್ಗಳಿಗಾಗಿ ಡಾರ್ಕ್ನೆಟ್ ಮಾರುಕಟ್ಟೆಯ ಮೊದಲ ಅಧ್ಯಯನವಾಯಿತು, ಅವರ ಮೂಲಸೌಕರ್ಯ ಮತ್ತು ಹಣಗಳಿಕೆಯ ವಿಧಾನಗಳು, ಇದು ಅವರ ರಚನೆಕಾರರಿಗೆ ಮಿಲಿಯನ್ಗಟ್ಟಲೆ ಡಾಲರ್ಗಳನ್ನು ತರುತ್ತದೆ. ನಾವು ಸ್ನಿಫರ್ಗಳ 38 ಕುಟುಂಬಗಳನ್ನು ಗುರುತಿಸಿದ್ದೇವೆ, ಅದರಲ್ಲಿ 12 ಮಾತ್ರ ಈ ಹಿಂದೆ ಸಂಶೋಧಕರಿಗೆ ತಿಳಿದಿತ್ತು.
ಅಧ್ಯಯನದ ಸಮಯದಲ್ಲಿ ಅಧ್ಯಯನ ಮಾಡಿದ ಸ್ನಿಫರ್ಗಳ ನಾಲ್ಕು ಕುಟುಂಬಗಳ ಮೇಲೆ ನಾವು ವಿವರವಾಗಿ ವಾಸಿಸೋಣ.
ReactGet ಕುಟುಂಬ
ಆನ್ಲೈನ್ ಶಾಪಿಂಗ್ ಸೈಟ್ಗಳಲ್ಲಿ ಬ್ಯಾಂಕ್ ಕಾರ್ಡ್ ಡೇಟಾವನ್ನು ಕದಿಯಲು ReactGet ಕುಟುಂಬದ ಸ್ನಿಫರ್ಗಳನ್ನು ಬಳಸಲಾಗುತ್ತದೆ. ಸೈಟ್ನಲ್ಲಿ ಬಳಸಲಾದ ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ವಿವಿಧ ಪಾವತಿ ವ್ಯವಸ್ಥೆಗಳೊಂದಿಗೆ ಸ್ನಿಫರ್ ಕೆಲಸ ಮಾಡಬಹುದು: ಒಂದು ಪ್ಯಾರಾಮೀಟರ್ ಮೌಲ್ಯವು ಒಂದು ಪಾವತಿ ವ್ಯವಸ್ಥೆಗೆ ಅನುರೂಪವಾಗಿದೆ ಮತ್ತು ಸ್ನಿಫರ್ನ ವೈಯಕ್ತಿಕ ಪತ್ತೆಯಾದ ಆವೃತ್ತಿಗಳನ್ನು ರುಜುವಾತುಗಳನ್ನು ಕದಿಯಲು ಬಳಸಬಹುದು, ಜೊತೆಗೆ ಪಾವತಿಯಿಂದ ಬ್ಯಾಂಕ್ ಕಾರ್ಡ್ ಡೇಟಾವನ್ನು ಕದಿಯಲು ಸಾರ್ವತ್ರಿಕ ಸ್ನಿಫರ್ ಎಂದು ಕರೆಯಲ್ಪಡುವಂತೆ ಏಕಕಾಲದಲ್ಲಿ ಹಲವಾರು ಪಾವತಿ ವ್ಯವಸ್ಥೆಗಳ ರೂಪಗಳು. ಕೆಲವು ಸಂದರ್ಭಗಳಲ್ಲಿ, ಸೈಟ್ನ ಆಡಳಿತಾತ್ಮಕ ಫಲಕಕ್ಕೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಆಕ್ರಮಣಕಾರರು ಆನ್ಲೈನ್ ಸ್ಟೋರ್ ನಿರ್ವಾಹಕರ ಮೇಲೆ ಫಿಶಿಂಗ್ ದಾಳಿಗಳನ್ನು ನಡೆಸುತ್ತಾರೆ ಎಂದು ಕಂಡುಬಂದಿದೆ.
ಸ್ನಿಫರ್ಗಳ ಈ ಕುಟುಂಬವನ್ನು ಬಳಸಿಕೊಂಡು ಅಭಿಯಾನವು ಮೇ 2017 ರಲ್ಲಿ ಪ್ರಾರಂಭವಾಯಿತು; CMS ಮತ್ತು Magento, Bigcommerce ಮತ್ತು Shopify ಪ್ಲಾಟ್ಫಾರ್ಮ್ಗಳನ್ನು ಚಾಲನೆ ಮಾಡುವ ಸೈಟ್ಗಳು ದಾಳಿಗೊಳಗಾದವು.
ಆನ್ಲೈನ್ ಸ್ಟೋರ್ನ ಕೋಡ್ಗೆ ReactGet ಅನ್ನು ಹೇಗೆ ಅಳವಡಿಸಲಾಗಿದೆ
ಲಿಂಕ್ ಮೂಲಕ ಸ್ಕ್ರಿಪ್ಟ್ನ "ಕ್ಲಾಸಿಕ್" ಅನುಷ್ಠಾನಕ್ಕೆ ಹೆಚ್ಚುವರಿಯಾಗಿ, ರಿಯಾಕ್ಟ್ಗೆಟ್ ಕುಟುಂಬದ ಸ್ನಿಫರ್ಗಳ ನಿರ್ವಾಹಕರು ವಿಶೇಷ ತಂತ್ರವನ್ನು ಬಳಸುತ್ತಾರೆ: ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ ಬಳಸಿ, ಬಳಕೆದಾರರು ಇರುವ ಪ್ರಸ್ತುತ ವಿಳಾಸವು ಕೆಲವು ಮಾನದಂಡಗಳನ್ನು ಪೂರೈಸುತ್ತದೆಯೇ ಎಂದು ಅವರು ಪರಿಶೀಲಿಸುತ್ತಾರೆ. ಪ್ರಸ್ತುತ URL ನಲ್ಲಿ ಸಬ್ಸ್ಟ್ರಿಂಗ್ ಇದ್ದರೆ ಮಾತ್ರ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ ಚೆಕ್ಔಟ್ ಅಥವಾ ಒಂದು ಹಂತದ ಚೆಕ್ಔಟ್, ಒಂದು ಪುಟ/, ಔಟ್ / onepag, ಚೆಕ್ಔಟ್/ಒಂದು, ckout/ಒಂದು. ಹೀಗಾಗಿ, ಬಳಕೆದಾರರು ಖರೀದಿಗಳಿಗೆ ಪಾವತಿಸಲು ಮತ್ತು ಸೈಟ್ನಲ್ಲಿನ ಫಾರ್ಮ್ಗೆ ಪಾವತಿ ಮಾಹಿತಿಯನ್ನು ನಮೂದಿಸಿದಾಗ ಕ್ಷಣದಲ್ಲಿ ನಿಖರವಾಗಿ ಸ್ನಿಫರ್ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ.
ಈ ಸ್ನಿಫರ್ ಪ್ರಮಾಣಿತವಲ್ಲದ ತಂತ್ರವನ್ನು ಬಳಸುತ್ತದೆ. ಬಲಿಪಶುವಿನ ಪಾವತಿ ಮತ್ತು ವೈಯಕ್ತಿಕ ಡೇಟಾವನ್ನು ಒಟ್ಟಿಗೆ ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಬಳಸಿ ಎನ್ಕೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ ಬೇಸ್ 64, ತದನಂತರ ಪರಿಣಾಮವಾಗಿ ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಆಕ್ರಮಣಕಾರರ ವೆಬ್ಸೈಟ್ಗೆ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಲು ಪ್ಯಾರಾಮೀಟರ್ ಆಗಿ ಬಳಸಲಾಗುತ್ತದೆ. ಹೆಚ್ಚಾಗಿ, ಗೇಟ್ನ ಮಾರ್ಗವು ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಫೈಲ್ ಅನ್ನು ಅನುಕರಿಸುತ್ತದೆ, ಉದಾಹರಣೆಗೆ resp.js, data.js ಮತ್ತು ಹೀಗೆ, ಆದರೆ ಇಮೇಜ್ ಫೈಲ್ಗಳಿಗೆ ಲಿಂಕ್ಗಳನ್ನು ಸಹ ಬಳಸಲಾಗುತ್ತದೆ, GIF и JPG. ವಿಶಿಷ್ಟತೆಯೆಂದರೆ ಸ್ನಿಫರ್ 1 ರಿಂದ 1 ಪಿಕ್ಸೆಲ್ ಅಳತೆಯ ಇಮೇಜ್ ಆಬ್ಜೆಕ್ಟ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ ಮತ್ತು ಹಿಂದೆ ಸ್ವೀಕರಿಸಿದ ಲಿಂಕ್ ಅನ್ನು ಪ್ಯಾರಾಮೀಟರ್ ಆಗಿ ಬಳಸುತ್ತದೆ. Src ಚಿತ್ರಗಳು. ಅಂದರೆ, ಬಳಕೆದಾರರಿಗೆ ಸಂಚಾರದಲ್ಲಿ ಅಂತಹ ವಿನಂತಿಯು ಸಾಮಾನ್ಯ ಚಿತ್ರಕ್ಕಾಗಿ ವಿನಂತಿಯಂತೆ ಕಾಣುತ್ತದೆ. ಸ್ನಿಫರ್ಗಳ ಇಮೇಜ್ಐಡಿ ಕುಟುಂಬದಲ್ಲಿ ಇದೇ ರೀತಿಯ ತಂತ್ರವನ್ನು ಬಳಸಲಾಗಿದೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, 1 ರಿಂದ 1 ಪಿಕ್ಸೆಲ್ ಇಮೇಜ್ ಅನ್ನು ಬಳಸುವ ತಂತ್ರವನ್ನು ಅನೇಕ ಕಾನೂನುಬದ್ಧ ಆನ್ಲೈನ್ ವಿಶ್ಲೇಷಣಾ ಸ್ಕ್ರಿಪ್ಟ್ಗಳಲ್ಲಿ ಬಳಸಲಾಗುತ್ತದೆ, ಇದು ಬಳಕೆದಾರರನ್ನು ತಪ್ಪುದಾರಿಗೆ ಎಳೆಯಬಹುದು.
ಆವೃತ್ತಿ ವಿಶ್ಲೇಷಣೆ
ReactGet ಸ್ನಿಫರ್ ಆಪರೇಟರ್ಗಳು ಬಳಸುವ ಸಕ್ರಿಯ ಡೊಮೇನ್ಗಳ ವಿಶ್ಲೇಷಣೆಯು ಈ ಕುಟುಂಬದ ಸ್ನಿಫರ್ಗಳ ವಿವಿಧ ಆವೃತ್ತಿಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸಿದೆ. ಅಸ್ಪಷ್ಟತೆಯ ಉಪಸ್ಥಿತಿ ಅಥವಾ ಅನುಪಸ್ಥಿತಿಯಲ್ಲಿ ಆವೃತ್ತಿಗಳು ಭಿನ್ನವಾಗಿರುತ್ತವೆ ಮತ್ತು ಹೆಚ್ಚುವರಿಯಾಗಿ, ಪ್ರತಿ ಸ್ನಿಫರ್ ಅನ್ನು ಆನ್ಲೈನ್ ಸ್ಟೋರ್ಗಳಿಗೆ ಬ್ಯಾಂಕ್ ಕಾರ್ಡ್ ಪಾವತಿಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವ ನಿರ್ದಿಷ್ಟ ಪಾವತಿ ವ್ಯವಸ್ಥೆಗಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. ಆವೃತ್ತಿ ಸಂಖ್ಯೆಗೆ ಅನುಗುಣವಾದ ನಿಯತಾಂಕದ ಮೌಲ್ಯದ ಮೂಲಕ ವಿಂಗಡಿಸಿದ ನಂತರ, ಗ್ರೂಪ್-ಐಬಿ ತಜ್ಞರು ಲಭ್ಯವಿರುವ ಸ್ನಿಫರ್ ವ್ಯತ್ಯಾಸಗಳ ಸಂಪೂರ್ಣ ಪಟ್ಟಿಯನ್ನು ಪಡೆದರು ಮತ್ತು ಪುಟ ಕೋಡ್ನಲ್ಲಿ ಪ್ರತಿ ಸ್ನಿಫರ್ ಹುಡುಕುವ ಫಾರ್ಮ್ ಕ್ಷೇತ್ರಗಳ ಹೆಸರುಗಳಿಂದ ಅವರು ಪಾವತಿ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಗುರುತಿಸಿದ್ದಾರೆ. ಎಂದು ಸ್ನಿಫರ್ ಗುರಿಯಿಟ್ಟುಕೊಂಡಿದ್ದಾರೆ.
ಸ್ನಿಫರ್ಗಳ ಪಟ್ಟಿ ಮತ್ತು ಅವರ ಅನುಗುಣವಾದ ಪಾವತಿ ವ್ಯವಸ್ಥೆಗಳು
| ಸ್ನಿಫರ್ URL | ಪಾವತಿ ವ್ಯವಸ್ಥೆ |
|---|---|
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಕಾರ್ಡ್ಸೇವ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| eWAY ರಾಪಿಡ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಡೆನ್ | |
| USAePay | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| USAePay | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಮೊನೆರಿಸ್ | |
| USAePay | |
| ಪೇಪಾಲ್ | |
| ಸೇಜ್ ಪೇ | |
| ವೆರಿಸೈನ್ | |
| ಪೇಪಾಲ್ | |
| ಪಟ್ಟಿ | |
| ರಿಯಾಲೆಕ್ಸ್ | |
| ಪೇಪಾಲ್ | |
| ಲಿಂಕ್ಪಾಯಿಂಟ್ | |
| ಪೇಪಾಲ್ | |
| ಪೇಪಾಲ್ | |
| ಡೇಟಾಕ್ಯಾಶ್ | |
| ಪೇಪಾಲ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ವೆರಿಸೈನ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಮೊನೆರಿಸ್ | |
| ಸೇಜ್ ಪೇ | |
| USAePay | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ANZ eGate | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಮೊನೆರಿಸ್ | |
| ಸೇಜ್ ಪೇ | |
| ಸೇಜ್ ಪೇ | |
| ಚೇಸ್ ಪೇಮೆಂಟೆಕ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಡೆನ್ | |
| PsiGate | |
| ಸೈಬರ್ ಮೂಲ | |
| ANZ eGate | |
| ರಿಯಾಲೆಕ್ಸ್ | |
| USAePay | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ANZ eGate | |
| ಪೇಪಾಲ್ | |
| ಪೇಪಾಲ್ | |
| ರಿಯಾಲೆಕ್ಸ್ | |
| ಸೇಜ್ ಪೇ | |
| ಪೇಪಾಲ್ | |
| ವೆರಿಸೈನ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ವೆರಿಸೈನ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ANZ eGate | |
| ಪೇಪಾಲ್ | |
| ಸೈಬರ್ ಮೂಲ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಸೇಜ್ ಪೇ | |
| ರಿಯಾಲೆಕ್ಸ್ | |
| ಸೈಬರ್ ಮೂಲ | |
| ಪೇಪಾಲ್ | |
| ಪೇಪಾಲ್ | |
| ಪೇಪಾಲ್ | |
| ವೆರಿಸೈನ್ | |
| eWAY ರಾಪಿಡ್ | |
| ಸೇಜ್ ಪೇ | |
| ಸೇಜ್ ಪೇ | |
| ವೆರಿಸೈನ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಮೊದಲ ಡೇಟಾ ಗ್ಲೋಬಲ್ ಗೇಟ್ವೇ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಮೊನೆರಿಸ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಪೇಪಾಲ್ | |
| ವೆರಿಸೈನ್ | |
| USAePay | |
| USAePay | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ವೆರಿಸೈನ್ | |
| ಪೇಪಾಲ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಪಟ್ಟಿ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| eWAY ರಾಪಿಡ್ | |
| ಸೇಜ್ ಪೇ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಬ್ರೈನ್ಟ್ರೀ | |
| ಬ್ರೈನ್ಟ್ರೀ | |
| ಪೇಪಾಲ್ | |
| ಸೇಜ್ ಪೇ | |
| ಸೇಜ್ ಪೇ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಪೇಪಾಲ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ವೆರಿಸೈನ್ | |
| ಪೇಪಾಲ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಪಟ್ಟಿ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| eWAY ರಾಪಿಡ್ | |
| ಸೇಜ್ ಪೇ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಬ್ರೈನ್ಟ್ರೀ | |
| ಪೇಪಾಲ್ | |
| ಸೇಜ್ ಪೇ | |
| ಸೇಜ್ ಪೇ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಪೇಪಾಲ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ವೆರಿಸೈನ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಸೇಜ್ ಪೇ | |
| ಸೇಜ್ ಪೇ | |
| ವೆಸ್ಟ್ಪ್ಯಾಕ್ ಪೇವೇ | |
| ಪೇಫೋರ್ಟ್ | |
| ಪೇಪಾಲ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಪಟ್ಟಿ | |
| ಮೊದಲ ಡೇಟಾ ಗ್ಲೋಬಲ್ ಗೇಟ್ವೇ | |
| PsiGate | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಮೊನೆರಿಸ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಸೇಜ್ ಪೇ | |
| ವೆರಿಸೈನ್ | |
| ಮೊನೆರಿಸ್ | |
| ಪೇಪಾಲ್ | |
| ಲಿಂಕ್ಪಾಯಿಂಟ್ | |
| ವೆಸ್ಟ್ಪ್ಯಾಕ್ ಪೇವೇ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಮೊನೆರಿಸ್ | |
| ಪೇಪಾಲ್ | |
| ಅಡೆನ್ | |
| ಪೇಪಾಲ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| USAePay | |
| EBizCharge | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ವೆರಿಸೈನ್ | |
| ವೆರಿಸೈನ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಪೇಪಾಲ್ | |
| ಮೊನೆರಿಸ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಪೇಪಾಲ್ | |
| ಪೇಪಾಲ್ | |
| ವೆಸ್ಟ್ಪ್ಯಾಕ್ ಪೇವೇ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಸೇಜ್ ಪೇ | |
| ವೆರಿಸೈನ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಪೇಪಾಲ್ | |
| ಪೇಫೋರ್ಟ್ | |
| ಸೈಬರ್ ಮೂಲ | |
| ಪೇಪಾಲ್ ಪೇಫ್ಲೋ ಪ್ರೊ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ವೆರಿಸೈನ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಸೇಜ್ ಪೇ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಪಟ್ಟಿ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ವೆರಿಸೈನ್ | |
| ಪೇಪಾಲ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಸೇಜ್ ಪೇ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಪೇಪಾಲ್ | |
| ಫ್ಲಿಂಟ್ | |
| ಪೇಪಾಲ್ | |
| ಸೇಜ್ ಪೇ | |
| ವೆರಿಸೈನ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಪಟ್ಟಿ | |
| ಫ್ಯಾಟ್ ಜೀಬ್ರಾ | |
| ಸೇಜ್ ಪೇ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಮೊದಲ ಡೇಟಾ ಗ್ಲೋಬಲ್ ಗೇಟ್ವೇ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| eWAY ರಾಪಿಡ್ | |
| ಅಡೆನ್ | |
| ಪೇಪಾಲ್ | |
| ಕ್ವಿಕ್ಬುಕ್ಸ್ ವ್ಯಾಪಾರಿ ಸೇವೆಗಳು | |
| ವೆರಿಸೈನ್ | |
| ಸೇಜ್ ಪೇ | |
| ವೆರಿಸೈನ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಸೇಜ್ ಪೇ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| eWAY ರಾಪಿಡ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ANZ eGate | |
| ಪೇಪಾಲ್ | |
| ಸೈಬರ್ ಮೂಲ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಸೇಜ್ ಪೇ | |
| ರಿಯಾಲೆಕ್ಸ್ | |
| ಸೈಬರ್ ಮೂಲ | |
| ಪೇಪಾಲ್ | |
| ಪೇಪಾಲ್ | |
| ಪೇಪಾಲ್ | |
| ವೆರಿಸೈನ್ | |
| eWAY ರಾಪಿಡ್ | |
| ಸೇಜ್ ಪೇ | |
| ಸೇಜ್ ಪೇ | |
| ವೆರಿಸೈನ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಮೊದಲ ಡೇಟಾ ಗ್ಲೋಬಲ್ ಗೇಟ್ವೇ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಮೊನೆರಿಸ್ | |
| ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್ | |
| ಪೇಪಾಲ್ |
ಪಾಸ್ವರ್ಡ್ ಸ್ನಿಫರ್
ವೆಬ್ಸೈಟ್ನ ಕ್ಲೈಂಟ್ ಬದಿಯಲ್ಲಿ ಕೆಲಸ ಮಾಡುವ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಸ್ನಿಫರ್ಗಳ ಪ್ರಯೋಜನವೆಂದರೆ ಅವರ ಬಹುಮುಖತೆ: ವೆಬ್ಸೈಟ್ನಲ್ಲಿ ಎಂಬೆಡ್ ಮಾಡಲಾದ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಯಾವುದೇ ರೀತಿಯ ಡೇಟಾವನ್ನು ಕದಿಯಬಹುದು, ಅದು ಪಾವತಿ ಡೇಟಾ ಅಥವಾ ಬಳಕೆದಾರ ಖಾತೆಯ ಲಾಗಿನ್ ಮತ್ತು ಪಾಸ್ವರ್ಡ್ ಆಗಿರಬಹುದು. ಗ್ರೂಪ್-ಐಬಿ ತಜ್ಞರು ರಿಯಾಕ್ಟ್ಗೆಟ್ ಕುಟುಂಬಕ್ಕೆ ಸೇರಿದ ಸ್ನಿಫರ್ನ ಮಾದರಿಯನ್ನು ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ, ಇದನ್ನು ಸೈಟ್ ಬಳಕೆದಾರರ ಇಮೇಲ್ ವಿಳಾಸಗಳು ಮತ್ತು ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಕದಿಯಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ.
ಇಮೇಜ್ಐಡಿ ಸ್ನಿಫರ್ನೊಂದಿಗೆ ಛೇದಕ
ಸೋಂಕಿತ ಅಂಗಡಿಗಳಲ್ಲಿ ಒಂದನ್ನು ವಿಶ್ಲೇಷಿಸುವಾಗ, ಅದರ ವೆಬ್ಸೈಟ್ ಎರಡು ಬಾರಿ ಸೋಂಕಿಗೆ ಒಳಗಾಗಿದೆ ಎಂದು ಕಂಡುಬಂದಿದೆ: ರಿಯಾಕ್ಟ್ಗೆಟ್ ಫ್ಯಾಮಿಲಿ ಸ್ನಿಫರ್ನ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಜೊತೆಗೆ, ಇಮೇಜ್ಐಡಿ ಫ್ಯಾಮಿಲಿ ಸ್ನಿಫರ್ನ ಕೋಡ್ ಪತ್ತೆಯಾಗಿದೆ. ಈ ಅತಿಕ್ರಮಣವು ಎರಡೂ ಸ್ನಿಫರ್ಗಳ ಹಿಂದಿರುವ ನಿರ್ವಾಹಕರು ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಇಂಜೆಕ್ಟ್ ಮಾಡಲು ಒಂದೇ ರೀತಿಯ ತಂತ್ರಗಳನ್ನು ಬಳಸುತ್ತಾರೆ ಎಂಬುದಕ್ಕೆ ಸಾಕ್ಷಿಯಾಗಿರಬಹುದು.
ಯುನಿವರ್ಸಲ್ ಸ್ನಿಫರ್
ReactGet ಸ್ನಿಫರ್ ಮೂಲಸೌಕರ್ಯಕ್ಕೆ ಸಂಬಂಧಿಸಿದ ಡೊಮೇನ್ ಹೆಸರುಗಳ ಒಂದು ವಿಶ್ಲೇಷಣೆಯು ಅದೇ ಬಳಕೆದಾರರು ಇತರ ಮೂರು ಡೊಮೇನ್ ಹೆಸರುಗಳನ್ನು ನೋಂದಾಯಿಸಿದ್ದಾರೆ ಎಂದು ಬಹಿರಂಗಪಡಿಸಿತು. ಈ ಮೂರು ಡೊಮೇನ್ಗಳು ನೈಜ-ಜೀವನದ ವೆಬ್ಸೈಟ್ಗಳ ಡೊಮೇನ್ಗಳನ್ನು ಅನುಕರಿಸುತ್ತವೆ ಮತ್ತು ಹಿಂದೆ ಸ್ನಿಫರ್ಗಳನ್ನು ಹೋಸ್ಟ್ ಮಾಡಲು ಬಳಸಲಾಗುತ್ತಿತ್ತು. ಮೂರು ಕಾನೂನುಬದ್ಧ ಸೈಟ್ಗಳ ಕೋಡ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸುವಾಗ, ಅಜ್ಞಾತ ಸ್ನಿಫರ್ ಪತ್ತೆಯಾಗಿದೆ ಮತ್ತು ಹೆಚ್ಚಿನ ವಿಶ್ಲೇಷಣೆಯು ಇದು ರಿಯಾಕ್ಟ್ಗೆಟ್ ಸ್ನಿಫರ್ನ ಸುಧಾರಿತ ಆವೃತ್ತಿಯಾಗಿದೆ ಎಂದು ತೋರಿಸಿದೆ. ಸ್ನಿಫರ್ಗಳ ಕುಟುಂಬದ ಈ ಹಿಂದೆ ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲಾದ ಎಲ್ಲಾ ಆವೃತ್ತಿಗಳು ಒಂದೇ ಪಾವತಿ ವ್ಯವಸ್ಥೆಯನ್ನು ಗುರಿಯಾಗಿರಿಸಿಕೊಂಡಿವೆ, ಅಂದರೆ, ಪ್ರತಿ ಪಾವತಿ ವ್ಯವಸ್ಥೆಗೆ ಸ್ನಿಫರ್ನ ವಿಶೇಷ ಆವೃತ್ತಿಯ ಅಗತ್ಯವಿದೆ. ಆದಾಗ್ಯೂ, ಈ ಸಂದರ್ಭದಲ್ಲಿ, 15 ವಿಭಿನ್ನ ಪಾವತಿ ವ್ಯವಸ್ಥೆಗಳು ಮತ್ತು ಆನ್ಲೈನ್ ಪಾವತಿಗಳನ್ನು ಮಾಡಲು ಇ-ಕಾಮರ್ಸ್ ಸೈಟ್ಗಳ ಮಾಡ್ಯೂಲ್ಗಳಿಗೆ ಸಂಬಂಧಿಸಿದ ಫಾರ್ಮ್ಗಳಿಂದ ಮಾಹಿತಿಯನ್ನು ಕದಿಯುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿರುವ ಸ್ನಿಫರ್ನ ಸಾರ್ವತ್ರಿಕ ಆವೃತ್ತಿಯನ್ನು ಕಂಡುಹಿಡಿಯಲಾಯಿತು.
ಆದ್ದರಿಂದ, ಕೆಲಸದ ಆರಂಭದಲ್ಲಿ, ಬಲಿಪಶುವಿನ ವೈಯಕ್ತಿಕ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿರುವ ಮೂಲ ಫಾರ್ಮ್ ಕ್ಷೇತ್ರಗಳಿಗಾಗಿ ಸ್ನಿಫರ್ ಹುಡುಕಿದೆ: ಪೂರ್ಣ ಹೆಸರು, ಭೌತಿಕ ವಿಳಾಸ, ಫೋನ್ ಸಂಖ್ಯೆ.
ಸ್ನಿಫರ್ ನಂತರ ವಿವಿಧ ಪಾವತಿ ವ್ಯವಸ್ಥೆಗಳು ಮತ್ತು ಆನ್ಲೈನ್ ಪಾವತಿ ಮಾಡ್ಯೂಲ್ಗಳಿಗೆ ಅನುಗುಣವಾಗಿ 15 ವಿಭಿನ್ನ ಪೂರ್ವಪ್ರತ್ಯಯಗಳನ್ನು ಹುಡುಕಿದರು.
ಮುಂದೆ, ಬಲಿಪಶುವಿನ ವೈಯಕ್ತಿಕ ಡೇಟಾ ಮತ್ತು ಪಾವತಿ ಮಾಹಿತಿಯನ್ನು ಒಟ್ಟಿಗೆ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ ಮತ್ತು ಆಕ್ರಮಣಕಾರರಿಂದ ನಿಯಂತ್ರಿಸಲ್ಪಡುವ ಸೈಟ್ಗೆ ಕಳುಹಿಸಲಾಗಿದೆ: ಈ ನಿರ್ದಿಷ್ಟ ಸಂದರ್ಭದಲ್ಲಿ, ಸಾರ್ವತ್ರಿಕ ರಿಯಾಕ್ಟ್ಗೆಟ್ ಸ್ನಿಫರ್ನ ಎರಡು ಆವೃತ್ತಿಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲಾಯಿತು, ಇದು ಎರಡು ವಿಭಿನ್ನ ಹ್ಯಾಕ್ ಮಾಡಿದ ಸೈಟ್ಗಳಲ್ಲಿದೆ. ಆದಾಗ್ಯೂ, ಎರಡೂ ಆವೃತ್ತಿಗಳು ಕದ್ದ ಡೇಟಾವನ್ನು ಒಂದೇ ಹ್ಯಾಕ್ ಮಾಡಿದ ಸೈಟ್ಗೆ ಕಳುಹಿಸಿದವು zoobashop.com.
ಬಲಿಪಶುವಿನ ಪಾವತಿ ಮಾಹಿತಿಯನ್ನು ಹೊಂದಿರುವ ಕ್ಷೇತ್ರಗಳನ್ನು ಹುಡುಕಲು ಸ್ನಿಫರ್ ಬಳಸಿದ ಪೂರ್ವಪ್ರತ್ಯಯಗಳ ವಿಶ್ಲೇಷಣೆಯು ಈ ಸ್ನಿಫರ್ ಮಾದರಿಯು ಈ ಕೆಳಗಿನ ಪಾವತಿ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಗುರಿಯಾಗಿರಿಸಿಕೊಂಡಿದೆ ಎಂದು ನಿರ್ಧರಿಸಲು ನಮಗೆ ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು:
- ಅಧಿಕೃತಗೊಳಿಸಿ.ನೆಟ್
- ವೆರಿಸೈನ್
- ಮೊದಲ ಡೇಟಾ
- USAePay
- ಪಟ್ಟಿ
- ಪೇಪಾಲ್
- ANZ eGate
- ಬ್ರೈನ್ಟ್ರೀ
- ಡೇಟಾಕ್ಯಾಶ್ (ಮಾಸ್ಟರ್ ಕಾರ್ಡ್)
- Realex ಪಾವತಿಗಳು
- PsiGate
- ಹಾರ್ಟ್ಲ್ಯಾಂಡ್ ಪಾವತಿ ವ್ಯವಸ್ಥೆಗಳು
ಪಾವತಿ ಮಾಹಿತಿಯನ್ನು ಕದಿಯಲು ಯಾವ ಸಾಧನಗಳನ್ನು ಬಳಸಲಾಗುತ್ತದೆ?
ಆಕ್ರಮಣಕಾರರ ಮೂಲಸೌಕರ್ಯಗಳ ವಿಶ್ಲೇಷಣೆಯ ಸಮಯದಲ್ಲಿ ಪತ್ತೆಯಾದ ಮೊದಲ ಸಾಧನವನ್ನು ಬ್ಯಾಂಕ್ ಕಾರ್ಡ್ಗಳ ಕಳ್ಳತನಕ್ಕೆ ಕಾರಣವಾದ ದುರುದ್ದೇಶಪೂರಿತ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಅಸ್ಪಷ್ಟಗೊಳಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ಪ್ರಾಜೆಕ್ಟ್ನ CLI ಅನ್ನು ಬಳಸುವ ಬ್ಯಾಷ್ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಆಕ್ರಮಣಕಾರರ ಹೋಸ್ಟ್ಗಳಲ್ಲಿ ಒಂದರಲ್ಲಿ ಕಂಡುಹಿಡಿಯಲಾಯಿತು ಸ್ನಿಫರ್ ಕೋಡ್ನ ಅಸ್ಪಷ್ಟತೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಲು.
ಮುಖ್ಯ ಸ್ನಿಫರ್ ಅನ್ನು ಲೋಡ್ ಮಾಡಲು ಜವಾಬ್ದಾರರಾಗಿರುವ ಕೋಡ್ ಅನ್ನು ಉತ್ಪಾದಿಸಲು ಎರಡನೇ ಪತ್ತೆಯಾದ ಸಾಧನವನ್ನು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. ಸ್ಟ್ರಿಂಗ್ಗಳಿಗಾಗಿ ಬಳಕೆದಾರರ ಪ್ರಸ್ತುತ ವಿಳಾಸವನ್ನು ಹುಡುಕುವ ಮೂಲಕ ಬಳಕೆದಾರರು ಪಾವತಿ ಪುಟದಲ್ಲಿದ್ದಾರೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸುವ JavaScript ಕೋಡ್ ಅನ್ನು ಈ ಉಪಕರಣವು ಉತ್ಪಾದಿಸುತ್ತದೆ ಚೆಕ್ಔಟ್, ಕಾರ್ಟ್ ಮತ್ತು ಹೀಗೆ, ಮತ್ತು ಫಲಿತಾಂಶವು ಧನಾತ್ಮಕವಾಗಿದ್ದರೆ, ಆಕ್ರಮಣಕಾರರ ಸರ್ವರ್ನಿಂದ ಕೋಡ್ ಮುಖ್ಯ ಸ್ನಿಫರ್ ಅನ್ನು ಲೋಡ್ ಮಾಡುತ್ತದೆ. ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯನ್ನು ಮರೆಮಾಡಲು, ಪಾವತಿ ಪುಟವನ್ನು ನಿರ್ಧರಿಸಲು ಪರೀಕ್ಷಾ ಸಾಲುಗಳು, ಹಾಗೆಯೇ ಸ್ನಿಫರ್ಗೆ ಲಿಂಕ್ ಸೇರಿದಂತೆ ಎಲ್ಲಾ ಸಾಲುಗಳನ್ನು ಎನ್ಕೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ. ಬೇಸ್ 64.
ಫಿಶಿಂಗ್ ದಾಳಿಗಳು
ದಾಳಿಕೋರರ ನೆಟ್ವರ್ಕ್ ಮೂಲಸೌಕರ್ಯದ ವಿಶ್ಲೇಷಣೆಯು ಗುರಿಯಾದ ಆನ್ಲೈನ್ ಸ್ಟೋರ್ನ ಆಡಳಿತಾತ್ಮಕ ಫಲಕಕ್ಕೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಕ್ರಿಮಿನಲ್ ಗುಂಪು ಸಾಮಾನ್ಯವಾಗಿ ಫಿಶಿಂಗ್ ಅನ್ನು ಬಳಸುತ್ತದೆ ಎಂದು ಬಹಿರಂಗಪಡಿಸಿತು. ದಾಳಿಕೋರರು ಅಂಗಡಿಯ ಡೊಮೇನ್ಗೆ ದೃಷ್ಟಿ ಹೋಲುವ ಡೊಮೇನ್ ಅನ್ನು ನೋಂದಾಯಿಸುತ್ತಾರೆ ಮತ್ತು ಅದರ ಮೇಲೆ ನಕಲಿ Magento ಆಡಳಿತ ಫಲಕ ಲಾಗಿನ್ ಫಾರ್ಮ್ ಅನ್ನು ನಿಯೋಜಿಸುತ್ತಾರೆ. ಯಶಸ್ವಿಯಾದರೆ, ಆಕ್ರಮಣಕಾರರು Magento CMS ನ ಆಡಳಿತಾತ್ಮಕ ಫಲಕಕ್ಕೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯುತ್ತಾರೆ, ಇದು ವೆಬ್ಸೈಟ್ ಘಟಕಗಳನ್ನು ಸಂಪಾದಿಸಲು ಮತ್ತು ಕ್ರೆಡಿಟ್ ಕಾರ್ಡ್ ಡೇಟಾವನ್ನು ಕದಿಯಲು ಸ್ನಿಫರ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅವರಿಗೆ ಅವಕಾಶವನ್ನು ನೀಡುತ್ತದೆ.
ಮೂಲಸೌಕರ್ಯ
| ಡೊಮೇನ್ | ಆವಿಷ್ಕಾರ / ಕಾಣಿಸಿಕೊಂಡ ದಿನಾಂಕ |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagstracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| Trust-tracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
ಜಿ-ಅನಾಲಿಟಿಕ್ಸ್ ಕುಟುಂಬ
ಸ್ನಿಫರ್ಗಳ ಈ ಕುಟುಂಬವನ್ನು ಆನ್ಲೈನ್ ಸ್ಟೋರ್ಗಳಿಂದ ಗ್ರಾಹಕರ ಕಾರ್ಡ್ಗಳನ್ನು ಕದಿಯಲು ಬಳಸಲಾಗುತ್ತದೆ. ಗುಂಪು ಬಳಸಿದ ಮೊದಲ ಡೊಮೇನ್ ಹೆಸರನ್ನು ಏಪ್ರಿಲ್ 2016 ರಲ್ಲಿ ನೋಂದಾಯಿಸಲಾಗಿದೆ, ಇದು ಗುಂಪು 2016 ರ ಮಧ್ಯದಲ್ಲಿ ಚಟುವಟಿಕೆಯನ್ನು ಪ್ರಾರಂಭಿಸಿದೆ ಎಂದು ಸೂಚಿಸುತ್ತದೆ.
ಪ್ರಸ್ತುತ ಪ್ರಚಾರದಲ್ಲಿ, ಗುಂಪು ನೈಜ-ಜೀವನದ ಸೇವೆಗಳನ್ನು ಅನುಕರಿಸುವ ಡೊಮೇನ್ ಹೆಸರುಗಳನ್ನು ಬಳಸುತ್ತದೆ, ಉದಾಹರಣೆಗೆ Google Analytics ಮತ್ತು jQuery, ಕಾನೂನುಬದ್ಧವಾದ ಸ್ಕ್ರಿಪ್ಟ್ಗಳು ಮತ್ತು ಡೊಮೇನ್ ಹೆಸರುಗಳೊಂದಿಗೆ ಸ್ನಿಫರ್ಗಳ ಚಟುವಟಿಕೆಯನ್ನು ಮರೆಮಾಚುತ್ತದೆ. Magento CMS ಚಾಲನೆಯಲ್ಲಿರುವ ಸೈಟ್ಗಳ ಮೇಲೆ ದಾಳಿ ಮಾಡಲಾಯಿತು.
ಆನ್ಲೈನ್ ಸ್ಟೋರ್ನ ಕೋಡ್ನಲ್ಲಿ ಜಿ-ಅನಾಲಿಟಿಕ್ಸ್ ಅನ್ನು ಹೇಗೆ ಅಳವಡಿಸಲಾಗಿದೆ
ಈ ಕುಟುಂಬದ ವಿಶಿಷ್ಟ ವೈಶಿಷ್ಟ್ಯವೆಂದರೆ ಬಳಕೆದಾರರ ಪಾವತಿ ಮಾಹಿತಿಯನ್ನು ಕದಿಯಲು ವಿವಿಧ ವಿಧಾನಗಳ ಬಳಕೆಯಾಗಿದೆ. ಸೈಟ್ನ ಕ್ಲೈಂಟ್ ಸೈಡ್ಗೆ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ನ ಕ್ಲಾಸಿಕ್ ಇಂಜೆಕ್ಷನ್ ಜೊತೆಗೆ, ಕ್ರಿಮಿನಲ್ ಗುಂಪು ಸೈಟ್ನ ಸರ್ವರ್ ಬದಿಯಲ್ಲಿ ಕೋಡ್ ಇಂಜೆಕ್ಷನ್ ತಂತ್ರಗಳನ್ನು ಬಳಸಿದೆ, ಅವುಗಳೆಂದರೆ ಬಳಕೆದಾರರು ನಮೂದಿಸಿದ ಡೇಟಾವನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವ PHP ಸ್ಕ್ರಿಪ್ಟ್ಗಳು. ಈ ತಂತ್ರವು ಅಪಾಯಕಾರಿ ಏಕೆಂದರೆ ಇದು ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಸಂಶೋಧಕರಿಗೆ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಕಷ್ಟವಾಗುತ್ತದೆ. ಗ್ರೂಪ್-IB ತಜ್ಞರು ಡೊಮೇನ್ ಅನ್ನು ಗೇಟ್ ಆಗಿ ಬಳಸಿಕೊಂಡು ಸೈಟ್ನ PHP ಕೋಡ್ನಲ್ಲಿ ಎಂಬೆಡ್ ಮಾಡಲಾದ ಸ್ನಿಫರ್ನ ಆವೃತ್ತಿಯನ್ನು ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ dittm.org.
ಕದ್ದ ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸಲು ಅದೇ ಡೊಮೇನ್ ಅನ್ನು ಬಳಸುವ ಸ್ನಿಫರ್ನ ಆರಂಭಿಕ ಆವೃತ್ತಿಯನ್ನು ಸಹ ಕಂಡುಹಿಡಿಯಲಾಯಿತು dittm.org, ಆದರೆ ಈ ಆವೃತ್ತಿಯನ್ನು ಆನ್ಲೈನ್ ಸ್ಟೋರ್ನ ಕ್ಲೈಂಟ್ ಬದಿಯಲ್ಲಿ ಸ್ಥಾಪಿಸಲು ಉದ್ದೇಶಿಸಲಾಗಿದೆ.
ಗುಂಪು ನಂತರ ತನ್ನ ತಂತ್ರಗಳನ್ನು ಬದಲಾಯಿಸಿತು ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆ ಮತ್ತು ಮರೆಮಾಚುವಿಕೆಯನ್ನು ಮರೆಮಾಡಲು ಹೆಚ್ಚು ಗಮನಹರಿಸಲು ಪ್ರಾರಂಭಿಸಿತು.
2017 ರ ಆರಂಭದಲ್ಲಿ, ಗುಂಪು ಡೊಮೇನ್ ಅನ್ನು ಬಳಸಲು ಪ್ರಾರಂಭಿಸಿತು jquery-js.com, jQuery ಗಾಗಿ CDN ಆಗಿ ಮಾಸ್ಕ್ವೆರೇಡಿಂಗ್: ಆಕ್ರಮಣಕಾರರ ಸೈಟ್ಗೆ ಹೋಗುವಾಗ, ಬಳಕೆದಾರರನ್ನು ಕಾನೂನುಬದ್ಧ ಸೈಟ್ಗೆ ಮರುನಿರ್ದೇಶಿಸಲಾಗುತ್ತದೆ jquery.com.
ಮತ್ತು 2018 ರ ಮಧ್ಯದಲ್ಲಿ, ಗುಂಪು ಡೊಮೇನ್ ಹೆಸರನ್ನು ಅಳವಡಿಸಿಕೊಂಡಿತು g-analytics.com ಮತ್ತು ಸ್ನಿಫರ್ನ ಚಟುವಟಿಕೆಗಳನ್ನು ಕಾನೂನುಬದ್ಧ Google Analytics ಸೇವೆಯಾಗಿ ಮರೆಮಾಚಲು ಪ್ರಾರಂಭಿಸಿತು.
ಆವೃತ್ತಿ ವಿಶ್ಲೇಷಣೆ
ಸ್ನಿಫರ್ ಕೋಡ್ ಅನ್ನು ಸಂಗ್ರಹಿಸಲು ಬಳಸಲಾಗುವ ಡೊಮೇನ್ಗಳ ವಿಶ್ಲೇಷಣೆಯ ಸಮಯದಲ್ಲಿ, ಸೈಟ್ ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಆವೃತ್ತಿಗಳನ್ನು ಹೊಂದಿದೆ ಎಂದು ಕಂಡುಬಂದಿದೆ, ಇದು ಅಸ್ಪಷ್ಟತೆಯ ಉಪಸ್ಥಿತಿಯಲ್ಲಿ ಭಿನ್ನವಾಗಿರುತ್ತದೆ, ಜೊತೆಗೆ ಗಮನವನ್ನು ಬೇರೆಡೆಗೆ ಸೆಳೆಯಲು ಫೈಲ್ಗೆ ಪ್ರವೇಶಿಸಲಾಗದ ಕೋಡ್ನ ಉಪಸ್ಥಿತಿ ಅಥವಾ ಅನುಪಸ್ಥಿತಿಯನ್ನು ಸೇರಿಸಲಾಗಿದೆ. ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಮರೆಮಾಡಿ.
ಸೈಟ್ನಲ್ಲಿ ಒಟ್ಟು jquery-js.com ಸ್ನಿಫರ್ಗಳ ಆರು ಆವೃತ್ತಿಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ. ಈ ಸ್ನಿಫರ್ಗಳು ಕದ್ದ ಡೇಟಾವನ್ನು ಸ್ನಿಫರ್ನ ಅದೇ ವೆಬ್ಸೈಟ್ನಲ್ಲಿರುವ ವಿಳಾಸಕ್ಕೆ ಕಳುಹಿಸುತ್ತಾರೆ: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
ನಂತರದ ಡೊಮೇನ್ g-analytics.com, 2018 ರ ಮಧ್ಯದಿಂದ ದಾಳಿಯಲ್ಲಿ ಗುಂಪು ಬಳಸುತ್ತದೆ, ಹೆಚ್ಚು ಸ್ನಿಫರ್ಗಳಿಗೆ ಭಂಡಾರವಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ. ಒಟ್ಟಾರೆಯಾಗಿ, ಸ್ನಿಫರ್ನ 16 ವಿಭಿನ್ನ ಆವೃತ್ತಿಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲಾಯಿತು. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಕದ್ದ ಡೇಟಾವನ್ನು ಕಳುಹಿಸುವ ಗೇಟ್ ಅನ್ನು ಇಮೇಜ್ ಫಾರ್ಮ್ಯಾಟ್ಗೆ ಲಿಂಕ್ನಂತೆ ಮರೆಮಾಡಲಾಗಿದೆ GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
ಕದ್ದ ಡೇಟಾದ ಹಣಗಳಿಕೆ
ಕ್ರಿಮಿನಲ್ ಗುಂಪು ಕಾರ್ಡರ್ಗಳಿಗೆ ಸೇವೆಗಳನ್ನು ಒದಗಿಸುವ ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ಭೂಗತ ಅಂಗಡಿಯ ಮೂಲಕ ಕಾರ್ಡ್ಗಳನ್ನು ಮಾರಾಟ ಮಾಡುವ ಮೂಲಕ ಕದ್ದ ಡೇಟಾವನ್ನು ಹಣಗಳಿಸುತ್ತದೆ. ದಾಳಿಕೋರರು ಬಳಸಿದ ಡೊಮೇನ್ಗಳ ವಿಶ್ಲೇಷಣೆಯು ಅದನ್ನು ನಿರ್ಧರಿಸಲು ನಮಗೆ ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು google-analytics.cm ಡೊಮೇನ್ನ ಅದೇ ಬಳಕೆದಾರರಿಂದ ನೋಂದಾಯಿಸಲಾಗಿದೆ cardz.vc. ಡೊಮೇನ್ cardz.vc ಕದ್ದ ಬ್ಯಾಂಕ್ ಕಾರ್ಡ್ಗಳನ್ನು ಮಾರಾಟ ಮಾಡುವ ಅಂಗಡಿಯನ್ನು ಉಲ್ಲೇಖಿಸುತ್ತದೆ ಕಾರ್ಡ್ಸರ್ಫ್ಗಳು (ಫ್ಲೈಸರ್ಫ್ಸ್), ಇದು ಭೂಗತ ವ್ಯಾಪಾರ ವೇದಿಕೆ ಆಲ್ಫಾಬೇ ಚಟುವಟಿಕೆಯ ದಿನಗಳಲ್ಲಿ ಸ್ನಿಫರ್ ಬಳಸಿ ಕದ್ದ ಬ್ಯಾಂಕ್ ಕಾರ್ಡ್ಗಳನ್ನು ಮಾರಾಟ ಮಾಡುವ ಅಂಗಡಿಯಾಗಿ ಜನಪ್ರಿಯತೆಯನ್ನು ಗಳಿಸಿತು.
ಡೊಮೇನ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸಲಾಗುತ್ತಿದೆ ವಿಶ್ಲೇಷಣಾತ್ಮಕ, ಕದ್ದ ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸಲು ಸ್ನಿಫರ್ಗಳು ಬಳಸುವ ಡೊಮೇನ್ಗಳಂತೆಯೇ ಅದೇ ಸರ್ವರ್ನಲ್ಲಿದೆ, ಗ್ರೂಪ್-ಐಬಿ ತಜ್ಞರು ಕುಕೀ ಸ್ಟೀಲರ್ ಲಾಗ್ಗಳನ್ನು ಹೊಂದಿರುವ ಫೈಲ್ ಅನ್ನು ಕಂಡುಹಿಡಿದರು, ಅದನ್ನು ಡೆವಲಪರ್ ನಂತರ ಕೈಬಿಟ್ಟಂತೆ ತೋರುತ್ತಿದೆ. ಲಾಗ್ನಲ್ಲಿನ ನಮೂದುಗಳಲ್ಲಿ ಒಂದು ಡೊಮೇನ್ ಅನ್ನು ಒಳಗೊಂಡಿದೆ iozoz.com, ಇದನ್ನು ಹಿಂದೆ 2016 ರಲ್ಲಿ ಸಕ್ರಿಯವಾಗಿರುವ ಸ್ನಿಫರ್ಗಳಲ್ಲಿ ಬಳಸಲಾಗಿತ್ತು. ಸಂಭಾವ್ಯವಾಗಿ, ಈ ಡೊಮೇನ್ ಅನ್ನು ಆಕ್ರಮಣಕಾರರು ಸ್ನಿಫರ್ ಬಳಸಿ ಕದ್ದ ಕಾರ್ಡ್ಗಳನ್ನು ಸಂಗ್ರಹಿಸಲು ಈ ಹಿಂದೆ ಬಳಸುತ್ತಿದ್ದರು. ಈ ಡೊಮೇನ್ ಅನ್ನು ಇಮೇಲ್ ವಿಳಾಸಕ್ಕೆ ನೋಂದಾಯಿಸಲಾಗಿದೆ [ಇಮೇಲ್ ರಕ್ಷಿಸಲಾಗಿದೆ], ಇದನ್ನು ಡೊಮೇನ್ಗಳನ್ನು ನೋಂದಾಯಿಸಲು ಸಹ ಬಳಸಲಾಗುತ್ತಿತ್ತು cardz.su и cardz.vc, ಕಾರ್ಡಿಂಗ್ ಸ್ಟೋರ್ ಕಾರ್ಡ್ಸರ್ಫ್ಗಳಿಗೆ ಸಂಬಂಧಿಸಿದೆ.
ಪಡೆದ ಮಾಹಿತಿಯ ಆಧಾರದ ಮೇಲೆ, ಸ್ನಿಫರ್ಗಳ G-Analytics ಕುಟುಂಬ ಮತ್ತು ಬ್ಯಾಂಕ್ ಕಾರ್ಡ್ಗಳನ್ನು ಮಾರಾಟ ಮಾಡುವ ಭೂಗತ ಅಂಗಡಿ ಕಾರ್ಡ್ಸರ್ಫ್ಗಳನ್ನು ಒಂದೇ ಜನರು ನಿರ್ವಹಿಸುತ್ತಾರೆ ಮತ್ತು ಸ್ನಿಫರ್ ಬಳಸಿ ಕದ್ದ ಬ್ಯಾಂಕ್ ಕಾರ್ಡ್ಗಳನ್ನು ಮಾರಾಟ ಮಾಡಲು ಅಂಗಡಿಯನ್ನು ಬಳಸಲಾಗುತ್ತದೆ ಎಂದು ಊಹಿಸಬಹುದು.
ಮೂಲಸೌಕರ್ಯ
| ಡೊಮೇನ್ | ಆವಿಷ್ಕಾರ / ಕಾಣಿಸಿಕೊಂಡ ದಿನಾಂಕ |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| analytical.to | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| ವಿಶ್ಲೇಷಣಾತ್ಮಕ | 28.12.2018 |
| googlc-analytics.cm | 17.01.2019 |
ಇಲ್ಲಮ್ ಕುಟುಂಬ
ಇಲ್ಲಮ್ ಎಂಬುದು ಸ್ನಿಫರ್ಗಳ ಕುಟುಂಬವಾಗಿದ್ದು, Magento CMS ಚಾಲನೆಯಲ್ಲಿರುವ ಆನ್ಲೈನ್ ಸ್ಟೋರ್ಗಳ ಮೇಲೆ ದಾಳಿ ಮಾಡಲು ಬಳಸಲಾಗುತ್ತದೆ. ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಪರಿಚಯಿಸುವುದರ ಜೊತೆಗೆ, ಈ ಸ್ನಿಫರ್ನ ನಿರ್ವಾಹಕರು ಆಕ್ರಮಣಕಾರರಿಂದ ನಿಯಂತ್ರಿಸಲ್ಪಡುವ ಗೇಟ್ಗಳಿಗೆ ಡೇಟಾವನ್ನು ಕಳುಹಿಸುವ ಪೂರ್ಣ ಪ್ರಮಾಣದ ನಕಲಿ ಪಾವತಿ ಫಾರ್ಮ್ಗಳ ಪರಿಚಯವನ್ನು ಸಹ ಬಳಸುತ್ತಾರೆ.
ಈ ಸ್ನಿಫರ್ನ ನಿರ್ವಾಹಕರು ಬಳಸುವ ನೆಟ್ವರ್ಕ್ ಮೂಲಸೌಕರ್ಯವನ್ನು ವಿಶ್ಲೇಷಿಸುವಾಗ, ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ದುರುದ್ದೇಶಪೂರಿತ ಸ್ಕ್ರಿಪ್ಟ್ಗಳು, ಶೋಷಣೆಗಳು, ನಕಲಿ ಪಾವತಿ ಫಾರ್ಮ್ಗಳು ಮತ್ತು ಸ್ಪರ್ಧಿಗಳಿಂದ ದುರುದ್ದೇಶಪೂರಿತ ಸ್ನಿಫರ್ಗಳೊಂದಿಗೆ ಉದಾಹರಣೆಗಳ ಸಂಗ್ರಹವನ್ನು ಗಮನಿಸಲಾಗಿದೆ. ಗುಂಪು ಬಳಸಿದ ಡೊಮೇನ್ ಹೆಸರುಗಳ ಗೋಚರಿಸುವಿಕೆಯ ದಿನಾಂಕಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯ ಆಧಾರದ ಮೇಲೆ, ಅಭಿಯಾನವು 2016 ರ ಕೊನೆಯಲ್ಲಿ ಪ್ರಾರಂಭವಾಯಿತು ಎಂದು ಊಹಿಸಬಹುದು.
ಆನ್ಲೈನ್ ಸ್ಟೋರ್ನ ಕೋಡ್ನಲ್ಲಿ ಇಲ್ಲಮ್ ಅನ್ನು ಹೇಗೆ ಅಳವಡಿಸಲಾಗಿದೆ
ಪತ್ತೆಯಾದ ಸ್ನಿಫರ್ನ ಮೊದಲ ಆವೃತ್ತಿಗಳನ್ನು ರಾಜಿ ಮಾಡಿಕೊಂಡ ಸೈಟ್ನ ಕೋಡ್ಗೆ ನೇರವಾಗಿ ಎಂಬೆಡ್ ಮಾಡಲಾಗಿದೆ. ಕದ್ದ ಡೇಟಾವನ್ನು ಕಳುಹಿಸಲಾಗಿದೆ cdn.illum[.]pw/records.php, ಗೇಟ್ ಅನ್ನು ಬಳಸಿ ಎನ್ಕೋಡ್ ಮಾಡಲಾಗಿದೆ ಬೇಸ್ 64.
ನಂತರ, ಸ್ನಿಫರ್ನ ಪ್ಯಾಕೇಜ್ ಮಾಡಲಾದ ಆವೃತ್ತಿಯನ್ನು ಕಂಡುಹಿಡಿಯಲಾಯಿತು, ಅದು ವಿಭಿನ್ನ ಗೇಟ್ ಅನ್ನು ಬಳಸುತ್ತದೆ - records.nstatistics[.]com/records.php.
ಪ್ರಕಾರ ವಿಲ್ಲೆಮ್ ಡಿ ಗ್ರೂಟ್, ಅದೇ ಹೋಸ್ಟ್ ಅನ್ನು ಸ್ನಿಫರ್ನಲ್ಲಿ ಬಳಸಲಾಯಿತು, ಅದನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲಾಯಿತು , ಜರ್ಮನ್ ರಾಜಕೀಯ ಪಕ್ಷ CSU ಒಡೆತನದಲ್ಲಿದೆ.
ದಾಳಿಕೋರರ ವೆಬ್ಸೈಟ್ನ ವಿಶ್ಲೇಷಣೆ
ಗ್ರೂಪ್-IB ತಜ್ಞರು ಪರಿಕರಗಳನ್ನು ಸಂಗ್ರಹಿಸಲು ಮತ್ತು ಕದ್ದ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸಲು ಈ ಕ್ರಿಮಿನಲ್ ಗುಂಪು ಬಳಸುವ ವೆಬ್ಸೈಟ್ ಅನ್ನು ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ ಮತ್ತು ವಿಶ್ಲೇಷಿಸಿದ್ದಾರೆ.
ಆಕ್ರಮಣಕಾರರ ಸರ್ವರ್ನಲ್ಲಿ ಕಂಡುಬರುವ ಸಾಧನಗಳಲ್ಲಿ ಲಿನಕ್ಸ್ ಓಎಸ್ನಲ್ಲಿ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸುವುದಕ್ಕಾಗಿ ಸ್ಕ್ರಿಪ್ಟ್ಗಳು ಮತ್ತು ಶೋಷಣೆಗಳು ಸೇರಿವೆ: ಉದಾಹರಣೆಗೆ, ಮೈಕ್ ಕ್ಜುಮಾಕ್ ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ ಲಿನಕ್ಸ್ ಪ್ರಿವಿಲೇಜ್ ಎಸ್ಕಲೇಶನ್ ಚೆಕ್ ಸ್ಕ್ರಿಪ್ಟ್, ಹಾಗೆಯೇ ಸಿವಿಇ-2009-1185 ಗಾಗಿ ಶೋಷಣೆ.
ಆನ್ಲೈನ್ ಸ್ಟೋರ್ಗಳ ಮೇಲೆ ದಾಳಿ ಮಾಡಲು ದಾಳಿಕೋರರು ನೇರವಾಗಿ ಎರಡು ಶೋಷಣೆಗಳನ್ನು ಬಳಸಿದ್ದಾರೆ: ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಚುಚ್ಚುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿದೆ core_config_data CVE-2016-4010 ಅನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಮೂಲಕ, CMS Magento ಗಾಗಿ ಪ್ಲಗಿನ್ಗಳಲ್ಲಿ RCE ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುತ್ತದೆ, ದುರ್ಬಲ ವೆಬ್ ಸರ್ವರ್ನಲ್ಲಿ ಅನಿಯಂತ್ರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.
ಅಲ್ಲದೆ, ಸರ್ವರ್ನ ವಿಶ್ಲೇಷಣೆಯ ಸಮಯದಲ್ಲಿ, ಸ್ನಿಫರ್ಗಳ ವಿವಿಧ ಮಾದರಿಗಳು ಮತ್ತು ನಕಲಿ ಪಾವತಿ ಫಾರ್ಮ್ಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲಾಯಿತು, ದಾಳಿಕೋರರು ಹ್ಯಾಕ್ ಮಾಡಿದ ಸೈಟ್ಗಳಿಂದ ಪಾವತಿ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸಲು ಬಳಸುತ್ತಾರೆ. ಕೆಳಗಿನ ಪಟ್ಟಿಯಿಂದ ನೀವು ನೋಡುವಂತೆ, ಪ್ರತಿ ಹ್ಯಾಕ್ ಮಾಡಿದ ಸೈಟ್ಗೆ ಕೆಲವು ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಪ್ರತ್ಯೇಕವಾಗಿ ರಚಿಸಲಾಗಿದೆ, ಆದರೆ ಕೆಲವು CMS ಮತ್ತು ಪಾವತಿ ಗೇಟ್ವೇಗಳಿಗೆ ಸಾರ್ವತ್ರಿಕ ಪರಿಹಾರವನ್ನು ಬಳಸಲಾಗಿದೆ. ಉದಾಹರಣೆಗೆ, ಸ್ಕ್ರಿಪ್ಟ್ಗಳು segapay_standart.js и segapay_onpage.js ಸೇಜ್ ಪೇ ಪಾವತಿ ಗೇಟ್ವೇ ಬಳಸಿಕೊಂಡು ಸೈಟ್ಗಳಲ್ಲಿ ಅನುಷ್ಠಾನಕ್ಕೆ ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ.
ವಿವಿಧ ಪಾವತಿ ಗೇಟ್ವೇಗಳಿಗಾಗಿ ಸ್ಕ್ರಿಪ್ಟ್ಗಳ ಪಟ್ಟಿ
| ಸ್ಕ್ರಿಪ್ಟ್ | ಪಾವತಿ ಗೇಟ್ವೇ |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdierenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolengi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_forminsite.js | //paymentnow[.]tk/?payment= |
ಹೋಸ್ಟ್ ಪಾವತಿ ಈಗ[.]tk, ಲಿಪಿಯಲ್ಲಿ ಗೇಟ್ ಆಗಿ ಬಳಸಲಾಗುತ್ತದೆ payment_forminsite.js, ಎಂದು ಕಂಡುಹಿಡಿಯಲಾಯಿತು ವಿಷಯಆಲ್ಟ್ ನೇಮ್ CloudFlare ಸೇವೆಗೆ ಸಂಬಂಧಿಸಿದ ಹಲವಾರು ಪ್ರಮಾಣಪತ್ರಗಳಲ್ಲಿ. ಇದರ ಜೊತೆಗೆ, ಹೋಸ್ಟ್ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಒಳಗೊಂಡಿದೆ ದುಷ್ಟ.js. ಸ್ಕ್ರಿಪ್ಟ್ನ ಹೆಸರಿನ ಮೂಲಕ ನಿರ್ಣಯಿಸುವುದು, ಇದನ್ನು CVE-2016-4010 ರ ಶೋಷಣೆಯ ಭಾಗವಾಗಿ ಬಳಸಬಹುದು, ಇದಕ್ಕೆ ಧನ್ಯವಾದಗಳು CMS Magento ಚಾಲನೆಯಲ್ಲಿರುವ ಸೈಟ್ನ ಅಡಿಟಿಪ್ಪಣಿಗೆ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಸೇರಿಸಲು ಸಾಧ್ಯವಿದೆ. ಹೋಸ್ಟ್ ಈ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಗೇಟ್ ಆಗಿ ಬಳಸಿದ್ದಾರೆ request.requestnet[.]tkಹೋಸ್ಟ್ನಂತೆಯೇ ಅದೇ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಬಳಸುವುದು ಪಾವತಿ ಈಗ[.]tk.
ನಕಲಿ ಪಾವತಿ ರೂಪಗಳು
ಕೆಳಗಿನ ಚಿತ್ರವು ಕಾರ್ಡ್ ಡೇಟಾವನ್ನು ನಮೂದಿಸುವ ಫಾರ್ಮ್ನ ಉದಾಹರಣೆಯನ್ನು ತೋರಿಸುತ್ತದೆ. ಈ ಫಾರ್ಮ್ ಅನ್ನು ಆನ್ಲೈನ್ ಸ್ಟೋರ್ಗೆ ನುಸುಳಲು ಮತ್ತು ಕಾರ್ಡ್ ಡೇಟಾವನ್ನು ಕದಿಯಲು ಬಳಸಲಾಗಿದೆ.
ಈ ಪಾವತಿ ವಿಧಾನದೊಂದಿಗೆ ಸೈಟ್ಗಳನ್ನು ಒಳನುಸುಳಲು ದಾಳಿಕೋರರು ಬಳಸಿದ ನಕಲಿ PayPal ಪಾವತಿ ಫಾರ್ಮ್ನ ಉದಾಹರಣೆಯನ್ನು ಕೆಳಗಿನ ಅಂಕಿ ತೋರಿಸುತ್ತದೆ.
ಮೂಲಸೌಕರ್ಯ
| ಡೊಮೇನ್ | ಆವಿಷ್ಕಾರ / ಕಾಣಿಸಿಕೊಂಡ ದಿನಾಂಕ |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| request.payrightnow.cf | 25/05/2018 |
| paynow.tk | 16/07/2017 |
| ಪಾವತಿ-line.tk | 01/03/2018 |
| paypal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
ಕಾಫಿಮೊಕ್ಕೊ ಕುಟುಂಬ
CoffeMokko ಕುಟುಂಬದ ಸ್ನಿಫರ್ಗಳು, ಆನ್ಲೈನ್ ಸ್ಟೋರ್ ಬಳಕೆದಾರರಿಂದ ಬ್ಯಾಂಕ್ ಕಾರ್ಡ್ಗಳನ್ನು ಕದಿಯಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ, ಕನಿಷ್ಠ ಮೇ 2017 ರಿಂದ ಬಳಕೆಯಲ್ಲಿದೆ. ಸಂಭಾವ್ಯವಾಗಿ, 1 ರಲ್ಲಿ RiskIQ ತಜ್ಞರು ವಿವರಿಸಿದ ಕ್ರಿಮಿನಲ್ ಗುಂಪು ಗುಂಪು 2016 ರ ಈ ಕುಟುಂಬದ ಸ್ನಿಫರ್ಗಳ ನಿರ್ವಾಹಕರು. Magento, OpenCart, WordPress, osCommerce ಮತ್ತು Shopify ನಂತಹ CMSಗಳನ್ನು ಚಾಲನೆ ಮಾಡುವ ಸೈಟ್ಗಳು ದಾಳಿಗೊಳಗಾದವು.
CoffeMokko ಅನ್ನು ಆನ್ಲೈನ್ ಸ್ಟೋರ್ನ ಕೋಡ್ನಲ್ಲಿ ಹೇಗೆ ಅಳವಡಿಸಲಾಗಿದೆ
ಈ ಕುಟುಂಬದ ನಿರ್ವಾಹಕರು ಪ್ರತಿ ಸೋಂಕಿಗೆ ವಿಶಿಷ್ಟವಾದ ಸ್ನಿಫರ್ಗಳನ್ನು ರಚಿಸುತ್ತಾರೆ: ಸ್ನಿಫರ್ ಫೈಲ್ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿದೆ Src ಅಥವಾ js ದಾಳಿಕೋರರ ಸರ್ವರ್ನಲ್ಲಿ. ಸೈಟ್ ಕೋಡ್ಗೆ ಸಂಯೋಜನೆಯನ್ನು ಸ್ನಿಫರ್ಗೆ ನೇರ ಲಿಂಕ್ ಮೂಲಕ ಕೈಗೊಳ್ಳಲಾಗುತ್ತದೆ.
ಡೇಟಾವನ್ನು ಕದಿಯಬೇಕಾದ ಫಾರ್ಮ್ ಕ್ಷೇತ್ರಗಳ ಹೆಸರನ್ನು ಸ್ನಿಫರ್ ಕೋಡ್ ಹಾರ್ಡ್ಕೋಡ್ ಮಾಡುತ್ತದೆ. ಬಳಕೆದಾರರ ಪ್ರಸ್ತುತ ವಿಳಾಸದೊಂದಿಗೆ ಕೀವರ್ಡ್ಗಳ ಪಟ್ಟಿಯನ್ನು ಪರಿಶೀಲಿಸುವ ಮೂಲಕ ಬಳಕೆದಾರರು ಪಾವತಿ ಪುಟದಲ್ಲಿದ್ದಾರೆಯೇ ಎಂದು ಸ್ನಿಫರ್ ಪರಿಶೀಲಿಸುತ್ತದೆ.
ಸ್ನಿಫರ್ನ ಕೆಲವು ಪತ್ತೆಹಚ್ಚಿದ ಆವೃತ್ತಿಗಳು ಅಸ್ಪಷ್ಟಗೊಂಡಿವೆ ಮತ್ತು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಒಳಗೊಂಡಿವೆ, ಇದರಲ್ಲಿ ಸಂಪನ್ಮೂಲಗಳ ಮುಖ್ಯ ಶ್ರೇಣಿಯನ್ನು ಸಂಗ್ರಹಿಸಲಾಗಿದೆ: ಇದು ವಿವಿಧ ಪಾವತಿ ವ್ಯವಸ್ಥೆಗಳಿಗೆ ಫಾರ್ಮ್ ಕ್ಷೇತ್ರಗಳ ಹೆಸರುಗಳನ್ನು ಮತ್ತು ಕದ್ದ ಡೇಟಾವನ್ನು ಕಳುಹಿಸಬೇಕಾದ ಗೇಟ್ ವಿಳಾಸವನ್ನು ಒಳಗೊಂಡಿದೆ.
ಕದ್ದ ಪಾವತಿ ಮಾಹಿತಿಯನ್ನು ದಾರಿಯುದ್ದಕ್ಕೂ ದಾಳಿಕೋರರ ಸರ್ವರ್ನಲ್ಲಿರುವ ಸ್ಕ್ರಿಪ್ಟ್ಗೆ ಕಳುಹಿಸಲಾಗಿದೆ /savePayment/index.php ಅಥವಾ /tr/index.php. ಸಂಭಾವ್ಯವಾಗಿ, ಈ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಗೇಟ್ನಿಂದ ಮುಖ್ಯ ಸರ್ವರ್ಗೆ ಡೇಟಾವನ್ನು ಕಳುಹಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ, ಇದು ಎಲ್ಲಾ ಸ್ನಿಫರ್ಗಳಿಂದ ಡೇಟಾವನ್ನು ಕ್ರೋಢೀಕರಿಸುತ್ತದೆ. ರವಾನೆಯಾದ ಡೇಟಾವನ್ನು ಮರೆಮಾಡಲು, ಬಲಿಪಶುವಿನ ಎಲ್ಲಾ ಪಾವತಿ ಮಾಹಿತಿಯನ್ನು ಬಳಸಿಕೊಂಡು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗುತ್ತದೆ ಬೇಸ್ 64, ಮತ್ತು ನಂತರ ಹಲವಾರು ಅಕ್ಷರ ಪರ್ಯಾಯಗಳು ಸಂಭವಿಸುತ್ತವೆ:
- "e" ಅಕ್ಷರವನ್ನು ":" ನೊಂದಿಗೆ ಬದಲಾಯಿಸಲಾಗಿದೆ
- "w" ಚಿಹ್ನೆಯನ್ನು "+" ನೊಂದಿಗೆ ಬದಲಾಯಿಸಲಾಗಿದೆ
- "o" ಅಕ್ಷರವನ್ನು "%" ನೊಂದಿಗೆ ಬದಲಾಯಿಸಲಾಗಿದೆ
- "d" ಅಕ್ಷರವನ್ನು "#" ನೊಂದಿಗೆ ಬದಲಾಯಿಸಲಾಗಿದೆ
- "a" ಅಕ್ಷರವನ್ನು "-" ನೊಂದಿಗೆ ಬದಲಾಯಿಸಲಾಗಿದೆ
- "7" ಚಿಹ್ನೆಯನ್ನು "^" ನೊಂದಿಗೆ ಬದಲಾಯಿಸಲಾಗಿದೆ
- "h" ಅಕ್ಷರವನ್ನು "_" ನೊಂದಿಗೆ ಬದಲಾಯಿಸಲಾಗಿದೆ
- "T" ಚಿಹ್ನೆಯನ್ನು "@" ನೊಂದಿಗೆ ಬದಲಾಯಿಸಲಾಗಿದೆ
- "0" ಅಕ್ಷರವನ್ನು "/" ನಿಂದ ಬದಲಾಯಿಸಲಾಗಿದೆ
- "Y" ಅಕ್ಷರವನ್ನು "*" ನೊಂದಿಗೆ ಬದಲಾಯಿಸಲಾಗಿದೆ
ಬಳಸಿ ಎನ್ಕೋಡ್ ಮಾಡಲಾದ ಅಕ್ಷರ ಪರ್ಯಾಯಗಳ ಪರಿಣಾಮವಾಗಿ ಬೇಸ್ 64 ರಿವರ್ಸ್ ಪರಿವರ್ತನೆಯನ್ನು ನಿರ್ವಹಿಸದೆ ಡೇಟಾವನ್ನು ಡಿಕೋಡ್ ಮಾಡಲಾಗುವುದಿಲ್ಲ.
ಅಸ್ಪಷ್ಟಗೊಳಿಸದ ಸ್ನಿಫರ್ ಕೋಡ್ನ ತುಣುಕು ಹೀಗಿದೆ:
ಮೂಲಸೌಕರ್ಯ ವಿಶ್ಲೇಷಣೆ
ಆರಂಭಿಕ ಕಾರ್ಯಾಚರಣೆಗಳಲ್ಲಿ, ಆಕ್ರಮಣಕಾರರು ಕಾನೂನುಬದ್ಧ ಆನ್ಲೈನ್ ಶಾಪಿಂಗ್ ಸೈಟ್ಗಳಂತೆಯೇ ಡೊಮೇನ್ ಹೆಸರುಗಳನ್ನು ನೋಂದಾಯಿಸಿದ್ದಾರೆ. ಅವರ ಡೊಮೇನ್ ಕಾನೂನುಬದ್ಧವಾದ ಒಂದರಿಂದ ಒಂದು ಚಿಹ್ನೆ ಅಥವಾ ಇನ್ನೊಂದು TLD ಯಿಂದ ಭಿನ್ನವಾಗಿರಬಹುದು. ನೋಂದಾಯಿತ ಡೊಮೇನ್ಗಳನ್ನು ಸ್ನಿಫರ್ ಕೋಡ್ ಅನ್ನು ಸಂಗ್ರಹಿಸಲು ಬಳಸಲಾಗಿದೆ, ಅದರ ಲಿಂಕ್ ಅನ್ನು ಸ್ಟೋರ್ ಕೋಡ್ನಲ್ಲಿ ಎಂಬೆಡ್ ಮಾಡಲಾಗಿದೆ.
ಈ ಗುಂಪು ಜನಪ್ರಿಯ jQuery ಪ್ಲಗಿನ್ಗಳನ್ನು ನೆನಪಿಸುವ ಡೊಮೇನ್ ಹೆಸರುಗಳನ್ನು ಸಹ ಬಳಸಿದೆ (slickjs[.]org ಪ್ಲಗಿನ್ ಬಳಸುವ ಸೈಟ್ಗಳಿಗಾಗಿ slick.js), ಪಾವತಿ ಗೇಟ್ವೇಗಳು (sagecdn[.]org ಸೇಜ್ ಪೇ ಪಾವತಿ ವ್ಯವಸ್ಥೆಯನ್ನು ಬಳಸುವ ಸೈಟ್ಗಳಿಗಾಗಿ).
ನಂತರ, ಗುಂಪು ಡೊಮೇನ್ಗಳನ್ನು ರಚಿಸಲು ಪ್ರಾರಂಭಿಸಿತು, ಅವರ ಹೆಸರುಗಳು ಅಂಗಡಿಯ ಡೊಮೇನ್ ಅಥವಾ ಅಂಗಡಿಯ ಥೀಮ್ನೊಂದಿಗೆ ಯಾವುದೇ ಸಂಬಂಧವಿಲ್ಲ.
ಪ್ರತಿಯೊಂದು ಡೊಮೇನ್ ಡೈರೆಕ್ಟರಿಯನ್ನು ರಚಿಸಿದ ಸೈಟ್ಗೆ ಅನುರೂಪವಾಗಿದೆ /ಜೆಎಸ್ ಅಥವಾ /src. ಸ್ನಿಫರ್ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಈ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ: ಪ್ರತಿ ಹೊಸ ಸೋಂಕಿಗೆ ಒಂದು ಸ್ನಿಫರ್. ನೇರ ಲಿಂಕ್ ಮೂಲಕ ಸ್ನಿಫರ್ ಅನ್ನು ವೆಬ್ಸೈಟ್ ಕೋಡ್ನಲ್ಲಿ ಎಂಬೆಡ್ ಮಾಡಲಾಗಿದೆ, ಆದರೆ ಅಪರೂಪದ ಸಂದರ್ಭಗಳಲ್ಲಿ, ದಾಳಿಕೋರರು ವೆಬ್ಸೈಟ್ ಫೈಲ್ಗಳಲ್ಲಿ ಒಂದನ್ನು ಮಾರ್ಪಡಿಸಿದ್ದಾರೆ ಮತ್ತು ಅದಕ್ಕೆ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಸೇರಿಸಿದ್ದಾರೆ.
ಕೋಡ್ ವಿಶ್ಲೇಷಣೆ
ಮೊದಲ ಅಸ್ಪಷ್ಟತೆಯ ಅಲ್ಗಾರಿದಮ್
ಈ ಕುಟುಂಬದ ಸ್ನಿಫರ್ಗಳ ಕೆಲವು ಪತ್ತೆಯಾದ ಮಾದರಿಗಳಲ್ಲಿ, ಕೋಡ್ ಅಸ್ಪಷ್ಟವಾಗಿದೆ ಮತ್ತು ಸ್ನಿಫರ್ ಕೆಲಸ ಮಾಡಲು ಅಗತ್ಯವಾದ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಡೇಟಾವನ್ನು ಒಳಗೊಂಡಿದೆ: ನಿರ್ದಿಷ್ಟವಾಗಿ, ಸ್ನಿಫರ್ ಗೇಟ್ ವಿಳಾಸ, ಪಾವತಿ ಫಾರ್ಮ್ ಕ್ಷೇತ್ರಗಳ ಪಟ್ಟಿ, ಮತ್ತು ಕೆಲವು ಸಂದರ್ಭಗಳಲ್ಲಿ, ನಕಲಿ ಕೋಡ್ ಪಾವತಿ ರೂಪ. ಕಾರ್ಯದ ಒಳಗಿನ ಕೋಡ್ನಲ್ಲಿ, ಸಂಪನ್ಮೂಲಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ ಉಚಿತ ಅದೇ ಕಾರ್ಯಕ್ಕೆ ವಾದವಾಗಿ ರವಾನಿಸಲಾದ ಕೀಲಿಯಿಂದ.
ಪ್ರತಿ ಮಾದರಿಗೆ ವಿಶಿಷ್ಟವಾದ ಸೂಕ್ತವಾದ ಕೀಲಿಯೊಂದಿಗೆ ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುವ ಮೂಲಕ, ವಿಭಜಕ ಅಕ್ಷರದಿಂದ ಪ್ರತ್ಯೇಕಿಸಲಾದ ಸ್ನಿಫರ್ ಕೋಡ್ನಿಂದ ಎಲ್ಲಾ ತಂತಿಗಳನ್ನು ಒಳಗೊಂಡಿರುವ ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ನೀವು ಪಡೆಯಬಹುದು.
ಎರಡನೇ ಅಸ್ಪಷ್ಟತೆಯ ಅಲ್ಗಾರಿದಮ್
ಈ ಕುಟುಂಬದ ಸ್ನಿಫರ್ಗಳ ನಂತರದ ಮಾದರಿಗಳಲ್ಲಿ, ವಿಭಿನ್ನ ಅಸ್ಪಷ್ಟ ಕಾರ್ಯವಿಧಾನವನ್ನು ಬಳಸಲಾಯಿತು: ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಸ್ವಯಂ-ಲಿಖಿತ ಅಲ್ಗಾರಿದಮ್ ಬಳಸಿ ಡೇಟಾವನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ. ಸ್ನಿಫರ್ ಕಾರ್ಯನಿರ್ವಹಿಸಲು ಅಗತ್ಯವಾದ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಡೇಟಾವನ್ನು ಹೊಂದಿರುವ ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಡೀಕ್ರಿಪ್ಶನ್ ಫಂಕ್ಷನ್ಗೆ ಆರ್ಗ್ಯುಮೆಂಟ್ ಆಗಿ ರವಾನಿಸಲಾಗಿದೆ.
ಬ್ರೌಸರ್ ಕನ್ಸೋಲ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು, ನೀವು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಡೇಟಾವನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಬಹುದು ಮತ್ತು ಸ್ನಿಫರ್ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಹೊಂದಿರುವ ಶ್ರೇಣಿಯನ್ನು ಪಡೆಯಬಹುದು.
ಆರಂಭಿಕ MageCart ದಾಳಿಗಳಿಗೆ ಸಂಪರ್ಕ
ಕದ್ದ ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸಲು ಗುಂಪು ಬಳಸಿದ ಡೊಮೇನ್ಗಳ ವಿಶ್ಲೇಷಣೆಯ ಸಮಯದಲ್ಲಿ, ಈ ಡೊಮೇನ್ ಕ್ರೆಡಿಟ್ ಕಾರ್ಡ್ ಕಳ್ಳತನಕ್ಕೆ ಮೂಲಸೌಕರ್ಯವನ್ನು ನಿಯೋಜಿಸಿದೆ ಎಂದು ಕಂಡುಬಂದಿದೆ, ಇದು ಮೊದಲ ಗುಂಪುಗಳಲ್ಲಿ ಒಂದಾದ ಗುಂಪು 1 ಬಳಸಿದಂತೆಯೇ, RiskIQ ತಜ್ಞರಿಂದ.
ಕಾಫಿಮೊಕ್ಕೊ ಕುಟುಂಬದ ಸ್ನಿಫರ್ಗಳ ಹೋಸ್ಟ್ನಲ್ಲಿ ಎರಡು ಫೈಲ್ಗಳು ಕಂಡುಬಂದಿವೆ:
- mage.js — ಗೇಟ್ ವಿಳಾಸದೊಂದಿಗೆ ಗುಂಪು 1 ಸ್ನಿಫರ್ ಕೋಡ್ ಹೊಂದಿರುವ ಫೈಲ್ js-cdn.link
- mag.php - ಸ್ನಿಫರ್ನಿಂದ ಕದ್ದ ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸುವ ಜವಾಬ್ದಾರಿ PHP ಸ್ಕ್ರಿಪ್ಟ್
mage.js ಫೈಲ್ನ ವಿಷಯಗಳು
ಕಾಫಿಮೊಕ್ಕೊ ಕುಟುಂಬದ ಸ್ನಿಫರ್ಗಳ ಹಿಂದಿನ ಗುಂಪು ಬಳಸಿದ ಆರಂಭಿಕ ಡೊಮೇನ್ಗಳನ್ನು ಮೇ 17, 2017 ರಂದು ನೋಂದಾಯಿಸಲಾಗಿದೆ ಎಂದು ಸಹ ನಿರ್ಧರಿಸಲಾಗಿದೆ:
- ಲಿಂಕ್-ಜೆಎಸ್[.]ಲಿಂಕ್
- info-js[.]ಲಿಂಕ್
- ಟ್ರ್ಯಾಕ್-ಜೆಎಸ್[.]ಲಿಂಕ್
- ನಕ್ಷೆ-ಜೆಎಸ್[.]ಲಿಂಕ್
- ಸ್ಮಾರ್ಟ್-ಜೆಎಸ್[.]ಲಿಂಕ್
ಈ ಡೊಮೇನ್ ಹೆಸರುಗಳ ಸ್ವರೂಪವು 1 ರ ದಾಳಿಯಲ್ಲಿ ಬಳಸಿದ ಗುಂಪು 2016 ಡೊಮೇನ್ ಹೆಸರುಗಳಿಗೆ ಹೊಂದಿಕೆಯಾಗುತ್ತದೆ.
ಪತ್ತೆಯಾದ ಸತ್ಯಗಳ ಆಧಾರದ ಮೇಲೆ, ಕಾಫಿಮೊಕ್ಕೊ ಸ್ನಿಫರ್ಸ್ ಮತ್ತು ಕ್ರಿಮಿನಲ್ ಗುಂಪು 1 ರ ನಿರ್ವಾಹಕರ ನಡುವೆ ಸಂಪರ್ಕವಿದೆ ಎಂದು ಊಹಿಸಬಹುದು. ಸಂಭಾವ್ಯವಾಗಿ, CoffeMokko ನಿರ್ವಾಹಕರು ಕಾರ್ಡ್ಗಳನ್ನು ಕದಿಯಲು ಉಪಕರಣಗಳು ಮತ್ತು ಸಾಫ್ಟ್ವೇರ್ಗಳನ್ನು ತಮ್ಮ ಹಿಂದಿನವರಿಂದ ಎರವಲು ಪಡೆದಿರಬಹುದು. ಆದಾಗ್ಯೂ, CoffeMokko ಕುಟುಂಬದ ಸ್ನಿಫರ್ಗಳ ಬಳಕೆಯ ಹಿಂದೆ ಕ್ರಿಮಿನಲ್ ಗುಂಪಿನವರು ಗುಂಪು 1 ದಾಳಿಯನ್ನು ನಡೆಸಿದ ಅದೇ ವ್ಯಕ್ತಿಗಳಾಗಿರಬಹುದು. ಕ್ರಿಮಿನಲ್ ಗುಂಪಿನ ಚಟುವಟಿಕೆಗಳ ಕುರಿತು ಮೊದಲ ವರದಿಯನ್ನು ಪ್ರಕಟಿಸಿದ ನಂತರ, ಅವರ ಎಲ್ಲಾ ಡೊಮೇನ್ ಹೆಸರುಗಳು ನಿರ್ಬಂಧಿಸಲಾಗಿದೆ ಮತ್ತು ಉಪಕರಣಗಳನ್ನು ವಿವರವಾಗಿ ಅಧ್ಯಯನ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ವಿವರಿಸಲಾಗಿದೆ. ಗುಂಪು ವಿರಾಮವನ್ನು ತೆಗೆದುಕೊಳ್ಳಲು, ಅದರ ಆಂತರಿಕ ಸಾಧನಗಳನ್ನು ಪರಿಷ್ಕರಿಸಲು ಮತ್ತು ಅದರ ದಾಳಿಯನ್ನು ಮುಂದುವರೆಸಲು ಮತ್ತು ಪತ್ತೆಹಚ್ಚದೆ ಉಳಿಯಲು ಸ್ನಿಫರ್ ಕೋಡ್ ಅನ್ನು ಪುನಃ ಬರೆಯಲು ಒತ್ತಾಯಿಸಲಾಯಿತು.
ಮೂಲಸೌಕರ್ಯ
| ಡೊಮೇನ್ | ಆವಿಷ್ಕಾರ / ಕಾಣಿಸಿಕೊಂಡ ದಿನಾಂಕ |
|---|---|
| ಲಿಂಕ್-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| ಭದ್ರತಾ ಪಾವತಿ.ಸು | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| ಅಂಗಡಿ-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| ಉದ್ಯಾನವನಗಳು.ಸು | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| ಕಾಫಿಟಿಯಾ.ಆರ್ಗ್ | 31.01.2018 |
| energycoffe.org | 31.01.2018 |
| energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| ಬ್ಯಾಟರಿನಾರ್ಟ್.ಕಾಮ್ | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| authorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitnesse.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
ಮೂಲ: www.habr.com