🥇온라인 상점에서 기다리고 있는 네 가지 JavaScript 스니퍼

거의 모든 사람이 온라인 상점의 서비스를 사용합니다. 즉, 공격자가 은행 카드 데이터, 주소, 사용자 이름 및 암호를 훔치기 위해 웹사이트에 삽입하는 특수 코드인 JavaScript 스니퍼의 희생자가 될 위험이 있습니다. .

British Airways 웹사이트와 모바일 앱의 약 400명의 사용자는 이미 스니퍼, 영국 스포츠 거인 FILA 웹사이트 및 미국 티켓 유통업체인 Ticketmaster 방문자의 영향을 받았습니다. PayPal, Chase Paymenttech, USAePay, Moneris - 이들 및 기타 여러 결제 시스템이 감염되었습니다.

Threat Intelligence Group-IB 분석가 Viktor Okorokov가 스니퍼가 웹 사이트 코드에 침투하여 결제 정보를 훔치는 방법과 공격하는 CRM에 대해 설명합니다.

"숨겨진 위협"

오랫동안 JS 스니퍼는 안티 바이러스 분석가의 눈에 띄지 않았고 은행과 지불 시스템은 이를 심각한 위협으로 보지 않았습니다. 그리고 절대적으로 헛된 것입니다. Group-IB 전문가 분석 2440개의 감염된 온라인 상점 방문자(하루 총 약 1,5만 명)가 손상될 위험에 처했습니다. 피해자 중에는 사용자뿐만 아니라 손상된 카드를 발급한 온라인 상점, 결제 시스템 및 은행도 있습니다.

신고 Group-IB는 스니퍼의 다크넷 시장, 인프라 및 수익 창출 방법에 대한 최초의 연구가 되어 제작자에게 수백만 달러를 가져왔습니다. 우리는 38개의 스니퍼 패밀리를 식별했으며 그 중 12개만이 이전에 연구원들에게 알려졌습니다.

연구 과정에서 연구된 스니퍼의 네 가족에 대해 자세히 살펴보겠습니다.

ReactGet 제품군

ReactGet 제품군의 스니퍼는 온라인 쇼핑 사이트에서 은행 카드 데이터를 훔치는 데 사용됩니다. 스니퍼는 사이트에서 사용되는 다양한 결제 시스템과 함께 작동할 수 있습니다. 하나의 매개변수 값은 하나의 결제 시스템에 해당하며 감지된 개별 버전의 스니퍼는 자격 증명을 도용하고 은행 카드 데이터를 도용하는 데 사용될 수 있습니다. 소위 범용 스니퍼와 같은 여러 지불 시스템의 지불 양식을 한 번에. 경우에 따라 공격자가 사이트의 관리 패널에 대한 액세스 권한을 얻기 위해 온라인 상점 관리자에게 피싱 공격을 수행하는 것으로 나타났습니다.

이 스니퍼 제품군을 사용하는 캠페인은 2017년 XNUMX월에 시작되었습니다. CMS를 실행하는 사이트와 Magento, Bigcommerce, Shopify 플랫폼이 공격을 받았습니다.

ReactGet이 온라인 상점 코드에 포함되는 방식

링크에 의한 "클래식" 스크립트 삽입 외에도 ReactGet 제품군 스니퍼 연산자는 JavaScript 코드를 사용하여 사용자가 위치한 현재 주소가 특정 기준을 충족하는지 확인하는 특수 기술을 사용합니다. 악성 코드는 현재 URL에 하위 문자열이 포함된 경우에만 실행됩니다. 점검 또는 원스텝체크아웃, 한 페이지/, 아웃/원페이지, 체크아웃/하나, 체크아웃/하나. 따라서 스니퍼 코드는 사용자가 구매 비용을 지불하고 사이트의 양식에 지불 정보를 입력하는 순간에 정확히 실행됩니다.

이 스니퍼는 비표준 기술을 사용합니다. 피해자의 지불 및 개인 데이터는 함께 수집되며 다음을 사용하여 인코딩됩니다. base64, 그리고 결과 문자열은 매개 변수로 사용되어 악성 사이트에 요청을 보냅니다. 대부분의 경우 게이트 경로는 예를 들어 JavaScript 파일을 모방합니다. resp.js, 데이터.js 등이 있지만 이미지 파일에 대한 링크도 사용됩니다. GIF и JPG. 특이점은 스니퍼가 1 x 1 픽셀 크기의 이미지 객체를 생성하고 이전에 얻은 링크를 매개 변수로 사용한다는 것입니다. SRC 이미지. 즉, 사용자에게 이러한 트래픽 요청은 일반 사진 요청처럼 보일 것입니다. 유사한 기술이 ImageID 스니퍼 제품군에 사용되었습니다. 또한 1x1 픽셀 이미지 기술은 많은 합법적인 온라인 분석 스크립트에 사용되어 사용자를 오도할 수도 있습니다.

버전 분석

ReactGet 스니퍼 운영자가 사용하는 활성 도메인을 분석한 결과 이 스니퍼 제품군의 다양한 버전이 드러났습니다. 버전은 난독화의 유무에 따라 다르며, 또한 각 스니퍼는 온라인 상점의 은행 카드 결제를 처리하는 특정 결제 시스템용으로 설계되었습니다. 버전 번호에 해당하는 매개변수 값을 통해 정렬한 후 Group-IB 전문가는 사용 가능한 스니퍼 변형의 전체 목록을 받고 각 스니퍼가 페이지 코드에서 찾는 양식 필드의 이름으로 결제 시스템을 결정했습니다. 스니퍼가 목표로 삼는 것입니다.

스니퍼 및 해당 결제 시스템 목록

스니퍼 URL	결제 시스템
Reactjsapi.com/react.js	Authorize.Net
ajaxstatic.com/api.js?v=2.1.1	카드세이브
ajaxstatic.com/api.js?v=2.1.2	Authorize.Net
ajaxstatic.com/api.js?v=2.1.3	Authorize.Net
ajaxstatic.com/api.js?v=2.1.4	eWAY 래피드
ajaxstatic.com/api.js?v=2.1.5	Authorize.Net
ajaxstatic.com/api.js?v=2.1.6	아디 엔
ajaxstatic.com/api.js?v=2.1.7	USAePay
ajaxstatic.com/api.js?v=2.1.9	Authorize.Net
apitstatus.com/api.js?v=2.1.1	USAePay
apitstatus.com/api.js?v=2.1.2	Authorize.Net
apitstatus.com/api.js?v=2.1.3	모네리스
apitstatus.com/api.js?v=2.1.5	USAePay
apitstatus.com/api.js?v=2.1.6	페이팔
apitstatus.com/api.js?v=2.1.7	세이지 페이
apitstatus.com/api.js?v=2.1.8	베리사인
apitstatus.com/api.js?v=2.1.9	페이팔
apitstatus.com/api.js?v=2.3.0	스트라이프
apitstatus.com/api.js?v=3.0.2	릴렉스
apitstatus.com/api.js?v=3.0.3	페이팔
apitstatus.com/api.js?v=3.0.4	링크포인트
apitstatus.com/api.js?v=3.0.5	페이팔
apitstatus.com/api.js?v=3.0.7	페이팔
apitstatus.com/api.js?v=3.0.8	데이터 캐시
apitstatus.com/api.js?v=3.0.9	페이팔
asianfoodgracer.com/footer.js	Authorize.Net
billgetstatus.com/api.js?v=1.2	Authorize.Net
billgetstatus.com/api.js?v=1.3	Authorize.Net
billgetstatus.com/api.js?v=1.4	Authorize.Net
billgetstatus.com/api.js?v=1.5	베리사인
billgetstatus.com/api.js?v=1.6	Authorize.Net
billgetstatus.com/api.js?v=1.7	모네리스
billgetstatus.com/api.js?v=1.8	세이지 페이
billgetstatus.com/api.js?v=2.0	USAePay
billgetstatus.com/react.js	Authorize.Net
cloudodesc.com/gtm.js?v=1.2	Authorize.Net
cloudodesc.com/gtm.js?v=1.3	ANZ eGate
cloudodesc.com/gtm.js?v=2.3	Authorize.Net
cloudodesc.com/gtm.js?v=2.4	모네리스
cloudodesc.com/gtm.js?v=2.6	세이지 페이
cloudodesc.com/gtm.js?v=2.7	세이지 페이
cloudodesc.com/gtm.js?v=2.8	체이스 페이멘텍
cloudodesc.com/gtm.js?v=2.9	Authorize.Net
cloudodesc.com/gtm.js?v=2.91	아디 엔
cloudodesc.com/gtm.js?v=2.92	사이게이트
cloudodesc.com/gtm.js?v=2.93	사이버소스
cloudodesc.com/gtm.js?v=2.95	ANZ eGate
cloudodesc.com/gtm.js?v=2.97	릴렉스
geisseie.com/gs.js	USAePay
gtmproc.com/age.js	Authorize.Net
gtmproc.com/gtm.js?v=1.2	Authorize.Net
gtmproc.com/gtm.js?v=1.3	ANZ eGate
gtmproc.com/gtm.js?v=1.5	페이팔
gtmproc.com/gtm.js?v=1.6	페이팔
gtmproc.com/gtm.js?v=1.7	릴렉스
livecheckpay.com/api.js?v=2.0	세이지 페이
livecheckpay.com/api.js?v=2.1	페이팔
livecheckpay.com/api.js?v=2.2	베리사인
livecheckpay.com/api.js?v=2.3	Authorize.Net
livecheckpay.com/api.js?v=2.4	베리사인
livecheckpay.com/react.js	Authorize.Net
livegetpay.com/pay.js?v=2.1.2	ANZ eGate
livegetpay.com/pay.js?v=2.1.3	페이팔
livegetpay.com/pay.js?v=2.1.5	사이버소스
livegetpay.com/pay.js?v=2.1.7	Authorize.Net
livegetpay.com/pay.js?v=2.1.8	세이지 페이
livegetpay.com/pay.js?v=2.1.9	릴렉스
livegetpay.com/pay.js?v=2.2.0	사이버소스
livegetpay.com/pay.js?v=2.2.1	페이팔
livegetpay.com/pay.js?v=2.2.2	페이팔
livegetpay.com/pay.js?v=2.2.3	페이팔
livegetpay.com/pay.js?v=2.2.4	베리사인
livegetpay.com/pay.js?v=2.2.5	eWAY 래피드
livegetpay.com/pay.js?v=2.2.7	세이지 페이
livegetpay.com/pay.js?v=2.2.8	세이지 페이
livegetpay.com/pay.js?v=2.2.9	베리사인
livegetpay.com/pay.js?v=2.3.0	Authorize.Net
livegetpay.com/pay.js?v=2.3.1	Authorize.Net
livegetpay.com/pay.js?v=2.3.2	첫 번째 데이터 글로벌 게이트웨이
livegetpay.com/pay.js?v=2.3.3	Authorize.Net
livegetpay.com/pay.js?v=2.3.4	Authorize.Net
livegetpay.com/pay.js?v=2.3.5	모네리스
livegetpay.com/pay.js?v=2.3.6	Authorize.Net
livegetpay.com/pay.js?v=2.3.8	페이팔
livegetpay.com/pay.js?v=2.4.0	베리사인
maxstatics.com/site.js	USAePay
mediapack.info/track.js?d=funlove.com	USAePay
mediapack.info/track.js?d=qbedding.com	Authorize.Net
mediapack.info/track.js?d=vseyewear.com	베리사인
mxcounter.com/c.js?v=1.2	페이팔
mxcounter.com/c.js?v=1.3	Authorize.Net
mxcounter.com/c.js?v=1.4	스트라이프
mxcounter.com/c.js?v=1.6	Authorize.Net
mxcounter.com/c.js?v=1.7	eWAY 래피드
mxcounter.com/c.js?v=1.8	세이지 페이
mxcounter.com/c.js?v=2.0	Authorize.Net
mxcounter.com/c.js?v=2.1	Braintree
mxcounter.com/c.js?v=2.10	Braintree
mxcounter.com/c.js?v=2.2	페이팔
mxcounter.com/c.js?v=2.3	세이지 페이
mxcounter.com/c.js?v=2.31	세이지 페이
mxcounter.com/c.js?v=2.32	Authorize.Net
mxcounter.com/c.js?v=2.33	페이팔
mxcounter.com/c.js?v=2.34	Authorize.Net
mxcounter.com/c.js?v=2.35	베리사인
mxcounter.com/click.js?v=1.2	페이팔
mxcounter.com/click.js?v=1.3	Authorize.Net
mxcounter.com/click.js?v=1.4	스트라이프
mxcounter.com/click.js?v=1.6	Authorize.Net
mxcounter.com/click.js?v=1.7	eWAY 래피드
mxcounter.com/click.js?v=1.8	세이지 페이
mxcounter.com/click.js?v=2.0	Authorize.Net
mxcounter.com/click.js?v=2.1	Braintree
mxcounter.com/click.js?v=2.2	페이팔
mxcounter.com/click.js?v=2.3	세이지 페이
mxcounter.com/click.js?v=2.31	세이지 페이
mxcounter.com/click.js?v=2.32	Authorize.Net
mxcounter.com/click.js?v=2.33	페이팔
mxcounter.com/click.js?v=2.34	Authorize.Net
mxcounter.com/click.js?v=2.35	베리사인
mxcounter.com/cnt.js	Authorize.Net
mxcounter.com/j.js	Authorize.Net
newrelicnet.com/api.js?v=1.2	Authorize.Net
newrelicnet.com/api.js?v=1.4	Authorize.Net
newrelicnet.com/api.js?v=1.8	세이지 페이
newrelicnet.com/api.js?v=4.5	세이지 페이
newrelicnet.com/api.js?v=4.6	웨스트팩 페이웨이
nr-public.com/api.js?v=2.0	페이포트
nr-public.com/api.js?v=2.1	페이팔
nr-public.com/api.js?v=2.2	Authorize.Net
nr-public.com/api.js?v=2.3	스트라이프
nr-public.com/api.js?v=2.4	첫 번째 데이터 글로벌 게이트웨이
nr-public.com/api.js?v=2.5	사이게이트
nr-public.com/api.js?v=2.6	Authorize.Net
nr-public.com/api.js?v=2.7	Authorize.Net
nr-public.com/api.js?v=2.8	모네리스
nr-public.com/api.js?v=2.9	Authorize.Net
nr-public.com/api.js?v=3.1	세이지 페이
nr-public.com/api.js?v=3.2	베리사인
nr-public.com/api.js?v=3.3	모네리스
nr-public.com/api.js?v=3.5	페이팔
nr-public.com/api.js?v=3.6	링크포인트
nr-public.com/api.js?v=3.7	웨스트팩 페이웨이
nr-public.com/api.js?v=3.8	Authorize.Net
nr-public.com/api.js?v=4.0	모네리스
nr-public.com/api.js?v=4.0.2	페이팔
nr-public.com/api.js?v=4.0.3	아디 엔
nr-public.com/api.js?v=4.0.4	페이팔
nr-public.com/api.js?v=4.0.5	Authorize.Net
nr-public.com/api.js?v=4.0.6	USAePay
nr-public.com/api.js?v=4.0.7	EBizCharge
nr-public.com/api.js?v=4.0.8	Authorize.Net
nr-public.com/api.js?v=4.0.9	베리사인
nr-public.com/api.js?v=4.1.2	베리사인
ordercheckpays.com/api.js?v=2.11	Authorize.Net
ordercheckpays.com/api.js?v=2.12	페이팔
ordercheckpays.com/api.js?v=2.13	모네리스
ordercheckpays.com/api.js?v=2.14	Authorize.Net
ordercheckpays.com/api.js?v=2.15	페이팔
ordercheckpays.com/api.js?v=2.16	페이팔
ordercheckpays.com/api.js?v=2.17	웨스트팩 페이웨이
ordercheckpays.com/api.js?v=2.18	Authorize.Net
ordercheckpays.com/api.js?v=2.19	Authorize.Net
ordercheckpays.com/api.js?v=2.21	세이지 페이
ordercheckpays.com/api.js?v=2.22	베리사인
ordercheckpays.com/api.js?v=2.23	Authorize.Net
ordercheckpays.com/api.js?v=2.24	페이팔
ordercheckpays.com/api.js?v=2.25	페이포트
ordercheckpays.com/api.js?v=2.29	사이버소스
ordercheckpays.com/api.js?v=2.4	페이팔 페이플로 프로
ordercheckpays.com/api.js?v=2.7	Authorize.Net
ordercheckpays.com/api.js?v=2.8	Authorize.Net
ordercheckpays.com/api.js?v=2.9	베리사인
ordercheckpays.com/api.js?v=3.1	Authorize.Net
ordercheckpays.com/api.js?v=3.2	Authorize.Net
ordercheckpays.com/api.js?v=3.3	세이지 페이
ordercheckpays.com/api.js?v=3.4	Authorize.Net
ordercheckpays.com/api.js?v=3.5	스트라이프
ordercheckpays.com/api.js?v=3.6	Authorize.Net
ordercheckpays.com/api.js?v=3.7	Authorize.Net
ordercheckpays.com/api.js?v=3.8	베리사인
ordercheckpays.com/api.js?v=3.9	페이팔
ordercheckpays.com/api.js?v=4.0	Authorize.Net
ordercheckpays.com/api.js?v=4.1	Authorize.Net
ordercheckpays.com/api.js?v=4.2	세이지 페이
ordercheckpays.com/api.js?v=4.3	Authorize.Net
Reactjsapi.com/api.js?v=0.1.0	Authorize.Net
Reactjsapi.com/api.js?v=0.1.1	페이팔
Reactjsapi.com/api.js?v=4.1.2	부싯돌
Reactjsapi.com/api.js?v=4.1.4	페이팔
Reactjsapi.com/api.js?v=4.1.5	세이지 페이
Reactjsapi.com/api.js?v=4.1.51	베리사인
Reactjsapi.com/api.js?v=4.1.6	Authorize.Net
Reactjsapi.com/api.js?v=4.1.7	Authorize.Net
Reactjsapi.com/api.js?v=4.1.8	스트라이프
Reactjsapi.com/api.js?v=4.1.9	뚱뚱한 얼룩말
Reactjsapi.com/api.js?v=4.2.0	세이지 페이
Reactjsapi.com/api.js?v=4.2.1	Authorize.Net
Reactjsapi.com/api.js?v=4.2.2	첫 번째 데이터 글로벌 게이트웨이
Reactjsapi.com/api.js?v=4.2.3	Authorize.Net
Reactjsapi.com/api.js?v=4.2.4	eWAY 래피드
Reactjsapi.com/api.js?v=4.2.5	아디 엔
Reactjsapi.com/api.js?v=4.2.7	페이팔
Reactjsapi.com/api.js?v=4.2.8	QuickBooks 판매자 서비스
Reactjsapi.com/api.js?v=4.2.9	베리사인
Reactjsapi.com/api.js?v=4.2.91	세이지 페이
Reactjsapi.com/api.js?v=4.2.92	베리사인
Reactjsapi.com/api.js?v=4.2.94	Authorize.Net
Reactjsapi.com/api.js?v=4.3.97	Authorize.Net
Reactjsapi.com/api.js?v=4.5	세이지 페이
Reactjsapi.com/react.js	Authorize.Net
sydneysalonsupplies.com/gtm.js	eWAY 래피드
Tagsmediaget.com/react.js	Authorize.Net
Tagstracking.com/tag.js?v=2.1.2	ANZ eGate
Tagstracking.com/tag.js?v=2.1.3	페이팔
Tagstracking.com/tag.js?v=2.1.5	사이버소스
Tagstracking.com/tag.js?v=2.1.7	Authorize.Net
Tagstracking.com/tag.js?v=2.1.8	세이지 페이
Tagstracking.com/tag.js?v=2.1.9	릴렉스
Tagstracking.com/tag.js?v=2.2.0	사이버소스
Tagstracking.com/tag.js?v=2.2.1	페이팔
Tagstracking.com/tag.js?v=2.2.2	페이팔
Tagstracking.com/tag.js?v=2.2.3	페이팔
Tagstracking.com/tag.js?v=2.2.4	베리사인
Tagstracking.com/tag.js?v=2.2.5	eWAY 래피드
Tagstracking.com/tag.js?v=2.2.7	세이지 페이
Tagstracking.com/tag.js?v=2.2.8	세이지 페이
Tagstracking.com/tag.js?v=2.2.9	베리사인
Tagstracking.com/tag.js?v=2.3.0	Authorize.Net
Tagstracking.com/tag.js?v=2.3.1	Authorize.Net
Tagstracking.com/tag.js?v=2.3.2	첫 번째 데이터 글로벌 게이트웨이
Tagstracking.com/tag.js?v=2.3.3	Authorize.Net
Tagstracking.com/tag.js?v=2.3.4	Authorize.Net
Tagstracking.com/tag.js?v=2.3.5	모네리스
Tagstracking.com/tag.js?v=2.3.6	Authorize.Net
Tagstracking.com/tag.js?v=2.3.8	페이팔

암호 스니퍼

웹사이트의 클라이언트 측에서 작동하는 JavaScript 스니퍼의 장점 중 하나는 다용성입니다. 웹사이트에 내장된 악성 코드는 결제 정보나 사용자 계정의 로그인 및 암호 등 모든 유형의 데이터를 훔칠 수 있습니다. Group-IB 전문가들은 사이트 사용자의 이메일 주소와 비밀번호를 훔치도록 설계된 ReactGet 제품군에 속하는 스니퍼 샘플을 발견했습니다.

ImageID 스니퍼와 교차

감염된 상점 중 하나를 분석하는 동안 해당 웹 사이트가 두 번 감염된 것으로 나타났습니다. ReactGet 계열 스니퍼의 악성 코드 외에도 ImageID 계열 스니퍼 코드가 발견되었습니다. 이러한 중첩은 두 스니퍼 배후의 운영자가 유사한 기술을 사용하여 악성 코드를 주입하고 있다는 증거가 될 수 있습니다.

범용 스니퍼

ReactGet 스니퍼 인프라와 관련된 도메인 이름 중 하나를 분석하는 동안 동일한 사용자가 세 개의 다른 도메인 이름을 등록한 것으로 나타났습니다. 이 세 도메인은 실제 사이트의 도메인을 모방했으며 이전에는 스니퍼를 호스팅하는 데 사용되었습니다. 15개의 합법적인 사이트의 코드를 분석한 결과 알려지지 않은 스니퍼가 발견되었으며 추가 분석 결과 이것이 ReactGet 스니퍼의 개선된 버전인 것으로 나타났습니다. 이 스니퍼 제품군의 이전에 추적된 모든 버전은 단일 결제 시스템을 대상으로 했습니다. 즉, 각 결제 시스템에는 특수 버전의 스니퍼가 필요했습니다. 그러나이 경우 온라인 결제를위한 전자 상거래 사이트의 모듈 및 XNUMX 가지 결제 시스템과 관련된 양식에서 정보를 훔칠 수있는 범용 버전의 스니퍼가 발견되었습니다.

따라서 작업 초기에 스니퍼는 이름, 실제 주소, 전화번호 등 피해자의 개인 정보가 포함된 기본 양식 필드를 검색했습니다.

그런 다음 스니퍼는 온라인 결제를 위해 다양한 결제 시스템 및 모듈에 해당하는 15개 이상의 접두사를 검색했습니다.

다음으로 피해자의 개인 데이터와 지불 정보가 함께 수집되어 공격자가 제어하는 사이트로 전송되었습니다. 이 특별한 경우 두 가지 해킹된 사이트에서 두 가지 버전의 ReactGet 범용 스니퍼가 발견되었습니다. 그러나 두 버전 모두 훔친 데이터를 동일한 해킹 사이트로 보냈습니다. Zoobashop.com.

피해자의 결제 정보가 포함된 필드를 찾기 위해 스니퍼가 사용하는 접두사를 분석한 결과 이 스니퍼 샘플이 다음 결제 시스템을 대상으로 하는 것으로 확인되었습니다.

Authorize.Net
베리사인
첫 번째 데이터
USAePay
스트라이프
페이팔
ANZ eGate
Braintree
데이터 캐시(마스터카드)
리얼렉스 결제
사이게이트
하트 랜드 결제 시스템

결제 정보를 도용하는 데 사용되는 도구

공격자의 인프라 분석 중에 발견된 첫 번째 도구는 은행 카드를 훔치는 악성 스크립트를 난독화하는 역할을 합니다. 공격자의 호스트 중 하나에서 프로젝트의 CLI를 사용하는 bash 스크립트가 발견되었습니다. 자바스크립트-난독화기 스니퍼 코드 난독화를 자동화합니다.

두 번째로 발견된 도구는 기본 스니퍼 로드를 담당하는 코드를 생성하도록 설계되었습니다. 이 도구는 문자열에 대한 사용자의 현재 주소를 검색하여 사용자가 체크아웃 페이지에 있는지 확인하는 JavaScript 코드를 생성합니다. 점검, 카트 등등, 결과가 긍정적이면 코드는 침입자의 서버에서 기본 스니퍼를 로드합니다. 악의적인 활동을 숨기기 위해 지불 페이지를 결정하기 위한 테스트 라인과 스니퍼에 대한 링크를 포함한 모든 라인은 다음을 사용하여 인코딩됩니다. base64.

피싱 공격

공격자의 네트워크 인프라를 분석하는 동안 범죄 집단이 대상 온라인 상점의 관리 패널에 액세스하기 위해 피싱을 자주 사용하는 것으로 나타났습니다. 공격자는 상점 도메인처럼 보이는 도메인을 등록한 다음 여기에 가짜 Magento 관리자 로그인 양식을 배포합니다. 성공하면 공격자는 Magento CMS 관리 패널에 액세스하여 사이트 구성 요소를 편집하고 스니퍼를 구현하여 신용 카드 데이터를 훔칠 수 있습니다.

하부 구조

도메인 이름	발견/출현 날짜
mediapack.info	04.05.2017
Adsgetapi.com	15.06.2017
simcounter.com	14.08.2017
mageanalytics.com	22.12.2017
maxstatics.com	16.01.2018
Reactjsapi.com	19.01.2018
mxcounter.com	02.02.2018
apitstatus.com	01.03.2018
orderracker.com	20.04.2018
tagtracking.com	25.06.2018
Adsapigate.com	12.07.2018
trusttracker.com	15.07.2018
fbstatspartner.com	02.10.2018
billgetstatus.com	12.10.2018
www.aldenmlilhouse.com	20.10.2018
balletbeautlful.com	20.10.2018
bargalnjunkie.com	20.10.2018
payselector.com	21.10.2018
태그mediaget.com	02.11.2018
hs-payments.com	16.11.2018
ordercheckpays.com	19.11.2018
geissei.com	24.11.2018
gtmproc.com	29.11.2018
livegetpay.com	18.12.2018
sydneysalonssupplies.com	18.12.2018
newrelicnet.com	19.12.2018
nr-public.com	03.01.2019
cloudodesc.com	04.01.2019
ajaxstatic.com	11.01.2019
livecheckpay.com	21.01.2019
asianfoodgracer.com	25.01.2019

G-Analytics 제품군

이 스니퍼 제품군은 온라인 상점에서 고객 카드를 훔치는 데 사용됩니다. 그룹이 사용하는 최초의 도메인 이름은 2016년 2016월에 등록되었으며, 이는 XNUMX년 중반 그룹 활동의 시작을 알릴 수 있습니다.

현재 캠페인에서 이 그룹은 Google Analytics 및 jQuery와 같은 실제 서비스를 모방한 도메인 이름을 사용하여 스니퍼 활동을 합법적인 스크립트 및 합법적으로 보이는 도메인 이름으로 마스킹합니다. CMS Magento에서 실행되는 웹사이트가 공격을 받았습니다.

G-Analytics가 온라인 상점 코드에서 구현되는 방식

이 패밀리의 특징은 사용자 결제 정보를 훔치는 다양한 방법을 사용한다는 것입니다. 사이트의 클라이언트 측에 대한 고전적인 JavaScript 주입 외에도 범죄 그룹은 사이트의 서버 측에 코드를 주입하는 기술, 즉 사용자 입력을 처리하는 PHP 스크립트를 사용했습니다. 이 기술은 타사 연구원이 악성 코드를 탐지하기 어렵게 만든다는 점에서 위험합니다. Group-IB 전문가들은 도메인을 게이트로 사용하여 사이트의 PHP 코드에 내장된 스니퍼 버전을 발견했습니다. dittm.org.

동일한 도메인을 사용하여 훔친 데이터를 수집하는 초기 버전의 스니퍼도 발견되었습니다. dittm.org, 하지만 이 버전은 이미 온라인 상점의 클라이언트 측에 설치하기 위한 것입니다.

나중에 그룹은 전술을 변경하고 악의적인 활동 및 위장의 은폐에 더 많은 주의를 기울이기 시작했습니다.

2017년 초에 그룹은 도메인을 사용하기 시작했습니다. jquery-js.comjQuery용 CDN으로 위장: 악성 사이트로 이동 시 사용자를 합법적인 사이트로 리디렉션 제이쿼리닷컴.

그리고 2018년 중반에 그룹은 도메인 이름을 채택했습니다. g-analytics.com 스니퍼의 활동을 합법적인 Google Analytics 서비스로 위장하기 시작했습니다.

버전 분석

스니퍼 코드를 저장하는 데 사용되는 도메인을 분석하는 동안 사이트에는 난독화의 존재 여부와 주의를 분산시키기 위해 파일에 추가된 도달할 수 없는 코드의 존재 여부가 다른 많은 버전이 있는 것으로 나타났습니다. 악성 코드를 숨깁니다.

사이트 총액 jquery-js.com XNUMX가지 버전의 스니퍼가 식별되었습니다. 이러한 스니퍼는 훔친 데이터를 스니퍼와 동일한 사이트에 있는 주소로 보냅니다. hxxps://jquery-js[.]com/latest/jquery.min.js:

hxxps://jquery-js[.]com/jquery.min.js
hxxps://jquery-js[.]com/jquery.2.2.4.min.js
hxxps://jquery-js[.]com/jquery.1.8.3.min.js
hxxps://jquery-js[.]com/jquery.1.6.4.min.js
hxxps://jquery-js[.]com/jquery.1.4.4.min.js
hxxps://jquery-js[.]com/jquery.1.12.4.min.js

나중에 도메인 g-analytics.com2018년 중반부터 공격에 사용된 이 그룹은 더 많은 스니퍼를 위한 저장소 역할을 합니다. 총 16개의 다른 버전의 스니퍼가 발견되었습니다. 이 경우 훔친 데이터를 전송하는 게이트는 형식의 이미지에 대한 링크로 위장했습니다. GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:

hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
hxxps://g-analytics[.]com/libs/analytics.js

도난당한 데이터의 수익화

범죄 집단은 카드 사용자에게 서비스를 제공하는 특별히 만들어진 지하 매장을 통해 카드를 판매하여 훔친 데이터로 수익을 창출합니다. 공격자가 사용하는 도메인을 분석하면 다음을 확인할 수 있습니다. google-analytics.cm 도메인과 동일한 사용자가 등록했습니다. 카드즈.vc. 도메인 카드즈.vc 카드서프스(Flysurfs)는 도난당한 은행 카드를 판매하는 상점으로 AlphaBay 지하 시장에서 스니퍼를 사용하여 도난당한 은행 카드를 판매하는 상점으로 인기를 얻었습니다.

도메인 분석 분석적.is, 도난당한 데이터를 수집하기 위해 스니퍼가 사용하는 도메인과 동일한 서버에 위치한 Group-IB 전문가는 쿠키 스틸러 로그가 포함된 파일을 발견했으며 나중에 개발자가 이 로그를 버린 것으로 보입니다. 로그의 항목 중 하나에 도메인이 포함됨 iozoz.com, 이전에 2016년에 활성화된 스니퍼 중 하나에서 사용되었습니다. 아마도 이 도메인은 이전에 공격자가 스니퍼를 사용하여 도난당한 카드를 수집하는 데 사용되었을 것입니다. 이 도메인은 이메일 주소로 등록되었습니다. [이메일 보호], 도메인 등록에도 사용됨 카드즈.su и 카드즈.vcCardsurfs 카딩 샵 관련.

확보한 데이터를 바탕으로 G-Analytics 스니퍼 패밀리와 지하 Cardsurfs 은행 카드 매장은 같은 사람이 운영하며 매장은 스니퍼를 사용하여 도난당한 은행 카드를 판매하는 데 사용된다고 추정할 수 있습니다.

하부 구조

도메인 이름	발견/출현 날짜
iozoz.com	08.04.2016
dittm.org	10.09.2016
jquery-js.com	02.01.2017
g-analytics.com	31.05.2018
google-analytics.is	21.11.2018
분석적.to	04.12.2018
google-analytics.to	06.12.2018
google-analytics.cm	28.12.2018
분석적.is	28.12.2018
googlelc-analytics.cm	17.01.2019

일룸 패밀리

Illum은 Magento CMS를 실행하는 온라인 상점을 공격하는 데 사용되는 스니퍼 제품군입니다. 악성 코드 도입 외에도 이 스니퍼 운영자는 공격자가 제어하는 게이트로 데이터를 보내는 본격적인 가짜 지불 양식을 도입합니다.

이 스니퍼 운영자가 사용하는 네트워크 인프라를 분석할 때 다수의 악성 스크립트, 익스플로잇, 가짜 지불 양식 및 악의적인 스니퍼 경쟁업체의 사례 모음이 발견되었습니다. 그룹에서 사용하는 도메인 이름의 출현 날짜에 대한 정보를 기반으로 캠페인 시작이 2016년 말이라고 가정할 수 있습니다.

온라인 상점의 코드에서 Illum이 구현되는 방식

처음 발견된 스니퍼 버전은 손상된 사이트의 코드에 직접 삽입되었습니다. 훔친 데이터는 다음 주소로 전송되었습니다. cdn.illum[.]pw/records.php, 게이트는 다음을 사용하여 인코딩되었습니다. base64.

나중에 다른 게이트를 사용하는 패키지 버전의 스니퍼가 발견되었습니다. records.nstatistics[.]com/records.php.

에 따르면 보고서 Willem de Groot, 동일한 호스트가 구현된 스니퍼에 사용되었습니다. 쇼핑 웹사이트, 독일 정당 CSU 소유.

공격 사이트 분석

Group-IB 전문가들은 이 범죄 집단이 도구를 저장하고 훔친 정보를 수집하기 위해 사용하는 사이트를 발견하고 분석했습니다.

공격자의 서버에서 발견된 도구 중에는 Linux OS에서 권한 상승을 위한 스크립트 및 익스플로잇이 발견되었습니다. 예를 들어 Mike Czumak이 개발한 Linux Privilege Escalation Check Script와 CVE-2009-1185 익스플로잇이 있습니다.

공격자는 온라인 상점을 공격하기 위해 두 가지 익스플로잇을 직접 사용했습니다. первый 악성 코드를 주입할 수 있는 core_config_data CVE-2016-4010을 악용하여 초 Magento CMS 플러그인의 RCE 취약점을 악용하여 취약한 웹 서버에서 임의의 코드를 실행할 수 있습니다.

또한 서버 분석 과정에서 공격자가 해킹된 사이트에서 결제 정보를 수집하는 데 사용하는 다양한 스니퍼 샘플과 가짜 결제 양식이 발견되었습니다. 아래 목록에서 볼 수 있듯이 해킹된 각 사이트에 대해 일부 스크립트가 개별적으로 생성되었으며 특정 CMS 및 지불 게이트웨이에 대해 범용 솔루션이 사용되었습니다. 예를 들어 스크립트 segapay_standard.js и segapay_onpage.js Sage Pay 지불 게이트웨이를 사용하는 사이트에 내장되도록 설계되었습니다.

다양한 결제 게이트웨이용 스크립트 목록

스크립트	결제 게이트웨이
sr.illum[.]pw/mjs_special/visiondirect.co.uk.js	//request.payrightnow[.]cf/checkpay.php
sr.illum[.]pw/mjs_special/topdirenshop.nl.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/tiendalenovo.es.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/pro-bolt.com.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/plae.co.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/ottolenghi.co.uk.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/oldtimecandy.com.js	//request.payrightnow[.]cf/checkpay.php
sr.illum[.]pw/mjs_special/mylook.ee.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs_special/luluandsky.com.js	//request.payrightnow[.]cf/checkpay.php
sr.illum[.]pw/mjs_special/julep.com.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs_special/gymcompany.es.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/grotekadoshop.nl.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/fushi.co.uk.js	//request.payrightnow[.]cf/checkpay.php
sr.illum[.]pw/mjs_special/fareastflora.com.js	//request.payrightnow[.]cf/checkpay.php
sr.illum[.]pw/mjs_special/compuindia.com.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs/segapay_standart.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/segapay_onpage.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/replace_standard.js	//request.payrightnow[.]cf/checkpay.php
sr.illum[.]pw/mjs/all_inputs.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/add_inputs_standart.js	//request.payrightnow[.]cf/checkpay.php
sr.illum[.]pw/magento/payment_standard.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/magento/pay_redirect.js	//payrightnow[.]cf/?결제=
sr.illum[.]pw/magento/결제_redcrypt.js	//payrightnow[.]cf/?결제=
sr.illum[.]pw/magento/결제_forminsite.js	//결제지금[.]tk/?결제=

주인 지금 결제[.]tk, 스크립트에서 게이트로 사용 Payment_forminsite.js, 로 발견되었습니다 주제 대체 이름 CloudFlare 서비스와 관련된 여러 인증서에서. 또한 스크립트는 호스트에 있습니다. evil.js. 스크립트 이름으로 미루어 보아 CVE-2016-4010 익스플로잇의 일부로 사용되었을 가능성이 있습니다. 덕분에 Magento CMS를 실행하는 사이트의 바닥글에 악성 코드를 주입할 수 있습니다. 이 스크립트는 호스트를 게이트로 사용했습니다. request.requestnet[.]tk, 호스트와 동일한 인증서 사용 지금 결제[.]tk.

가짜 결제 양식

아래 그림은 카드 데이터를 입력하는 양식의 예를 보여줍니다. 이 양식은 온라인 상점 웹 사이트에 침투하여 카드 데이터를 도용하는 데 사용되었습니다.

다음 그림은 공격자가 이 결제 수단을 사용하여 사이트에 침투하기 위해 사용한 가짜 PayPal 결제 형식의 예입니다.

하부 구조

도메인 이름	발견/출현 날짜
cdn.illum.pw	27/11/2016
records.nstatistics.com	06/09/2018
request.payrightnow.cf	25/05/2018
Paymentnow.tk	16/07/2017
지불-line.tk	01/03/2018
Paymentpal.cf	04/09/2017
requestnet.tk	28/06/2017

커피모꼬패밀리

온라인 상점 사용자의 은행 카드를 훔치도록 설계된 CoffeMokko 스니퍼 제품군은 적어도 2017년 1월부터 사용되었습니다. 아마도 2016년 RiskIQ 전문가가 기술한 그룹 XNUMX 범죄 그룹이 이 스니퍼 제품군의 운영자일 것입니다. Magento, OpenCart, WordPress, osCommerce, Shopify와 같은 CMS를 실행하는 웹사이트가 공격을 받았습니다.

CoffeMokko가 온라인 상점 코드에 삽입되는 방식

이 제품군의 운영자는 각 감염에 대해 고유한 스니퍼를 생성합니다. 스니퍼 파일은 디렉터리에 있습니다. SRC 또는 js 공격자의 서버에서. 사이트 코드로의 구현은 스니퍼에 대한 직접 링크를 통해 수행됩니다.

스니퍼 코드는 데이터를 도용하려는 양식 필드의 이름을 하드 코딩합니다. 스니퍼는 또한 사용자의 현재 주소에 대한 키워드 목록을 확인하여 사용자가 체크아웃 페이지에 있는지 확인합니다.

발견된 스니퍼의 일부 버전은 난독화되었으며 리소스의 기본 배열을 저장하는 암호화된 문자열을 포함하고 있습니다. 여기에는 다양한 결제 시스템의 양식 필드 이름과 훔친 데이터를 전송해야 하는 게이트 주소가 포함되어 있습니다.

훔친 결제 정보는 도중에 공격자의 서버에 있는 스크립트로 전송되었습니다. /savePayment/index.php 또는 /tr/index.php. 아마도 이 스크립트는 게이트에서 모든 스니퍼의 데이터를 통합하는 주 서버로 데이터를 보내는 데 사용됩니다. 전송된 데이터를 숨기기 위해 피해자의 모든 결제 정보는 다음을 사용하여 암호화됩니다. base64, 그런 다음 몇 가지 문자 대체가 발생합니다.

문자 "e"는 ":"로 대체됩니다.
기호 "w"는 "+"로 대체됩니다.
문자 "o"는 "%"로 대체됩니다.
문자 "d"는 "#"으로 대체됩니다.
문자 "a"는 "-"로 대체됩니다.
기호 "7"은 "^"로 대체됩니다.
문자 "h"는 "_"로 대체됩니다.
"T" 기호는 "@"로 대체됩니다.
문자 "0"은 "/"로 대체됩니다.
문자 "Y"는 "*"로 대체됩니다.

로 인코딩된 문자 대체의 결과 base64 역변환 없이는 데이터를 디코딩할 수 없습니다.

난독화되지 않은 스니퍼 코드의 일부는 다음과 같습니다.

인프라 분석

초기 캠페인에서 공격자는 합법적인 온라인 쇼핑 사이트와 유사한 도메인 이름을 등록했습니다. 그들의 도메인은 합법적인 도메인과 하나의 문자 또는 다른 TLD와 다를 수 있습니다. 등록된 도메인은 스토어 코드에 포함된 링크인 스니퍼 코드를 저장하는 데 사용되었습니다.

이 그룹은 인기 있는 jQuery 플러그인을 연상시키는 도메인 이름도 사용했습니다(slickjs[.]org 플러그인을 사용하는 사이트 slick.js), 결제 게이트웨이(sagecdn[.]org Sage Pay 결제 시스템을 사용하는 사이트).

나중에 그룹은 상점의 도메인이나 상점의 테마와 아무 관련이 없는 이름을 가진 도메인을 만들기 시작했습니다.

각 도메인은 디렉토리가 생성된 사이트에 해당합니다. /js 또는 /src. 스니퍼 스크립트는 이 디렉토리에 저장되었습니다: 각각의 새로운 감염에 대해 하나의 스니퍼. 스니퍼는 직접 링크를 통해 사이트 코드에 도입되었지만 드물게 공격자가 사이트의 파일 중 하나를 수정하고 악성 코드를 추가했습니다.

코드 분석

첫 번째 난독화 알고리즘

이 계열의 일부 스니퍼 샘플에서 코드는 난독화되었으며 스니퍼가 작동하는 데 필요한 암호화된 데이터(특히 스니퍼의 게이트 주소, 결제 양식 필드 목록 및 경우에 따라 가짜 결제 양식 코드)가 포함되어 있습니다. 함수 내부의 코드에서 리소스는 무료 동일한 함수에 인수로 전달된 키로.

각 샘플에 대해 고유한 해당 키로 문자열을 해독하면 구분 문자로 구분된 스니퍼 코드의 모든 행을 포함하는 문자열을 얻을 수 있습니다.

두 번째 난독화 알고리즘

이 스니퍼 제품군의 이후 샘플에서는 다른 난독화 메커니즘이 사용되었습니다. 이 경우 데이터는 자체 작성 알고리즘을 사용하여 암호화되었습니다. 스니퍼가 작동하는 데 필요한 암호화된 데이터가 포함된 문자열이 암호 해독 기능에 인수로 전달되었습니다.

브라우저 콘솔을 사용하여 암호화된 데이터를 해독하고 스니퍼 리소스가 포함된 배열을 가져올 수 있습니다.

초기 MageCart 공격에 대한 링크

그룹이 도난 데이터를 수집하기 위한 게이트로 사용하는 도메인 중 하나를 분석한 결과, 이 도메인은 첫 번째 그룹 중 하나인 그룹 1에서 사용한 것과 동일한 신용 카드 도용 인프라를 구축한 것으로 나타났습니다. 발견 된 RiskIQ 전문가.

CoffeMokko 스니퍼 제품군의 호스트에서 두 개의 파일이 발견되었습니다.

mage.js — 게이트 주소가 있는 그룹 1 스니퍼 코드를 포함하는 파일 js-cdn.link
mag.php - 스니퍼가 훔친 데이터 수집을 담당하는 PHP 스크립트

mage.js 파일의 내용
또한 CoffeMokko 스니퍼 제품군 뒤에 있는 그룹이 사용한 최초의 도메인이 17년 2017월 XNUMX일에 등록된 것으로 확인되었습니다.

링크-js[.]링크
info-js[.]링크
track-js[.]링크
map-js[.]링크
smart-js[.]링크

이러한 도메인 이름의 형식은 1년 공격에 사용된 그룹 2016 도메인 이름과 동일합니다.

발견된 사실을 바탕으로 CoffeMokko 스니퍼 운영자와 Group 1 범죄 그룹 사이에 연관성이 있다고 추정할 수 있습니다. 아마도 CoffeMokko 운영자는 전임자의 카드를 훔치기 위해 도구와 소프트웨어를 빌렸을 수 있습니다. 그러나 CoffeMokko 패밀리 스니퍼를 사용하는 범죄 집단은 그룹 1 활동의 일환으로 공격을 수행한 동일 인물일 가능성이 더 큽니다. 도메인 이름은 차단되었고 도구는 자세히 연구되고 설명되었습니다. 이 그룹은 공격을 계속하고 눈에 띄지 않게 유지하기 위해 휴식을 취하고 내부 도구를 미세 조정하고 스니퍼 코드를 다시 작성해야 했습니다.

하부 구조

도메인 이름	발견/출현 날짜
링크-js.link	17.05.2017
info-js.link	17.05.2017
트랙-js.link	17.05.2017
지도-js.링크	17.05.2017
스마트 js.link	17.05.2017
adorebeauty.org	03.09.2017
보안 지불.su	03.09.2017
Braincdn.org	04.09.2017
sagecdn.org	04.09.2017
slickjs.org	04.09.2017
Oakandfort.org	10.09.2017
citywlnery.org	15.09.2017
dobell.su	04.10.2017
childrensplayclothing.org	31.10.2017
jewsondirect.com	05.11.2017
shop-rnib.org	15.11.2017
closetlondon.org	16.11.2017
misshaus.org	28.11.2017
Battery-force.org	01.12.2017
kik-vape.org	01.12.2017
greatfurnituretradingco.org	02.12.2017
etradesupply.org	04.12.2017
replacementmyremote.org	04.12.2017
all-about-sneakers.org	05.12.2017
mage-checkout.org	05.12.2017
nililotan.org	07.12.2017
lamoodbighat.net	08.12.2017
walletgear.org	10.12.2017
dahlie.org	12.12.2017
davidsfootwear.org	20.12.2017
blackriverimaging.org	23.12.2017
exrpesso.org	02.01.2018
parks.su	09.01.2018
pmtonline.su	12.01.2018
otocap.org	15.01.2018
christohperward.org	27.01.2018
Coffeetea.org	31.01.2018
Energycoffe.org	31.01.2018
Energytea.org	31.01.2018
teacoffe.net	31.01.2018
adaptivecss.org	01.03.2018
coffemokko.com	01.03.2018
londontea.net	01.03.2018
ukcoffe.com	01.03.2018
labbe.biz	20.03.2018
Batterynart.com	03.04.2018
btosports.net	09.04.2018
병아리새들러리.net	16.04.2018
paypaypay.org	11.05.2018
ar500arnor.com	26.05.2018
Authorizecdn.com	28.05.2018
slickmin.com	28.05.2018
배너버즈.info	03.06.2018
kandypens.net	08.06.2018
mylrendyphone.com	15.06.2018
freshchat.info	01.07.2018
3lift.org	02.07.2018
abtasty.net	02.07.2018
mechat.info	02.07.2018
zoplm.com	02.07.2018
zapaljs.com	02.09.2018
foodandcot.com	15.09.2018
freshdepor.com	15.09.2018
swappastore.com	15.09.2018
verywellfitness.com	15.09.2018
elegrina.com	18.11.2018
majsurplus.com	19.11.2018
top5value.com	19.11.2018

출처 : habr.com

온라인 상점에서 기다리고 있는 XNUMX가지 JavaScript 스니퍼

"숨겨진 위협"

ReactGet 제품군

ReactGet이 온라인 상점 코드에 포함되는 방식

버전 분석

암호 스니퍼

ImageID 스니퍼와 교차

범용 스니퍼

결제 정보를 도용하는 데 사용되는 도구

피싱 공격

G-Analytics 제품군

G-Analytics가 온라인 상점 코드에서 구현되는 방식

버전 분석

도난당한 데이터의 수익화

일룸 패밀리

온라인 상점의 코드에서 Illum이 구현되는 방식

공격 사이트 분석

가짜 결제 양식

커피모꼬패밀리

CoffeMokko가 온라인 상점 코드에 삽입되는 방식

인프라 분석

코드 분석

첫 번째 난독화 알고리즘

두 번째 난독화 알고리즘

초기 MageCart 공격에 대한 링크

코멘트를 추가 답장을 취소