Hema hema hemî ji me karûbarên firotgehên serhêl bikar tînin, ku tê vê wateyê ku zû an dereng em xetera ku bibin qurbaniya şifreyên JavaScript - kodek taybetî ya ku êrîşkar li ser malperek bicîh dikin da ku daneyên qerta bankê, navnîşan, têketin û şîfreyên bikarhêneran bidizin. .
Nêzîkî 400 bikarhênerên malpera British Airways û sepana mobîl berê xwe dane snifferan, û her weha mêvanên malpera Brîtanî ya mezina werzîşê FILA û belavkerê bilêtên Amerîkî Ticketmaster. PayPal, Chase Paymenttech, USAePay, Moneris - van û gelek pergalên dravdanê yên din vegirtî bûn.
Analîstê Koma Îstîxbarata Tehdîdê-IB Viktor Okorokov diaxive ka meriv çawa dişoxilîne koda malperê û agahdariya dravdanê didizin, û hem jî ew êrîşî kîjan CRM dikin.
"Gefên veşartî"
Wusa çêbû ku ji bo demek dirêj snifferên JS ji ber çavê analîstên antî-vîrusê mane, û bank û pergalên dravdanê wan wekî xetereyek cidî nabînin. Û bi temamî pûç. Pisporên Koma-IB 2440 firotgehên serhêl ên vegirtî, yên ku mêvanên wan - bi tevahî 1,5 mîlyon mirov rojane - di xetereya lihevkirinê de bûn. Di nav mexdûran de ne tenê bikarhêner hene, di heman demê de dikanên serhêl, pergalên dravdanê û bankên ku kartên tawîz dane jî hene.
Group-IB bû lêkolîna yekem a bazara tarî ya sniffer, binesaziya wan û rêbazên diravkirinê, ku ji afirînerên wan re bi mîlyonan dolaran tîne. Me 38 malbatên sîxuran tespît kirin, ku ji wan tenê 12 berê ji hêla lêkolîneran ve dihat zanîn.
Werin em bi hûrgulî li ser çar malbatên sîxurên ku di dema lêkolînê de hatine lêkolîn kirin rawestin.
Malbata ReactGet
Snifferên malbata ReactGet ji bo dizîna daneyên qerta bankê li ser malperên kirîna serhêl têne bikar anîn. Sniffer dikare bi hejmareke mezin ji pergalên dravdanê yên cihêreng ên ku li ser malperê têne bikar anîn re bixebite: nirxek yek parametreyê bi yek pergala dravdanê re têkildar e, û guhertoyên kesane yên naskirî yên sniffer dikare ji bo dizîna pêbaweriyê, û her weha ji bo dizîna daneyên qerta bankê ji dravdanê were bikar anîn. formên gelek pergalên dravdanê bi yekcarî, mîna ku jê re tê gotin sniffer gerdûnî. Hat dîtin ku di hin rewşan de, êrîşkar ji bo ku bigihîjin panela îdarî ya malperê êrişên fîşekirinê li ser rêvebirên firotgeha serhêl pêk tînin.
Kampanyayek ku bi karanîna vê malbata sniffers di Gulana 2017-an de dest pê kir; malperên ku platformên CMS û Magento, Bigcommerce, û Shopify dimeşînin hatin êrîş kirin.
Çawa ReactGet di koda dikanek serhêl de tête bicîh kirin
Digel pêkanîna "klasîk" a skrîptekê bi rêya lînkê, operatorên malbata ReactGet sniffer teknîkek taybetî bikar tînin: bi karanîna koda JavaScript, ew kontrol dikin ka navnîşana heyî ya ku bikarhêner lê ye hin pîvanan pêk tîne. Koda xerab dê tenê were darve kirin ger ku binerd di URL-ya heyî de hebe lêkolîn an yek gav avêtin, yek rûpel/, der / yekpag, qasê/yek, ckout/yek. Bi vî rengî, koda sniffer dê tam di dema ku bikarhêner dest bi dayîna kirînê dike û agahdariya dravdanê têxe forma li ser malperê.
Ev sniffer teknîkek ne-standard bikar tîne. Daneyên mexdûr û kesane bi hev re têne berhev kirin û bi kar têne kod kirin bingeh64, û dûv re rêzika encam wekî pîvanek tê bikar anîn da ku daxwazek ji malpera êrîşkaran re bişîne. Pir caran, riya berbi dergehê pelek JavaScript teqlîd dike, mînakî resp.js, data.js û hwd, lê girêdanên pelên wêneyê jî têne bikar anîn, GIF и JPG. Taybetmendî ev e ku sniffer heyberek wêneyê bi pîvana 1 bi 1 pixel diafirîne û zencîreya ku berê hatî wergirtin wekî pîvanek bikar tîne. src Images. Ango, ji bo bikarhêner daxwazek wusa di trafîkê de dê wekî daxwazek wêneyek asayî xuya bike. Teknolojiya heman rengî di malbata ImageID ya sniffer de hate bikar anîn. Wekî din, teknîka karanîna wêneyek 1 bi 1 pixel di gelek nivîsarên analîtîk ên serhêl ên rewa de tê bikar anîn, ku ev jî dikare bikarhêner bixapîne.
Analîza Versiyon
Analîza domên çalak ên ku ji hêla operatorên sniffer ên ReactGet ve têne bikar anîn, gelek guhertoyên cûda yên vê malbata snifferan eşkere kirin. Guhertoyên di hebûn an nebûna tevliheviyê de cûda dibin, û ji bilî vê, her sniffer ji bo pergalek dravê taybetî ya ku dravdana qerta bankê ji bo firotgehên serhêl pêvajoyê dike, hatî çêkirin. Pisporên Group-IB bi nirxa pîvana ku bi jimareya guhertoyê ve girêdayî ye veqetandin, navnîşek bêkêmasî ya guhertoyên sniffer ên berdest wergirtin, û bi navên zeviyên formê yên ku her sniffer di koda rûpelê de lê digere, wan pergalên dravdanê nas kirin. ku sîxur tê armanc kirin.
Lîsteya sniffer û pergalên dravdana wan ên têkildar
| Sniffer URL | Pergala dravdayînê |
|---|---|
| Destûrname.NET | |
| Cardsave | |
| Destûrname.NET | |
| Destûrname.NET | |
| eWAY Rapid | |
| Destûrname.NET | |
| Adyen | |
| USAePay | |
| Destûrname.NET | |
| USAePay | |
| Destûrname.NET | |
| Moneris | |
| USAePay | |
| PayPal | |
| Sage Pay | |
| Verisign | |
| PayPal | |
| Tîrêj | |
| Realex | |
| PayPal | |
| LinkPoint | |
| PayPal | |
| PayPal | |
| DataCash | |
| PayPal | |
| Destûrname.NET | |
| Destûrname.NET | |
| Destûrname.NET | |
| Destûrname.NET | |
| Verisign | |
| Destûrname.NET | |
| Moneris | |
| Sage Pay | |
| USAePay | |
| Destûrname.NET | |
| Destûrname.NET | |
| ANZ eGate | |
| Destûrname.NET | |
| Moneris | |
| Sage Pay | |
| Sage Pay | |
| Chase Paymentech | |
| Destûrname.NET | |
| Adyen | |
| PsiGate | |
| Çavkaniya Sîber | |
| ANZ eGate | |
| Realex | |
| USAePay | |
| Destûrname.NET | |
| Destûrname.NET | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| Realex | |
| Sage Pay | |
| PayPal | |
| Verisign | |
| Destûrname.NET | |
| Verisign | |
| Destûrname.NET | |
| ANZ eGate | |
| PayPal | |
| Çavkaniya Sîber | |
| Destûrname.NET | |
| Sage Pay | |
| Realex | |
| Çavkaniya Sîber | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Rapid | |
| Sage Pay | |
| Sage Pay | |
| Verisign | |
| Destûrname.NET | |
| Destûrname.NET | |
| Yekem Daneyên Global Gateway | |
| Destûrname.NET | |
| Destûrname.NET | |
| Moneris | |
| Destûrname.NET | |
| PayPal | |
| Verisign | |
| USAePay | |
| USAePay | |
| Destûrname.NET | |
| Verisign | |
| PayPal | |
| Destûrname.NET | |
| Tîrêj | |
| Destûrname.NET | |
| eWAY Rapid | |
| Sage Pay | |
| Destûrname.NET | |
| Braintree | |
| Braintree | |
| PayPal | |
| Sage Pay | |
| Sage Pay | |
| Destûrname.NET | |
| PayPal | |
| Destûrname.NET | |
| Verisign | |
| PayPal | |
| Destûrname.NET | |
| Tîrêj | |
| Destûrname.NET | |
| eWAY Rapid | |
| Sage Pay | |
| Destûrname.NET | |
| Braintree | |
| PayPal | |
| Sage Pay | |
| Sage Pay | |
| Destûrname.NET | |
| PayPal | |
| Destûrname.NET | |
| Verisign | |
| Destûrname.NET | |
| Destûrname.NET | |
| Destûrname.NET | |
| Destûrname.NET | |
| Sage Pay | |
| Sage Pay | |
| Westpac PayWay | |
| PayFort | |
| PayPal | |
| Destûrname.NET | |
| Tîrêj | |
| Yekem Daneyên Global Gateway | |
| PsiGate | |
| Destûrname.NET | |
| Destûrname.NET | |
| Moneris | |
| Destûrname.NET | |
| Sage Pay | |
| Verisign | |
| Moneris | |
| PayPal | |
| LinkPoint | |
| Westpac PayWay | |
| Destûrname.NET | |
| Moneris | |
| PayPal | |
| Adyen | |
| PayPal | |
| Destûrname.NET | |
| USAePay | |
| EBizCharge | |
| Destûrname.NET | |
| Verisign | |
| Verisign | |
| Destûrname.NET | |
| PayPal | |
| Moneris | |
| Destûrname.NET | |
| PayPal | |
| PayPal | |
| Westpac PayWay | |
| Destûrname.NET | |
| Destûrname.NET | |
| Sage Pay | |
| Verisign | |
| Destûrname.NET | |
| PayPal | |
| PayFort | |
| Çavkaniya Sîber | |
| PayPal Payflow Pro | |
| Destûrname.NET | |
| Destûrname.NET | |
| Verisign | |
| Destûrname.NET | |
| Destûrname.NET | |
| Sage Pay | |
| Destûrname.NET | |
| Tîrêj | |
| Destûrname.NET | |
| Destûrname.NET | |
| Verisign | |
| PayPal | |
| Destûrname.NET | |
| Destûrname.NET | |
| Sage Pay | |
| Destûrname.NET | |
| Destûrname.NET | |
| PayPal | |
| Flint | |
| PayPal | |
| Sage Pay | |
| Verisign | |
| Destûrname.NET | |
| Destûrname.NET | |
| Tîrêj | |
| Zebrayê qelew | |
| Sage Pay | |
| Destûrname.NET | |
| Yekem Daneyên Global Gateway | |
| Destûrname.NET | |
| eWAY Rapid | |
| Adyen | |
| PayPal | |
| Xizmetên Bazirganê yên QuickBooks | |
| Verisign | |
| Sage Pay | |
| Verisign | |
| Destûrname.NET | |
| Destûrname.NET | |
| Sage Pay | |
| Destûrname.NET | |
| eWAY Rapid | |
| Destûrname.NET | |
| ANZ eGate | |
| PayPal | |
| Çavkaniya Sîber | |
| Destûrname.NET | |
| Sage Pay | |
| Realex | |
| Çavkaniya Sîber | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Rapid | |
| Sage Pay | |
| Sage Pay | |
| Verisign | |
| Destûrname.NET | |
| Destûrname.NET | |
| Yekem Daneyên Global Gateway | |
| Destûrname.NET | |
| Destûrname.NET | |
| Moneris | |
| Destûrname.NET | |
| PayPal |
Şîfreya şîfreyê
Yek ji avantajên snifferên JavaScript-ê yên ku li ser milê xerîdar a malperek dixebitin pirrengiya wan e: koda xirab a ku li ser malperek hatî bicîh kirin dikare her cûre daneyê bidize, çi ew daneyên dravdanê be, çi têketin û şîfreya hesabek bikarhêner be. Pisporên Group-IB-ê nimûneyek snifferek ji malbata ReactGet vedîtin, ku ji bo dizîna navnîşanên e-name û şîfreyên bikarhênerên malperê hatî çêkirin.
Xaberdana bi sniffer ImageID
Di dema analîzkirina yek ji firotgehên vegirtî de, hate dîtin ku malpera wê du caran vegirtî bû: ji bilî koda xirab a sniffera malbata ReactGet, koda şîfreya malbata ImageID hate tesbît kirin. Ev hevgirtin dikare bibe delîl ku operatorên li pişt her du snifferan teknîkên wekhev bikar tînin da ku koda xirab derxînin.
Universal sniffer
Analîzek yek ji navên domainê yên ku bi binesaziya sniffer ya ReactGet ve girêdayî ye diyar kir ku heman bikarhêner sê navên domainê yên din tomar kirine. Van sê domanan domên malperên rastîn ên jiyanê teqlîd kirin û berê ji bo mêvandariya snifferan dihatin bikar anîn. Dema ku koda sê malperên rewa tê analîz kirin, snifferek nenas hate tesbît kirin, û analîzên din destnîşan kirin ku ew guhertoyek çêtir a ReactGet sniffer bû. Hemî guhertoyên berê yên çavdêrîkirî yên vê malbata sniffer ji bo pergalek dravdanê armanc bûn, ango, her pergalek dravdanê guhertoyek taybetî ya sniffer hewce dike. Lêbelê, di vê rewşê de, guhertoyek gerdûnî ya sniffer hate keşif kirin ku karibe agahdariya ji formên têkildarî 15 pergalên dravdanê yên cihêreng û modulên malperên e-bazirganî yên ji bo dayîna dravê serhêl dizîne.
Ji ber vê yekê, di destpêka xebatê de, sniffer li qadên forma bingehîn ên ku agahdariya kesane ya qurbaniyê vedihewîne geriya: navê tevahî, navnîşana laşî, jimareya têlefonê.
Dûv re sniffer li ser 15 pêşgiriyên cihêreng ên ku bi pergalên dravdanê yên cihêreng û modulên dravdana serhêl re têkildar in geriya.
Dûv re, daneyên kesane yên qurbaniyê û agahdariya dravdanê bi hev re hatin berhev kirin û şandin malperek ku ji hêla êrîşker ve hatî kontrol kirin: di vê rewşa taybetî de, du guhertoyên sniffer-a gerdûnî ya ReactGet hatin keşif kirin, ku li ser du malperên cûda yên hackedkirî ne. Lêbelê, her du versiyonên daneyên dizî ji heman malpera hacked re şandin zoobashop.com.
Analîza pêşgirên ku sniffer ji bo lêgerîna li qadên ku agahdariya dravdana qurbanê vedihewîne bikar anîne hişt ku em diyar bikin ku ev nimûneya sniffer pergalên dravdanê yên jêrîn armanc dike:
- Destûrname.NET
- Verisign
- Daneyên Pêşîn
- USAePay
- Tîrêj
- PayPal
- ANZ eGate
- Braintree
- DataCash (MasterCard)
- Realex Payments
- PsiGate
- Pergalên Payment Heartland
Ji bo dizîna agahdariya dravdanê kîjan amûr têne bikar anîn?
Amûra yekem, ku di dema analîzkirina binesaziya êrîşkaran de hate vedîtin, ji bo vemirandina nivîsarên xerab ên ku ji dizîna qertên bankê berpirsiyar in tê bikar anîn. Skrîpteke bash ku CLI-ya projeyê bikar tîne li ser yek ji mêvandarên êrîşkar hate dîtin ji bo otomatîzekirina nefretkirina koda sniffer.
Amûra duyemîn a ku hatî vedîtin ji bo hilberîna kodê ku berpirsiyarê barkirina sniffera sereke ye hatî çêkirin. Ev amûr koda JavaScriptê diafirîne ku kontrol dike ka bikarhêner li ser rûpela dravdanê ye bi lêgerîna navnîşana heyî ya bikarhêner ji bo rêzan. lêkolîn, ereboka destan û hwd, û heke encam erênî be, wê hingê kod ji servera êrîşkaran sniffera sereke bar dike. Ji bo veşartina çalakiya xirab, hemî xetên, tevî xêzên ceribandinê yên ji bo destnîşankirina rûpela dravdanê, û her weha girêdanek bi sniffer re, bi karanîna kod têne kod kirin. bingeh64.
Êrîşên Phishing
Analîzek li ser binesaziya torê ya êrîşkaran eşkere kir ku koma sûcdar bi gelemperî fîşekirinê bikar tîne da ku bigihîje panela îdarî ya dikana serhêl a mebest. Êrîşker domainek ku ji hêla dîtbarî ve dişibihe domaina firotgehê tomar dikin, û dûv re formek têketina panelê ya rêveberiya Magento ya sexte li ser wê bicîh dikin. Ger serketî be, êrîşkar dê bigihîjin panela îdarî ya Magento CMS, ku fersendê dide wan ku hêmanên malperê biguherînin û snifferek bicîh bikin da ku daneyên qerta krediyê bidizin.
Binesaziya
| Dîrok | Dîroka vedîtinê/xuyan |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagstracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trust-tracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
Malbata G-Analytics
Ev malbata sniffer ji bo dizîna kartên xerîdar ji firotgehên serhêl têne bikar anîn. Yekem navê domainê ku ji hêla komê ve hatî bikar anîn di Nîsana 2016-an de hate tomar kirin, ku dibe ku destnîşan bike ku komê di nîvê 2016-an de dest bi çalakiyê kiriye.
Di kampanyaya heyî de, kom navên domainê yên ku karûbarên jiyanê yên rast teqlîd dikin, wekî Google Analytics û jQuery bikar tîne, çalakiya snifferan bi nivîsarên rewa û navên domainê yên mîna yên rewa vedişêre. Malperên ku Magento CMS-ê dixebitin hatin êrîş kirin.
G-Analytics çawa di koda firotgehek serhêl de tête bicîh kirin
Taybetmendiyek cihêreng a vê malbatê karanîna awayên cihêreng e ku agahdariya dravdana bikarhêner dizîne. Digel derzîlêdana klasîk a koda JavaScriptê li milê xerîdar ê malperê, koma sûcdar di heman demê de teknîkên derzîlêdana kodê li ser servera malperê bikar anîn, ango nivîsarên PHP-ê yên ku daneya ku bikarhêner-têketinê pêvajo dike. Ev teknîkî xeternak e ji ber ku ew ji lêkolînerên sêyemîn re dijwar dike ku koda xirab tespît bikin. Pisporên Group-IB guhertoyek snifferek ku di koda PHP-ê ya malperê de hatî vehewandin, vedîtin, ku domainek wekî dergeh bikar tîne. dittm.org.
Di heman demê de guhertoyek zû ya sniffer jî hate kifş kirin ku heman domainê bikar tîne da ku daneyên dizî berhev bike dittm.org, lê ev guherto ji bo sazkirinê li ser milê xerîdar a firotgehek serhêl tête armanc kirin.
Komê paşê taktîkên xwe guhert û dest pê kir ku bêtir bala xwe bide ser veşartina çalakiya xirab û kamûflajê.
Di destpêka 2017 de, komê dest bi karanîna domainê kir jquery-js.com, ji bo jQuery wekî CDN-ê tê xêzkirin: dema ku diçe malpera êrîşkaran, bikarhêner ber bi malperek rewa ve tê rêve kirin. jquery.com.
Û di nîvê 2018-an de, komê navê domainê pejirand g-analytics.com û dest pê kir ku çalakiyên sniffer wekî karûbarek rewa ya Google Analytics veşêre.
Analîza Versiyon
Di dema vekolîna domên ku ji bo hilanîna koda snifferê têne bikar anîn, hate dîtin ku malper hejmareke mezin ji versiyonên ku di hebûna tevliheviyê de cûda dibin, û her weha hebûn an nebûna kodek negihîştî li pelê hatî zêdekirin da ku balê bikişîne. û koda xirab veşêre.
Tevahî li ser malperê jquery-js.com Şeş versiyonên sniffers hatin naskirin. Van sniffer daneyên dizîn dişînin navnîşanek ku li ser heman malperê ye ku sniffer bixwe ye: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Piştre domain g-analytics.com, ku ji nîvê sala 2018-an vir ve di êrîşan de ji hêla komê ve tê bikar anîn, ji bo bêtir sîxuran wekî depoyek kar dike. Bi tevahî, 16 guhertoyên cûda yên snifferê hatin dîtin. Di vê rewşê de, deriyê şandina daneyên dizî wekî girêdanek bi formatek wêneyê ve hate veşartin GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Monetîzasyona daneyên dizî
Koma sûc ji daneyên ku hatine dizîn de pereyan dike bi firotina qertan bi navgîniya dikanek binerd a ku bi taybetî hatî afirandin ku karûbaran pêşkêşî kardêran dike. Analîzkirina domên ku ji hêla êrîşkaran ve hatî bikar anîn hişt ku em wê yekê destnîşan bikin google-analytics.cm ji hêla heman bikarhênerê wekî domainê ve hatî tomar kirin cardz.vc. Domain cardz.vc vedibêje firotgehek ku qertên bankê yên dizî Cardsurfs (Flysurfs) difroşe, ku di rojên çalakiya platforma bazirganiya binerd AlphaBay de wekî dikanek ku kartên bankê yên ku bi karanîna snifferê hatine dizîn difroşe populerbûna xwe bi dest xistiye.
Analîzkirina domainê analîtîk.is, ku li ser heman serverê ye wekî domainên ku ji hêla sniffers ve têne bikar anîn da ku daneyên dizî berhev bikin, pisporên Group-IB pelek ku tê de têketinên diziya cookie-yê vedihewîne, kifş kirin, ku dixuye ku paşê ji hêla pêşdebiran ve hatî berdan. Yek ji navnîşên di têketinê de domainek heye iozoz.com, ku berê di sala 2016-an de di yek ji snifferên çalak de hate bikar anîn. Tê texmîn kirin, ev domain berê ji hêla êrîşkerek ve hatî bikar anîn da ku kartên ku bi karanîna sniffer hatine dizîn berhev bike. Ev domain li navnîşanek e-nameyê hate tomar kirin [email parastî], ku di heman demê de ji bo tomarkirina domanan jî hate bikar anîn cardz.su и cardz.vc, related to dikana carding Cardsurfs.
Li ser bingeha daneyên ku hatine bidestxistin, meriv dikare were texmîn kirin ku malbata G-Analytics ya sniffer û dikana binerd a ku qertên bankê difiroşe Cardsurfs ji hêla heman kesan ve têne rêve kirin, û firoşgeh ji bo firotina kartên bankê yên ku bi karanîna sniffer hatine dizîn têne bikar anîn.
Binesaziya
| Dîrok | Dîroka vedîtinê/xuyan |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| analîtîk.to | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| analîtîk.is | 28.12.2018 |
| googlc-analytics.cm | 17.01.2019 |
malbata Illum
Illum malbatek snifferan e ku ji bo êrişkirina firotgehên serhêl ên ku Magento CMS-ê dimeşînin tê bikar anîn. Digel danasîna koda xirab, operatorên vê snifferê di heman demê de danasîna formên dravdana derewîn ên bêkêmasî jî bikar tînin ku daneyan dişînin deriyên ku ji hêla êrîşkaran ve têne kontrol kirin.
Dema ku binesaziya torê ya ku ji hêla operatorên vê sniffer ve hatî bikar anîn analîz kirin, hejmareke mezin ji nivîsarên xerab, îstismar, formên dravdana sexte, û her weha berhevokek nimûneyên bi snifferên xirab ên ji hevrikan re hate destnîşan kirin. Li ser bingeha agahdariya di derbarê tarîxên xuyangkirina navên domainên ku ji hêla komê ve hatî bikar anîn de, meriv dikare texmîn bike ku kampanya di dawiya sala 2016-an de dest pê kiriye.
Çawa Illum di koda firotgehek serhêl de tête bicîh kirin
Guhertoyên yekem ên snifferê ku hatine vedîtin rasterast di koda malpera lihevhatî de hatine bicîh kirin. Daneyên dizî hatin şandin cdn.illum[.]pw/records.php, derî bi kar hat kodkirin bingeh64.
Dûv re, guhertoyek pakkirî ya sniffer hate dîtin ku dergehek cûda bikar tîne - tomar.nstatistics[.]com/records.php.
Li gorî Willem de Groot, heman mêvandar di sniffer de hate bikar anîn, ku li ser hate bicîh kirin , xwediyê partiya siyasî ya Alman CSU ye.
Analîza malpera êrîşkaran
Pisporên Group-IB malperek ku ji hêla vê koma sûcdar ve ji bo hilanîna amûran û berhevkirina agahdariya dizî hatî bikar anîn keşf kirin û analîz kirin.
Di nav amûrên ku li ser servera êrîşkeran de hatine dîtin nivîsar û îstîsmarên ji bo zêdekirina îmtiyazan di OS-ya Linux-ê de hene: Mînakî, Skrîpta Kontrolkirina Pêşkêşkirina Destûra Linux-ê ku ji hêla Mike Czumak ve hatî pêşve xistin, û her weha îstismarek ji bo CVE-2009-1185.
Êrîşkaran rasterast du îstîsmar bikar anîn da ku êrîşî firotgehên serhêl bikin: karibe koda xerab têxe hundurê core_config_data bi karanîna CVE-2016-4010, Di pêvekan de ji bo CMS Magento qelsiyek RCE bikar tîne, dihêle ku kodek keyfî li ser serverek webê ya xedar were darve kirin.
Di heman demê de, di dema analîzkirina serverê de, nimûneyên cûrbecûr yên sniffer û formên dravdana sexte hatin dîtin, ku ji hêla êrîşkaran ve têne bikar anîn da ku agahdariya dravdanê ji malperên hacked berhev bikin. Wekî ku hûn ji navnîşa jêrîn dibînin, ji bo her malperek hackkirî hin nivîsar bi ferdî hatine afirandin, dema ku çareseriyek gerdûnî ji bo hin CMS û dergehên dravdanê hate bikar anîn. Mînakî, nivîsar segapay_standart.js и segapay_onpage.js ji bo pêkanîna li ser malperên ku deriyê dravdana Sage Pay bikar tînin hatine çêkirin.
Navnîşa nivîsarên ji bo dergehên dravdanê yên cihêreng
| Nivîs | Deriyê dravdanê |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdierenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_forminsite.js | //paymentnow[.]tk/?payment= |
Mazûban dayina niha[.]tk, di senaryoyekê de wekî dergehek tê bikaranîn pay_forminsite.js, hat dîtin wek subjectAltName di gelek sertîfîkayên ku bi karûbarê CloudFlare ve girêdayî ne. Ji bilî vê, hostayê senaryoyek hebû xerab.js. Li ser navê skrîptê dadbar kirin, ew dikare wekî beşek ji îstismarkirina CVE-2016-4010 were bikar anîn, bi saya wê gengaz e ku koda xirab li jêrzemîna malperek ku CMS Magento dixebitîne were derz kirin. Mêvandar ev skrîpt wek dergeh bikar anî daxwaz.requestnet[.]tkbi karanîna heman sertîfîkayê wekî mêvandar dayina niha[.]tk.
Formên peredana sexte
Nîgara jêrîn mînakek formek ji bo têketina daneyên kartê nîşan dide. Ev form ji bo têketina firotgehek serhêl û dizîna daneyên qerta tê bikar anîn.
Nîgara jêrîn mînakek formek dravdana PayPal-a sexte nîşan dide ku ji hêla êrîşkaran ve hatî bikar anîn da ku bi vê awayê dravdanê ve bikevin malperan.
Binesaziya
| Dîrok | Dîroka vedîtinê/xuyan |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| request.payrightnow.cf | 25/05/2018 |
| paynow.tk | 16/07/2017 |
| pay-line.tk | 01/03/2018 |
| paypal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
Malbata CoffeeMokko
Malbata snifferan CoffeMokko, ku ji bo dizîna qertên bankê ji bikarhênerên firotgeha serhêl hatî çêkirin, bi kêmî ve ji Gulana 2017-an vir ve tê bikar anîn. Tê texmîn kirin ku operatorên vê malbata sniffer koma sûcdar Koma 1 ne, ku ji hêla pisporên RiskIQ ve di sala 2016-an de hatî vegotin. Malperên ku CMS-yên wekî Magento, OpenCart, WordPress, osCommerce, û Shopify dixebitin hatin êrîş kirin.
Çawa CoffeMokko di koda dikanek serhêl de tête bicîh kirin
Operatorên vê malbatê ji bo her enfeksiyonê snifferên bêhempa diafirînin: pelê sniffer di pelrêçê de ye. src an js li ser servera êrîşkaran. Tevlîhevkirina nav koda malperê bi riya girêdanek rasterast a sniffer ve tête kirin.
Koda sniffer navên zeviyên formê yên ku divê dane ji wan werin dizîn kodên hişk dike. Sniffer di heman demê de kontrol dike ka bikarhêner li ser rûpela dravdanê ye bi kontrolkirina navnîşa keywordên bi navnîşana heyî ya bikarhêner re.
Hin guhertoyên keşifkirî yên sniffer hatin nepenî kirin û tê de xêzek şîfrekirî ya ku tê de rêzika sereke ya çavkaniyan hate hilanîn hebû: navên qadên formê yên ji bo pergalên dravdanê yên cihêreng, û her weha navnîşana dergehê ku divê daneyên dizî jê re werin şandin vedihewîne.
Agahdariya dravdana dizî di rê de ji skrîptek servera êrîşkaran re hate şandin /savePayment/index.php an /tr/index.php. Tê texmîn kirin, ev skrîpt ji bo şandina daneyan ji derî ber bi servera sereke ve tê bikar anîn, ku daneyên ji hemî snifferan berhev dike. Ji bo veşartina daneyên hatine şandin, hemî agahdariya dravdana qurbanê bi karanîna şîfre têne şîfre kirin bingeh64, û dûv re çend veguheztinên karakteran çêdibin:
- tîpa "e" bi ":" tê guherandin.
- sembola "w" bi "+" tê guherandin.
- tîpa "o" bi "%" tê guhertin
- tîpa "d" bi "#" tê guhertin
- tîpa "a" bi "-" tê guhertin.
- nîşana "7" bi "^" tê guhertin.
- tîpa "h" bi "_" tê guhertin.
- sembola "T" bi "@" tê guhertin.
- tîpa "0" bi "/" tê guhertin
- tîpa "Y" bi "*" tê guhertin.
Di encama veguheztina karakteran de ku bi kar tê kod kirin bingeh64 Daneyên bêyî pêkanîna veguhertina berevajî nayê deşîfre kirin.
Parçeyek ji koda snifferê ku nehatibe şêlandin bi vî rengî xuya dike:
Analysis Binesaziyê
Di kampanyayên destpêkê de, êrîşkaran navên domainê yên mîna yên malperên kirîna serhêl ên rewa tomar kirin. Dibe ku domaina wan ji ya rewa yek bi yek sembol an TLD-ya din cûda bibe. Domênên qeydkirî ji bo hilanîna koda sniffer-ê, girêdanek ku di koda dikanê de hatî bicîh kirin, hatine bikar anîn.
Vê komê navên domainê jî bikar anîn ku pêvekên jQuery yên populer tînin bîra xwe (slickjs[.]org ji bo malperên ku pêvekê bikar tînin slick.js), dergehên dravdanê (sagecdn[.]org ji bo malperên ku pergala dravdana Sage Pay bikar tînin).
Dûv re, komê dest bi afirandina domênên ku navên wan ti têkiliya wan bi domaina firotgehê an bi mijara firoşgehê re tune bû.
Her domain bi malperek ku pelrêça li ser hatî çêkirin re têkildar bû /js an / src. Nivîsarên Sniffer di vê pelrêçayê de hatin hilanîn: ji bo her enfeksiyonek nû yek sniffer. Sniffer bi riya girêdanek rasterast di koda malperê de hate bicîh kirin, lê di rewşên kêm de, êrîşkaran yek ji pelên malperê guheztin û koda xirab lê zêde kirin.
Analysis Code
Algorîtmaya obfuscasyonê ya yekem
Di hin nimûneyên keşifkirî yên vê malbatê de, kod hate veguheztin û daneyên şîfrekirî yên ku ji bo xebitandina sniffer hewce ne dihewand: bi taybetî, navnîşana deriyê sniffer, navnîşek zeviyên forma dravdanê, û di hin rewşan de, koda sexte. forma peredanê. Di koda hundurê fonksiyonê de, çavkanî bi kar hatin şîfre kirin XOR ji hêla mifteya ku wekî argumanek ji heman fonksiyonê re derbas bû.
Bi deşîfrekirina rêzê bi mifteya guncav, ku ji bo her nimûneyek yekta ye, hûn dikarin xêzek ku hemî rêzikên ji koda sniffer-ê ji hêla karakterek veqetandî veqetandî vedihewîne, bistînin.
Algorîtmaya obfuscasyonê ya duyemîn
Di nimûneyên paşerojê yên sniffers ên vê malbatê de, mekanîzmayek cûda ya tevlihevkirinê hate bikar anîn: di vê rewşê de, dane bi karanîna algorîtmayek xwe-nivîskî hatî şîfre kirin. Rêzikek ku daneyên şîfrekirî yên ku ji bo xebitandina sniffer hewce ne, wekî argumanek ji fonksiyona deşîfrekirinê re derbas bû.
Bi karanîna konsolê gerokê, hûn dikarin daneyên şîfrekirî deşîfre bikin û arrayek ku tê de çavkaniyên sniffer hene bistînin.
Girêdana bi êrîşên destpêkê yên MageCart
Di dema analîza yek ji domên ku ji hêla komê ve wekî dergehek ji bo berhevkirina daneyên dizî hatine bikar anîn, hate dîtin ku ev domain binesaziyek ji bo diziya qerta krediyê vedihewîne, bi heman rengî ya ku ji hêla Koma 1, yek ji komên yekem ve hatî bikar anîn. ji hêla pisporên RiskIQ ve.
Du pel li ser mêvandarê malbata snifferên CoffeMokko hatin dîtin:
- mage.js - pelê ku koda snifferê ya Koma 1-ê bi navnîşana dergehê vedihewîne js-cdn.link
- mag.php - Skrîpta PHP-ê ji berhevkirina daneyên ku ji hêla sniffer ve hatine dizîn berpirsiyar e
Naveroka pelê mage.js
Di heman demê de hate destnîşankirin ku domên herî pêşîn ên ku ji hêla koma pişta malbata sniffers a CoffeMokko ve hatî bikar anîn di 17-ê Gulana 2017-an de hatine tomar kirin:
- girêdan-js[.]girêdan
- info-js[.]girêdan
- track-js[.]girêdan
- nexşe-js[.]girêdan
- smart-js[.]girêdan
Formata van navên domainê bi navên domainên Koma 1-ê yên ku di êrîşên 2016-an de hatine bikar anîn li hev dike.
Li ser bingeha rastiyên kifşkirî, meriv dikare texmîn bike ku têkiliyek di navbera operatorên snifferên CoffeMokko û koma sûc 1 de heye. Tê texmîn kirin, operatorên CoffeMokko dikaribû ji pêşiyên xwe amûr û nermalava deyn bikirana da ku kartan bidizin. Lêbelê, bi îhtimaleke mezin ew grûpa sûc a li pişt bikaranîna malbata CoffeMokko ya sîxuran heman kes in ku êrîşên Koma 1 pêk anîne. asteng kirin û amûr bi berfirehî hatin lêkolînkirin û vegotin. Kom neçar ma ku navberekê bigire, amûrên xwe yên hundurîn safî bike û koda sniffer ji nû ve binivîsîne da ku êrişên xwe bidomîne û nedîtî bimîne.
Binesaziya
| Dîrok | Dîroka vedîtinê/xuyan |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| ewlekarî-payment.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| kidssplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parks.su | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffetea.org | 31.01.2018 |
| Energycoffe.org | 31.01.2018 |
| Energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| autorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitnesse.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
Source: www.habr.com