Дээрлик ар бирибиз онлайн дүкөндөрдүн кызматтарын колдонобуз, демек, эртеби-кечпи биз JavaScript sniffers курмандыгы болуп калуу коркунучуна дуушар болобуз - чабуулчулар банк картасынын маалыматтарын, даректерин, колдонуучу аттарын жана сырсөздөрдү уурдоо үчүн веб-сайтка сайган атайын код. .
British Airways веб-сайтынын жана мобилдик тиркемесинин 400 000ге жакын колдонуучулары мурунтан эле жытчылардын, ошондой эле британиялык спорт гиганты FILA сайтынын жана АКШнын билеттерди таратуучусу Ticketmasterдин конокторунан жабыркашкан. PayPal, Chase Paymenttech, USAePay, Moneris - ушул жана башка көптөгөн төлөм системалары жуккан.
Threat Intelligence Group-IB аналитиги Виктор Окороков снайферлер веб-сайттын кодуна кантип кирип, төлөм маалыматын уурдаары, ошондой эле алар кандай CRMдерге кол салышы тууралуу айтып берет.
"Жашыруун коркунуч"
Ошентип, JS-снайферлер узак убакыт бою антивирустук аналитиктердин көз жаздымында калып, банктар жана төлөм системалары аларды олуттуу коркунуч катары көрүшкөн эмес. Жана таптакыр бекер. Group-IB эксперттери 2440 вирус жуккан интернет-дүкөндөр, алардын коноктору - күнүнө 1,5 миллионго жакын адам - компромисс коркунучунда болгон. Жабыркагандардын арасында колдонуучулар гана эмес, интернет-дүкөндөр, төлөм системалары жана бузулган карталарды чыгарган банктар да бар.
Group-IB снайферлердин darknet рыногун, алардын инфраструктурасын жана акча табуу жолдорун биринчи изилдөө болуп калды, бул алардын жаратуучуларына миллиондогон долларларды алып келди. Биз 38 жыттоочу үй-бүлөнү аныктадык, алардын 12си гана мурда изилдөөчүлөргө белгилүү болчу.
Изилдөөнүн жүрүшүндө изилденген жытчылардын төрт үй-бүлөсүнө кеңири токтоло кетели.
ReactGet үй-бүлөсү
ReactGet үй-бүлөсүнүн жыттоочулары онлайн соода сайттарында банк картасынын маалыматтарын уурдоо үчүн колдонулат. Снайфер сайтта колдонулган көп сандагы ар кандай төлөм системалары менен иштей алат: бир параметрдин мааниси бир төлөм системасына туура келет, ал эми снайфердин аныкталган айрым версиялары эсептик маалыматтарды уурдоо үчүн, ошондой эле банк картасынын маалыматтарын уурдоо үчүн колдонулушу мүмкүн. бир эле учурда бир нече төлөм системаларынын төлөм формалары, мисалы, универсалдуу снайфер. Айрым учурларда чабуулчулар сайттын административдик панелине кирүү үчүн интернет-дүкөндүн администраторлоруна фишингдик чабуулдарды жасаары аныкталган.
Снайферлердин бул үй-бүлөсүн колдонуу өнөктүгү 2017-жылдын май айында башталган. CMS жана Magento, Bigcommerce, Shopify платформаларын иштеткен сайттарга чабуул жасалган.
ReactGet кантип онлайн дүкөндүн кодуна кыстарылган
Шилтеме боюнча "классикалык" скрипт инъекциясынан тышкары, ReactGet үй-бүлөлүк жыттоочу операторлор атайын ыкманы колдонушат: JavaScript кодун колдонуп, колдонуучу жайгашкан учурдагы дарек белгилүү критерийлерге жооп берерин текшерет. Зыяндуу код учурдагы URL дареги ички сапты камтыса гана иштейт текшерүү же бир кадам текшерүү, бир бет/, out/onepag, текшерүү/бир, скаут/бир. Ошентип, жыттоочу код колдонуучу сатып алуулар үчүн төлөөгө киришип, сайттагы формага төлөм маалыматын киргизген учурда аткарылат.
Бул жыттоочу стандарттуу эмес техниканы колдонот. Төлөм жана жабырлануучунун жеке маалыматтары чогуу чогултулуп, коддолгон база64, андан кийин пайда болгон сап зыяндуу сайтка суроо жөнөтүү үчүн параметр катары колдонулат. Көбүнчө, дарбазага жол JavaScript файлын туурайт, мисалы resp.js, data.js жана башкалар, бирок сүрөт файлдарына шилтемелер да колдонулат, GIF и JPG. Өзгөчөлүгү - жыттоочу 1-1 пиксел өлчөмүндөгү сүрөт объектисин түзүп, параметр катары мурда алынган шилтемени колдонот. СИБ Сүрөттөр. Башкача айтканда, колдонуучу үчүн трафиктеги мындай суроо-талап кадимки сүрөткө суроо-талап сыяктуу көрүнөт. Ушундай эле ыкма жыттоочулардын ImageID үй-бүлөсүндө колдонулган. Мындан тышкары, 1x1 пикселдик сүрөт техникасы көптөгөн мыйзамдуу онлайн аналитикалык скрипттерде колдонулат, бул да колдонуучуну адаштырышы мүмкүн.
Version Analysis
ReactGet жыттоочу операторлор колдонгон активдүү домендердин анализи жыттоочу бул үй-бүлөнүн көптөгөн ар кандай версияларын аныктады. Версиялар баш аламандыктын болушу же жоктугу менен айырмаланат, мындан тышкары, ар бир снайфер интернет-дүкөндөр үчүн банк картасынын төлөмдөрүн иштеткен белгилүү бир төлөм системасы үчүн иштелип чыккан. Версия номерине туура келген параметрдин мааниси боюнча сорттоодон кийин, Group-IB адистери жеткиликтүү sniffer вариацияларынын толук тизмесин алышты, ал эми ар бир снайфер бет кодунан издеген форма талааларынын аталыштары боюнча төлөм системаларын аныкташты. жыттоочулар бутага алганын.
Снайферлердин тизмеси жана аларга тиешелүү төлөм системалары
| Sniffer URL | Төлөм тутуму |
|---|---|
| Authorize.Net | |
| Cardsave | |
| Authorize.Net | |
| Authorize.Net | |
| eWAY Rapid | |
| Authorize.Net | |
| Adyen | |
| USAePay | |
| Authorize.Net | |
| USAePay | |
| Authorize.Net | |
| Moneris | |
| USAePay | |
| PayPal | |
| Sage Pay | |
| Verisign | |
| PayPal | |
| тилке | |
| Realex | |
| PayPal | |
| LinkPoint | |
| PayPal | |
| PayPal | |
| datacash | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Moneris | |
| Sage Pay | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| Authorize.Net | |
| Moneris | |
| Sage Pay | |
| Sage Pay | |
| Chase Paymentech | |
| Authorize.Net | |
| Adyen | |
| PsiGate | |
| Кибер булак | |
| ANZ eGate | |
| Realex | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| Realex | |
| Sage Pay | |
| PayPal | |
| Verisign | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Кибер булак | |
| Authorize.Net | |
| Sage Pay | |
| Realex | |
| Кибер булак | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Rapid | |
| Sage Pay | |
| Sage Pay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Биринчи маалымат глобалдык шлюз | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| PayPal | |
| Verisign | |
| USAePay | |
| USAePay | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| тилке | |
| Authorize.Net | |
| eWAY Rapid | |
| Sage Pay | |
| Authorize.Net | |
| Брейнтри | |
| Брейнтри | |
| PayPal | |
| Sage Pay | |
| Sage Pay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| тилке | |
| Authorize.Net | |
| eWAY Rapid | |
| Sage Pay | |
| Authorize.Net | |
| Брейнтри | |
| PayPal | |
| Sage Pay | |
| Sage Pay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Sage Pay | |
| Sage Pay | |
| Westpac PayWay | |
| төлөм | |
| PayPal | |
| Authorize.Net | |
| тилке | |
| Биринчи маалымат глобалдык шлюз | |
| PsiGate | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| Sage Pay | |
| Verisign | |
| Moneris | |
| PayPal | |
| LinkPoint | |
| Westpac PayWay | |
| Authorize.Net | |
| Moneris | |
| PayPal | |
| Adyen | |
| PayPal | |
| Authorize.Net | |
| USAePay | |
| EBizCharge | |
| Authorize.Net | |
| Verisign | |
| Verisign | |
| Authorize.Net | |
| PayPal | |
| Moneris | |
| Authorize.Net | |
| PayPal | |
| PayPal | |
| Westpac PayWay | |
| Authorize.Net | |
| Authorize.Net | |
| Sage Pay | |
| Verisign | |
| Authorize.Net | |
| PayPal | |
| төлөм | |
| Кибер булак | |
| PayPal PayflowPro | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Sage Pay | |
| Authorize.Net | |
| тилке | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Sage Pay | |
| Authorize.Net | |
| Authorize.Net | |
| PayPal | |
| оттук | |
| PayPal | |
| Sage Pay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| тилке | |
| Fat Zebra | |
| Sage Pay | |
| Authorize.Net | |
| Биринчи маалымат глобалдык шлюз | |
| Authorize.Net | |
| eWAY Rapid | |
| Adyen | |
| PayPal | |
| QuickBooks соода кызматтары | |
| Verisign | |
| Sage Pay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Sage Pay | |
| Authorize.Net | |
| eWAY Rapid | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Кибер булак | |
| Authorize.Net | |
| Sage Pay | |
| Realex | |
| Кибер булак | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Rapid | |
| Sage Pay | |
| Sage Pay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Биринчи маалымат глобалдык шлюз | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| PayPal |
Сырсөздү жыттоочу
Вебсайттын кардар тарабында иштеген JavaScript снайферлеринин артыкчылыктарынын бири анын ар тараптуулугу: веб-сайтка орнотулган зыяндуу код, төлөм маалыматы же колдонуучунун аккаунтунан логин жана сырсөз болобу, бардык маалыматтарды уурдашы мүмкүн. Group-IB адистери сайттын колдонуучуларынын электрондук почта даректерин жана паролдорун уурдоо үчүн иштелип чыккан ReactGet үй-бүлөсүнө таандык снайфердин үлгүсүн табышкан.
ImageID sniffer менен кесилишкен
Вирус жуккан дүкөндөрдүн бирин талдоо учурунда анын веб-сайты эки жолу вируска кабылганы аныкталган: ReactGet үй-бүлөлүк жыттоочунун зыяндуу кодунан тышкары, ImageID үй-бүлөлүк жыттоочунун коду табылган. Бул дал келүү эки жыттоочунун артындагы операторлор зыяндуу кодду киргизүү үчүн окшош ыкмаларды колдонуп жатканынын далили болушу мүмкүн.
Универсалдуу жыттоочу
ReactGet sniffer инфраструктурасына тиешелүү домендик аталыштардын бирине талдоо жүргүзүү учурунда бир эле колдонуучу дагы үч домендик аталышты каттаганы аныкталган. Бул үч домен чыныгы жашоодогу сайттардын домендерин туурап, мурун жыттоочуларды жайгаштыруу үчүн колдонулган. Үч легитимдүү сайттын кодун талдоодо белгисиз снайфер табылды жана андан аркы талдоо бул ReactGet snifferдин жакшыртылган версиясы экенин көрсөттү. Снайферлердин бул үй-бүлөсүнүн мурда көзөмөлдөнгөн бардык версиялары бирдиктүү төлөм системасына багытталган, башкача айтканда, ар бир төлөм системасы үчүн снайфердин атайын версиясы талап кылынган. Бирок, бул учурда, 15 түрдүү төлөм системаларына жана онлайн төлөмдөр үчүн электрондук коммерция сайттарынын модулдарына тиешелүү формалардан маалыматты уурдоого жөндөмдүү snifferдин универсалдуу версиясы табылган.
Ошентип, иштин башында жыттоочу жабырлануучунун жеке маалыматтарын камтыган негизги форма талааларын издеди: толук аты-жөнү, физикалык дареги, телефон номери.
Снайффер андан кийин ар кандай төлөм системаларына жана онлайн төлөмдөрдүн модулдарына туура келген 15тен ашык ар кандай префикстерди издеди.
Андан кийин, жабырлануучунун жеке маалыматтары жана төлөм маалыматы чогулуп, чабуулчу башкарган сайтка жөнөтүлдү: бул учурда, ReactGet универсалдуу snifferдин эки версиясы эки башка хакерленген сайттарда жайгашкан. Бирок эки версия тең уурдалган маалыматтарды бир эле хакердик сайтка жөнөткөн. zoobashop.com.
Жабырлануучунун төлөм маалыматын камтыган талааларды табуу үчүн снайфер колдонгон префикстердин анализи бул жыттоочу үлгү төмөнкү төлөм системаларына багытталганын аныктады:
- Authorize.Net
- Verisign
- Алгачкы маалыматтар
- USAePay
- тилке
- PayPal
- ANZ eGate
- Брейнтри
- Data Cash (MasterCard)
- Realex төлөмдөр
- PsiGate
- Heartland төлөм системалары
Төлөм маалыматын уурдоо үчүн кандай куралдар колдонулат
Чабуулчулардын инфраструктурасын талдоо учурунда табылган биринчи курал банк карталарын уурдоо үчүн жооптуу зыяндуу скрипттерди бүдөмүк кылуу үчүн кызмат кылат. Долбоордун CLI колдонгон bash скрипти чабуулчулардын хостторунун биринен табылган. sniffer кодун бурмалоону автоматташтыруу үчүн.
Экинчи табылган курал негизги жыттоочуну жүктөө үчүн жооптуу кодду түзүү үчүн иштелип чыккан. Бул курал колдонуучунун учурдагы дарегин саптар үчүн издөө аркылуу колдонуучунун текшерүү бетинде экендигин текшерген JavaScript кодун түзөт. текшерүү, араба ж.б.у.с. жана эгерде натыйжа оң болсо, анда код негизги снайферди бузуучунун серверинен жүктөйт. Зыяндуу аракеттерди жашыруу үчүн бардык саптар, анын ичинде төлөм барагын аныктоо үчүн тест линиялары, ошондой эле жыттоочуга шилтеме аркылуу коддолгон. база64.
Фишинг чабуулдары
Кол салгандардын тармактык инфраструктурасын талдоо учурунда кылмыштуу топ максаттуу интернет-дүкөндүн административдик панелине кирүү үчүн фишингди көп колдонгону аныкталган. Чабуулчулар дүкөн доменине окшош доменди каттап, анан ага Magento администраторунун жасалма кирүү формасын жайгаштырышат. Ийгиликтүү болсо, чабуулчулар Magento CMS администратор панелине кирүү мүмкүнчүлүгүнө ээ болушат, бул аларга сайттын компоненттерин түзөтүү жана кредиттик картанын маалыматтарын уурдоо үчүн снайферди ишке ашыруу мүмкүнчүлүгүн берет.
түркүк
| домен | Табылган/пайда болгон датасы |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagtracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trusttracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
G-Analytics үй-бүлөсү
Снайферлердин бул үй-бүлөсү интернет дүкөндөрдөн кардарлардын карталарын уурдоо үчүн колдонулат. Топ колдонгон эң биринчи домендик аталыш 2016-жылдын апрель айында катталган, бул топтун ишинин 2016-жылдын орто ченинде башталганын көрсөтөт.
Учурдагы кампанияда топ Google Analytics жана jQuery сыяктуу реалдуу кызматтарды окшоштурган домендик аталыштарды колдонот, мыйзамдуу скрипттер жана мыйзамдуу көрүнгөн домендик аталыштар менен жыттоочу иш-аракеттерди жаап-жашырышат. CMS Magento астында иштеген веб-сайттарга чабуул жасалган.
G-Analytics онлайн дүкөндүн кодунда кантип ишке ашырылат
Бул үй-бүлөнүн айырмалоочу өзгөчөлүгү - колдонуучунун төлөм маалыматын уурдоонун ар кандай ыкмаларын колдонуу. Кылмыштуу топ сайттын кардар тарабына классикалык JavaScript инъекциясынан тышкары сайттын сервер тарабына код киргизүү ыкмасын, тактап айтканда, колдонуучунун киргизгенин иштеткен PHP скрипттерин да колдонушкан. Бул ыкма үчүнчү тараптын изилдөөчүлөрүнө зыяндуу кодду аныктоону кыйындаткандыктан кооптуу. Group-IB адистери доменди дарбаза катары колдонуп, сайттын PHP кодуна камтылган снайфердин версиясын табышты. dittm.org.
Уурдалган маалыматтарды чогултуу үчүн ошол эле доменди колдонгон жыттоочунун алгачкы версиясы да табылган. dittm.org, бирок бул версия мурунтан эле онлайн дүкөндүн кардар тарабында орнотуу үчүн арналган.
Кийинчерээк бул топ өзүнүн тактикасын өзгөртүп, зыяндуу аракеттерди жана камуфляжды жашырууга көбүрөөк көңүл бура баштаган.
2017-жылдын башында топ доменди колдоно баштаган jquery-js.comjQuery үчүн CDN катары маскаралоо: зыяндуу сайтка барганда колдонуучуну мыйзамдуу сайтка багыттайт jquery.com.
Ал эми 2018-жылдын ортосунда топ домендик аталышты кабыл алган g-analytics.com жана sniffer ишин мыйзамдуу Google Analytics кызматы катары жашыра баштады.
Version Analysis
Sniffer кодун сактоо үчүн колдонулган домендерди талдоо учурунда, сайтта бүдөмүкчүлүктүн болушу менен айырмаланган көп сандагы версиялар бар экени, ошондой эле көңүлдү алаксытуу үчүн файлга кошулган жеткиликсиз коддун бар же жок экендиги аныкталган. жана зыяндуу кодду жашыруу.
Сайтта бардыгы jquery-js.com сниферлердин алты версиясы аныкталган. Бул жыттоочулар уурдалган маалыматтарды жыттоочу өзү менен бир сайтта жайгашкан дарекке жөнөтүшөт: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Кийинчерээк домен g-analytics.com, топ тарабынан 2018-жылдын ортосунан бери чабуулдарда колдонулган, көбүрөөк жыттоочулар үчүн репозиторий катары кызмат кылат. Бардыгы болуп жыттоочунун 16 түрдүү версиясы табылган. Бул учурда, уурдалган маалыматтарды жөнөтүү дарбазасы форматтын сүрөтүнө шилтеме катары жашырылган GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Уурдалган маалыматтарды монетизациялоо
Кылмыштуу топ уурдалган маалыматтарды карттарды сатуу менен акчага айландырган, ал атайын түзүлгөн жер асты дүкөнү аркылуу картачыларга кызмат көрсөтөт. Кол салгандар колдонгон домендерди талдоо муну аныктоого мүмкүндүк берди google-analytics.cm домен менен бир эле колдонуучу тарабынан катталган cardz.vc. домен cardz.vc Cardsurfs (Flysurfs) уурдалган банк карталарын сатуучу дүкөнгө шилтеме кылат, ал AlphaBay жер астындагы базарында жыттоочу аркылуу уурдалган банк карталарын саткан дүкөн катары популярдуулукка ээ болгон.
Доменди талдоо analytical.is, уурдалган маалыматтарды чогултуу үчүн снайферлер колдонгон домендер менен бир серверде жайгашкан Group-IB адистери Cookie уурдоочу журналдарын камтыган файлды табышты, аны кийинчерээк иштеп чыгуучу таштап кеткен окшойт. Журналдагы жазуулардын биринде домен камтылган iozoz.com, буга чейин 2016-жылы активдүү жыттоочулардын биринде колдонулган. Кыязы, бул домен мурда чабуулчу тарабынан снайфер аркылуу уурдалган карталарды чогултуу үчүн колдонулган. Бул домен электрондук почта дарегине катталган [электрондук почта корголгон], ал домендерди каттоо үчүн да колдонулган cardz.su и cardz.vcCardsurfs картинг дүкөнүнө байланыштуу.
Алынган маалыматтардын негизинде, G-Analytics sniffer үй-бүлөсү жана жер астындагы Cardsurfs банк карталары дүкөнү бир эле адамдар тарабынан башкарылат деп болжолдоого болот жана дүкөн sniffer аркылуу уурдалган банк карталарын сатуу үчүн колдонулат.
түркүк
| домен | Табылган/пайда болгон датасы |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| analytical.to | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| analytical.is | 28.12.2018 |
| googlelc-analytics.cm | 17.01.2019 |
Иллюм үй-бүлөсү
Illum - Magento CMS иштеткен онлайн дүкөндөргө кол салуу үчүн колдонулган жытчылардын үй-бүлөсү. Зыяндуу кодду киргизүүдөн тышкары, бул снайфердин операторлору чабуулчулар тарабынан көзөмөлдөнгөн дарбазаларга маалыматтарды жөнөтүүчү толук кандуу жасалма төлөм формаларын киргизүүнү да колдонушат.
Бул снайфердин операторлору колдонгон тармактык инфраструктураны талдоодо көп сандаган зыяндуу сценарийлер, эксплуатациялар, жасалма төлөм формалары, ошондой эле зыяндуу sniffer атаандаштары менен мисалдардын жыйындысы белгиленген. Топ колдонгон домендик аталыштардын пайда болгон даталары тууралуу маалыматка таянып, өнөктүктүн башталышы 2016-жылдын аягына туура келет деп болжолдоого болот.
Кантип Illum онлайн дүкөндүн кодунда ишке ашырылат
Снайфердин биринчи табылган версиялары түздөн-түз бузулган сайттын кодуна киргизилген. Уурдалган маалыматтар жөнөтүлгөн cdn.illum[.]pw/records.php, дарбаза колдонуу менен коддолгон база64.
Кийинчерээк, жыттоочунун пакеттелген версиясы башка дарбаза аркылуу табылган - records.nstatistics[.]com/records.php.
ылайык Willem de Groot, ошол эле хост боюнча ишке ашырылган жыттоочу колдонулган , Германиянын CSU саясий партиясына таандык.
Кол салуу сайтын талдоо
Group-IB адистери бул кылмыштуу топ куралдарды сактоо жана уурдалган маалыматтарды чогултуу үчүн колдонгон сайтты таап, талдап чыгышкан.
Кол салуучунун серверинде табылган куралдардын арасында Linux OS'де артыкчылыктарды жогорулатуу үчүн сценарийлер жана эксплоиттер табылган: мисалы, Майк Цзумак тарабынан иштелип чыккан Linux Privilege Escalation Check Script, ошондой эле CVE-2009-1185 үчүн эксплоит.
Чабуулчулар онлайн дүкөндөргө кол салуу үчүн эки эксплуатацияны түз колдонушкан: зыяндуу кодду киргизүүгө жөндөмдүү core_config_data CVE-2016-4010 колдонуу менен, Magento CMS плагиндериндеги RCE аялуулугун пайдаланып, аялуу веб-серверде ыктыярдуу кодду аткарууга мүмкүндүк берет.
Ошондой эле серверди талдоо учурунда чабуулчулар тарабынан хакердик сайттардан төлөм маалыматын чогултуу үчүн колдонулган снайферлердин ар кандай үлгүлөрү жана жасалма төлөм формалары табылган. Төмөнкү тизмеден көрүнүп тургандай, кээ бир скрипттер ар бир бузулган сайт үчүн өзүнчө түзүлгөн, ал эми белгилүү бир CMS жана төлөм шлюздары үчүн универсалдуу чечим колдонулган. Мисалы, сценарийлер segapay_standard.js и segapay_onpage.js Sage Pay төлөм шлюзун колдонуу менен сайттарга кыстаруу үчүн иштелип чыккан.
Ар кандай төлөм шлюздары үчүн скрипттердин тизмеси
| Скрипт | Төлөм шлюзу |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdirenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standard.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standard.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_forminsite.js | //paymentnow[.]tk/?payment= |
Host paymentnow[.]tk, сценарийде дарбаза катары колдонулат payment_forminsite.js, катары ачылган SubjectAltName CloudFlare кызматына байланыштуу бир нече сертификаттарда. Мындан тышкары, сценарий хостто жайгашкан evil.js. Скрипттин аталышына караганда, ал CVE-2016-4010 эксплуатациясынын бир бөлүгү катары колдонулушу мүмкүн, анын аркасында Magento CMS иштеткен сайттын төмөнкү колонтитулуна зыяндуу кодду киргизүүгө болот. Бул скрипт хостту дарбаза катары колдонгон request.requestnet[.]tk, хост менен бир эле тастыктаманы колдонуу paymentnow[.]tk.
Жасалма төлөм формалары
Төмөнкү сүрөттө карта маалыматтарын киргизүү формасынын мисалы көрсөтүлгөн. Бул форма онлайн дүкөндүн веб-сайтына кирүү жана картанын маалыматтарын уурдоо үчүн колдонулган.
Төмөнкү сүрөттө чабуулчулар ушул төлөм ыкмасын колдонуп сайттарга кирүү үчүн колдонулган жасалма PayPal төлөм формасынын мисалы болуп саналат.
түркүк
| домен | Табылган/пайда болгон датасы |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| request.payrightnow.cf | 25/05/2018 |
| paymentnow.tk | 16/07/2017 |
| payment-line.tk | 01/03/2018 |
| paymentpal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
CoffeeMokko үй-бүлөсү
Интернет-дүкөндүн колдонуучуларынын банк карталарын уурдоо үчүн иштелип чыккан CoffeMokko снайферлердин үй-бүлөсү кеминде 2017-жылдын май айынан бери колдонулуп келет. Кыязы, RiskIQ эксперттери 1-жылы сүрөттөгөн 2016-топтогу кылмыштуу топ бул жыттоочу үй-бүлөнүн оператору болуп саналат. Magento, OpenCart, WordPress, osCommerce, Shopify сыяктуу CMS иштеткен веб-сайттарга чабуул жасалган.
Кантип CoffeMokko онлайн дүкөндүн кодуна камтылган
Бул үй-бүлөнүн операторлору ар бир инфекция үчүн уникалдуу жыттоочуларды түзүшөт: жыттоочу файл каталогдо жайгашкан. СИБ же js чабуулчунун серверинде. Сайттын кодуна киргизүү снайперге түз шилтеме аркылуу ишке ашырылат.
Sniffer коду сиз маалыматтарды уурдагыңыз келген форма талааларынын аттарын катуу коддойт. Снайффер ошондой эле колдонуучунун учурдагы дарегине каршы ачкыч сөздөрдүн тизмесин текшерүү аркылуу колдонуучунун текшерүү бетинде экенин текшерет.
Снайфердин айрым табылган версиялары бүдөмүк болгон жана ресурстардын негизги массивдерин сактаган шифрленген сапты камтыган: анда ар кандай төлөм системалары үчүн форма талааларынын аталыштары, ошондой эле уурдалган маалыматтар жөнөтүлүшү керек болгон дарбазанын дареги камтылган.
Уурдалган төлөм маалыматы жолдо чабуулчулардын сервериндеги сценарийге жөнөтүлгөн. /savePayment/index.php же /tr/index.php. Кыязы, бул скрипт дарбазадан маалыматтарды бардык снайферлердин маалыматтарын бириктирген негизги серверге жөнөтүү үчүн колдонулат. Берилген маалыматтарды жашыруу үчүн, жабырлануучунун бардык төлөм маалыматы аркылуу коддолгон база64, андан кийин бир нече символ алмаштыруу ишке ашат:
- "e" белгиси ":" менен алмаштырылды
- "w" белгиси "+" менен алмаштырылды
- "o" белгиси "%" менен алмаштырылды
- "d" белгиси "#" менен алмаштырылды
- "а" белгиси "-" менен алмаштырылды
- "7" белгиси "^" менен алмаштырылды
- "h" белгиси "_" менен алмаштырылды
- "T" белгиси "@" менен алмаштырылды
- "0" белгиси "/" менен алмаштырылды
- "Y" белгиси "*" менен алмаштырылды
менен коддолгон тамгаларды алмаштыруунун натыйжасында база64 маалыматтарды тескери трансформациясыз чечмелөө мүмкүн эмес.
Снайфер кодунун бүдөмүк кылынбаган фрагменти ушундай көрүнөт:
Инфраструктуралык анализ
Алгачкы кампанияларда чабуулчулар мыйзамдуу онлайн соода сайттарына окшош домендик аталыштарды катташкан. Алардын домени мыйзамдуу доменден бир же башка TLD менен айырмаланышы мүмкүн. Катталган домендер sniffer кодун сактоо үчүн колдонулган, анын шилтемеси дүкөндүн кодуна кыстарылган.
Бул топ ошондой эле популярдуу jQuery плагиндерин эске салган домендик аталыштарды колдонгон (slickjs[.]org плагинди колдонгон сайттар үчүн slick.js), төлөм шлюздары (sagecdn[.]org Sage Pay төлөм системасын колдонгон сайттар үчүн).
Кийинчерээк, топ аты дүкөндүн доменине да, дүкөндүн темасына да эч кандай тиешеси жок домендерди түзө баштаган.
Ар бир домен каталог түзүлгөн сайтка туура келген /js же / src. Sniffer скрипттери бул каталогдо сакталган: ар бир жаңы инфекция үчүн бир жыттоочу. Снайфер сайттын кодуна түз шилтеме аркылуу киргизилген, бирок сейрек учурларда чабуулчулар сайттын файлдарынын бирин өзгөртүп, ага зыяндуу кодду кошуп коюшкан.
Код анализи
Биринчи бүдөмүк алгоритм
Бул үй-бүлөнүн кээ бир жыттоочу үлгүлөрүндө код бүдөмүк болгон жана жыттоочунун иштеши үчүн зарыл болгон шифрленген маалыматтарды камтыган: атап айтканда, жыттоочунун дарбазасы, төлөм формасынын талааларынын тизмеси жана айрым учурларда жасалма төлөм формасынын коду. Функциянын ичиндеги коддо ресурстар менен шифрленген АКЫСЫЗ ошол эле функцияга аргумент катары берилген ачкыч менен.
Ар бир үлгү үчүн уникалдуу болгон тиешелүү ачкыч менен сапты чечмелөө менен, бөлүүчү белги менен бөлүнгөн жыттоочу коддон бардык саптарды камтыган сапты ала аласыз.
Экинчи бүдөмүк алгоритм
Бул жыттоочу үй-бүлөнүн кийинки үлгүлөрүндө башка бүдөмүк механизм колдонулган: бул учурда маалыматтар өзүн өзү жазган алгоритм менен шифрленген. Снайфердин иштеши үчүн зарыл болгон шифрленген маалыматтарды камтыган сап чечмелөө функциясына аргумент катары берилди.
Браузердин консолун колдонуу менен, сиз шифрленген маалыматтарды чечмелеп, sniffer ресурстарын камтыган массивди ала аласыз.
MageCart чабуулдарына шилтеме
Топ тарабынан уурдалган маалыматтарды чогултуу үчүн дарбаза катары колдонулган домендердин бирин талдоодо, бул доменде кредиттик карталарды уурдоо үчүн инфраструктура орнотулган, биринчи топтордун бири болгон 1-Группа колдонгон доменге окшош. RiskIQ адистери.
CoffeMokko жыттоочу үй-бүлөнүн ээсинен эки файл табылган:
- mage.js — дарбаза дареги менен 1-топтун жыттоочу кодун камтыган файл js-cdn.link
- mag.php - Снайфер тарабынан уурдалган маалыматтарды чогултуу үчүн жооптуу PHP скрипти
mage.js файлынын мазмуну
Ошондой эле CoffeMokko жыттоочу үй-бүлөнүн артында турган топ колдонгон эң алгачкы домендер 17-жылдын 2017-майында катталганы аныкталган:
- link-js[.]шилтеме
- info-js[.]шилтеме
- track-js[.]шилтеме
- map-js[.]шилтеме
- smart-js[.]шилтеме
Бул домендик аталыштардын форматы 1-жылдагы чабуулдарда колдонулган 2016-топтогу домендик аталыштар менен бирдей.
Табылган фактылардын негизинде CoffeMokko жыттоочу операторлор менен 1-группа кылмыштуу тобунун ортосунда байланыш бар деп болжолдоого болот. Кыязы, CoffeMokko операторлору мурункулардан карталарды уурдоо үчүн куралдарды жана программалык камсыздоону алышкан. Бирок, CoffeMokko үй-бүлөлүк жыттоочуларды колдонгон кылмыштуу топ 1-топтун иш-аракеттеринин алкагында кол салууларды жасаган ошол эле адамдар болушу ыктымал.Кылмыштуу топтун ишмердүүлүгү тууралуу биринчи маалымат жарыялангандан кийин алардын бардык домендик аттары бөгөттөлгөн, куралдар деталдуу изилденген жана сүрөттөлгөн. Топ чабуулдарын улантуу жана байкалбай калуу үчүн тыныгууга, ички куралдарын жакшылап ыңгайлаштырууга жана жыттоочу кодду кайра жазууга аргасыз болду.
түркүк
| домен | Табылган/пайда болгон датасы |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| security-payment.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parks.su | 09.01.2018 |
| pmtonline.com | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffetea.org | 31.01.2018 |
| Energycoffe.org | 31.01.2018 |
| Energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| authorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitness.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
Source: www.habr.com