Bal all vun eis benotzen d'Servicer vun Online Geschäfter, dat heescht, datt mir fréier oder spéider de Risiko lafe fir Affer vu JavaScript Sniffers ze ginn - spezielle Code deen Ugräifer op enger Websäit implementéieren fir Bankkaartdaten, Adressen, Login a Passwierder vun de Benotzer ze klauen .
Bal 400 Benotzer vun der British Airways Websäit an der mobiler Applikatioun si scho vu Schniffer betraff, souwéi Visiteuren op der britescher Websäit vum Sportsgigant FILA an dem amerikanesche Ticketverdeeler Ticketmaster. PayPal, Chase Paymenttech, USAePay, Moneris - dës a vill aner Bezuelsystemer goufen infizéiert.
Threat Intelligence Group-IB Analyst Viktor Okorokov schwätzt iwwer wéi Sniffer Websäit Code infiltréieren a Bezuelinformatioun klauen, wéi och wéi eng CRMs se attackéieren.
"Verstoppt Bedrohung"
Et ass geschitt, datt fir eng laang Zäit JS sniffers aus der Siicht vun Anti-Virus Analysten bliwwen, a Banken a bezuelt Systemer hunn se net als sérieux Bedrohung gesinn. A komplett ëmsoss. Group-IB Experten 2440 infizéiert Online Geschäfter, deenen hir Besucher - insgesamt ongeféier 1,5 Millioune Leit pro Dag - riskéiere vu Kompromëss. Ënnert den Affer sinn net nëmmen Benotzer, mee och Online Geschäfter, Bezuelsystemer a Banken, déi kompromittéiert Kaarten erausginn.
Group-IB gouf déi éischt Etude vum Darknet Maart fir sniffers, hir Infrastruktur a Methoden vun monetization, déi hir Creatoren Millioune Dollar bréngt. Mir identifizéiert 38 Famillen vun sniffers, vun deenen nëmmen 12 waren bis Fuerscher bekannt.
Loosst eis am Detail op déi véier Famille vu Sniffers déi während der Studie studéiert goufen.
ReactGet Famill
Sniffers vun der ReactGet Famill gi benotzt fir Bankkaartdaten op Online Shopping Sites ze klauen. De Sniffer kann mat enger grousser Zuel vu verschiddene Bezuelsystemer op der Säit benotzt ginn: e Parameterwäert entsprécht engem Bezuelsystem, an individuell entdeckt Versioune vum Sniffer kënne benotzt ginn fir Umeldungsinformatiounen ze klauen, souwéi Bankkaartdaten aus der Bezuelung ze klauen Forme vu verschiddene Bezuelsystemer gläichzäiteg, wéi de sougenannte universal sniffer. Et gouf festgestallt datt an e puer Fäll Ugräifer Phishing-Attacke op Online Store Administrateuren maachen fir Zougang zu der administrativer Panel vum Site ze kréien.
Eng Kampagne déi dës Famill vu Sniffer benotzt huet am Mee 2017 ugefaang; Siten déi CMS a Magento lafen, Bigcommerce, a Shopify Plattformen goufen attackéiert.
Wéi ReactGet an de Code vun engem Online Store implementéiert gëtt
Zousätzlech zu der "klassescher" Ëmsetzung vun engem Skript iwwer e Link, benotzen d'Bedreiwer vun der ReactGet Famill vu Schniffer eng speziell Technik: mat JavaScript Code kontrolléieren se ob déi aktuell Adress, wou de Benotzer läit, bestëmmte Critèren entsprécht. De béisaarteg Code gëtt nëmmen ausgefouert wann d'Substring an der aktueller URL präsent ass ofmellen oder ee Schrëtt Keesen, eng Säit/, eraus / onepag, Keesen / eent, ckout / eent. Sou gëtt de Sniffer Code genee am Moment ausgefouert, wou de Benotzer weidergeet fir Akeef ze bezuelen an d'Bezuelinformatioun an d'Form um Site aginn.
Dëse Sniffer benotzt eng net-Standard Technik. D'Bezuelung vum Affer a perséinlech Daten ginn zesumme gesammelt a kodéiert mat Hëllef Basis 64, an dann gëtt déi resultéierend String als Parameter benotzt fir eng Ufro un d'Websäit vun den Ugräifer ze schécken. Déi meescht Oft imitéiert de Wee zum Paart eng JavaScript-Datei, zum Beispill resp.js, data.js an sou weider, awer Linken op Bilddateien ginn och benotzt, GIF и JPG. D'Besonderheet ass datt de Sniffer e Bildobjekt erstellt deen 1 op 1 Pixel moosst an de virdru kritte Link als Parameter benotzt src Biller. Dat ass, fir de Benotzer sou eng Ufro am Traffic wäert ausgesinn wéi eng Ufro fir en normale Bild. Eng ähnlech Technik gouf an der ImageID Famill vu Sniffer benotzt. Zousätzlech gëtt d'Technik fir e 1 x 1 Pixel Bild ze benotzen a ville legitimen Online-Analytik-Skripte benotzt, déi och de Benotzer täuschen kënnen.
Versioun Analyse
Analyse vun den aktiven Domainen, déi vun ReactGet Sniffer Bedreiwer benotzt ginn, hunn vill verschidde Versioune vun dëser Famill vu Sniffer opgedeckt. Versiounen ënnerscheeden sech an der Präsenz oder der Verontreiung vu Verdueblung, an zousätzlech ass all Sniffer fir e spezifesche Bezuelsystem entwéckelt, deen d'Bankkaartbezuelungen fir Online Geschäfter veraarbecht. Nodeem de Wäert vum Parameter entsprécht der Versiounsnummer zortéiert hunn, kruten Group-IB Spezialisten eng komplett Lëscht vu verfügbare Sniffer Variatiounen, an duerch d'Nimm vun de Formfelder, déi all Sniffer am Säitcode sicht, hunn se d'Bezuelsystemer identifizéiert. op déi de Schnéifer riicht.
Lëscht vun sniffers an hir entspriechend bezuelt Systemer
| Sniffer URL | Bezuelen System |
|---|---|
| Autoriséieren.Net | |
| Cardsave | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| eWAY Rapid | |
| Autoriséieren.Net | |
| Adyen | |
| USAePay | |
| Autoriséieren.Net | |
| USAePay | |
| Autoriséieren.Net | |
| Moneris | |
| USAePay | |
| PayPal | |
| Sage Pay | |
| Verisign | |
| PayPal | |
| Sträif | |
| Realex | |
| PayPal | |
| LinkPoint | |
| PayPal | |
| PayPal | |
| DatenCash | |
| PayPal | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| Verisign | |
| Autoriséieren.Net | |
| Moneris | |
| Sage Pay | |
| USAePay | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| ANZ eGate | |
| Autoriséieren.Net | |
| Moneris | |
| Sage Pay | |
| Sage Pay | |
| Chase Paymentech | |
| Autoriséieren.Net | |
| Adyen | |
| PsiGate | |
| Cyber Quell | |
| ANZ eGate | |
| Realex | |
| USAePay | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| Realex | |
| Sage Pay | |
| PayPal | |
| Verisign | |
| Autoriséieren.Net | |
| Verisign | |
| Autoriséieren.Net | |
| ANZ eGate | |
| PayPal | |
| Cyber Quell | |
| Autoriséieren.Net | |
| Sage Pay | |
| Realex | |
| Cyber Quell | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Rapid | |
| Sage Pay | |
| Sage Pay | |
| Verisign | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| Éischt Daten Global Gateway | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| Moneris | |
| Autoriséieren.Net | |
| PayPal | |
| Verisign | |
| USAePay | |
| USAePay | |
| Autoriséieren.Net | |
| Verisign | |
| PayPal | |
| Autoriséieren.Net | |
| Sträif | |
| Autoriséieren.Net | |
| eWAY Rapid | |
| Sage Pay | |
| Autoriséieren.Net | |
| Braintree | |
| Braintree | |
| PayPal | |
| Sage Pay | |
| Sage Pay | |
| Autoriséieren.Net | |
| PayPal | |
| Autoriséieren.Net | |
| Verisign | |
| PayPal | |
| Autoriséieren.Net | |
| Sträif | |
| Autoriséieren.Net | |
| eWAY Rapid | |
| Sage Pay | |
| Autoriséieren.Net | |
| Braintree | |
| PayPal | |
| Sage Pay | |
| Sage Pay | |
| Autoriséieren.Net | |
| PayPal | |
| Autoriséieren.Net | |
| Verisign | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| Sage Pay | |
| Sage Pay | |
| Westpac PayWay | |
| PayFort | |
| PayPal | |
| Autoriséieren.Net | |
| Sträif | |
| Éischt Daten Global Gateway | |
| PsiGate | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| Moneris | |
| Autoriséieren.Net | |
| Sage Pay | |
| Verisign | |
| Moneris | |
| PayPal | |
| LinkPoint | |
| Westpac PayWay | |
| Autoriséieren.Net | |
| Moneris | |
| PayPal | |
| Adyen | |
| PayPal | |
| Autoriséieren.Net | |
| USAePay | |
| EBizCharge | |
| Autoriséieren.Net | |
| Verisign | |
| Verisign | |
| Autoriséieren.Net | |
| PayPal | |
| Moneris | |
| Autoriséieren.Net | |
| PayPal | |
| PayPal | |
| Westpac PayWay | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| Sage Pay | |
| Verisign | |
| Autoriséieren.Net | |
| PayPal | |
| PayFort | |
| Cyber Quell | |
| PayPal Payflow Pro | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| Verisign | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| Sage Pay | |
| Autoriséieren.Net | |
| Sträif | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| Verisign | |
| PayPal | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| Sage Pay | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| PayPal | |
| nervt | |
| PayPal | |
| Sage Pay | |
| Verisign | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| Sträif | |
| Fett Zebra | |
| Sage Pay | |
| Autoriséieren.Net | |
| Éischt Daten Global Gateway | |
| Autoriséieren.Net | |
| eWAY Rapid | |
| Adyen | |
| PayPal | |
| QuickBooks Händler Servicer | |
| Verisign | |
| Sage Pay | |
| Verisign | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| Sage Pay | |
| Autoriséieren.Net | |
| eWAY Rapid | |
| Autoriséieren.Net | |
| ANZ eGate | |
| PayPal | |
| Cyber Quell | |
| Autoriséieren.Net | |
| Sage Pay | |
| Realex | |
| Cyber Quell | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Rapid | |
| Sage Pay | |
| Sage Pay | |
| Verisign | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| Éischt Daten Global Gateway | |
| Autoriséieren.Net | |
| Autoriséieren.Net | |
| Moneris | |
| Autoriséieren.Net | |
| PayPal |
Passwuert sniffer
Ee vun de Virdeeler vu JavaScript Sniffers, déi op der Client Säit vun enger Websäit schaffen, ass hir Villsäitegkeet: béiswëlleg Code, déi op enger Websäit agebonnen ass, kann all Zort vun Daten klauen, sief et Bezueldaten oder de Login a Passwuert vun engem Benotzerkont. Group-IB Spezialisten hunn e Probe vun engem Sniffer entdeckt, deen zu der ReactGet Famill gehéiert, entwéckelt fir E-Mail Adressen a Passwierder vu Site Benotzer ze klauen.
Kräizung mat ImageID sniffer
Wärend der Analyse vun engem vun de infizéierte Geschäfter gouf festgestallt datt seng Websäit zweemol infizéiert war: Nieft dem béiswëllegen Code vum ReactGet Famillschniffer gouf de Code vum ImageID Famillschniffer festgestallt. Dës Iwwerlappung kéint Beweiser sinn datt d'Betreiber hannert béide Sniffer ähnlech Technike benotze fir béiswëlleg Code ze sprëtzen.
Universal sniffer
Eng Analyse vun engem vun den Domain Nimm verbonne mat der ReactGet Sniffer Infrastruktur huet verroden datt dee selwechte Benotzer dräi aner Domain Nimm registréiert huet. Dës dräi Domainen imitéiert d'Domänen vun real-Liewen Websäiten a ware virdru benotzt fir Sniffers ze hosten. Wann Dir de Code vun dräi legitime Site analyséiert, gouf en onbekannte Sniffer entdeckt, a weider Analyse huet gewisen datt et eng verbessert Versioun vum ReactGet Sniffer war. All virdrun iwwerwaacht Versioune vun dëser Famill vun sniffers sech op engem eenzege Bezuelen System riicht, dat ass, all Bezuelen System néideg eng speziell Versioun vun der sniffer. Wéi och ëmmer, an dësem Fall gouf eng universell Versioun vum Sniffer entdeckt, déi fäeg ass Informatioun aus Formulairen ze klauen am Zesummenhang mat 15 verschiddene Bezuelsystemer a Moduler vun E-Commerce Siten fir Online Bezuelungen ze maachen.
Also, am Ufank vun der Aarbecht, huet d'Sniffer no Basisformfelder gesicht, déi d'perséinlech Informatioun vum Affer enthalen: vollen Numm, kierperlech Adress, Telefonsnummer.
De Sniffer huet dunn iwwer 15 verschidde Präfixe gesicht, déi zu verschiddene Bezuelsystemer an Online Bezuelmoduler entspriechen.
Als nächst goufen d'Affer perséinlech Donnéeën an d'Bezuelungsinformatioun zesumme gesammelt an op e Site geschéckt, deen vum Ugräifer kontrolléiert gouf: an dësem bestëmmte Fall goufen zwou Versiounen vum universelle ReactGet Sniffer entdeckt, op zwou verschiddene gehackte Siten. Wéi och ëmmer, béid Versioune geklaut Daten op déiselwecht gehackte Site geschéckt zoobashop.com.
Analyse vun de Präfixe, déi de Sniffer benotzt huet fir no Felder ze sichen, déi d'Bezuelinformatioun vum Affer enthalen, huet eis erlaabt ze bestëmmen datt dës Sniffer Probe op déi folgend Bezuelsystemer zielt:
- Autoriséieren.Net
- Verisign
- Éischt Daten
- USAePay
- Sträif
- PayPal
- ANZ eGate
- Braintree
- DataCash (MasterCard)
- Realex Bezuelungen
- PsiGate
- Heartland Bezuelen Systemer
Wéi eng Tools gi benotzt fir Bezuelinformatioun ze klauen?
Dat éischt Tool, entdeckt während der Analyse vun der Infrastruktur vun den Ugräifer, gëtt benotzt fir béiswëlleg Skripte ze verstoppen, verantwortlech fir den Déif vu Bankkaarten. E Bash-Skript mat dem CLI vum Projet gouf op engem vun den Ugräifer seng Hosten entdeckt fir d'Verdueblung vum Sniffercode ze automatiséieren.
Déi zweet entdeckt Tool ass entwéckelt fir Code ze generéieren verantwortlech fir den Haaptsniffer ze lueden. Dëst Tool generéiert JavaScript Code dee kontrolléiert ob de Benotzer op der Bezuelungssäit ass andeems de Benotzer seng aktuell Adress no Strings sicht. ofmellen, Weenchen a sou weider, a wann d'Resultat positiv ass, da lued de Code den Haaptschniffer vum Server vum Ugräifer. Fir béiswëlleg Aktivitéit ze verstoppen, sinn all Linnen, dorënner Testlinnen fir d'Bezuelungssäit ze bestëmmen, souwéi e Link op de Sniffer, kodéiert mat Basis 64.
Phishing Attacken
Eng Analyse vun der Netzinfrastruktur vun den Ugräifer huet opgedeckt datt d'kriminell Grupp dacks Phishing benotzt fir Zougang zum administrativen Panel vum Zil-Online-Geschäft ze kréien. Ugräifer registréieren en Domain dat visuell ähnlech wéi d'Domain vun engem Geschäft ass, an dann e gefälschte Magento Administratiounspanel Login Form drop ofsetzen. Wann et erfollegräich ass, kréien d'Ugräifer Zougang zum administrativen Panel vum Magento CMS, wat hinnen d'Méiglechkeet gëtt Websäit Komponenten z'änneren an e Sniffer ëmzesetzen fir Kreditkartendaten ze klauen.
Infrastruktur
| Domain Numm | Datum vun Entdeckung / Erscheinung |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagtracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trust-tracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
G-Analytics Famill
Dës Famill vu Sniffer gëtt benotzt fir Clientskaarten aus Online Geschäfter ze klauen. Deen alleréischten Domain Numm vun der Grupp benotzt gouf am Abrëll 2016 registréiert, wat kann uginn datt d'Grupp Aktivitéit Mëtt 2016 ugefaang huet.
An der aktueller Kampagne benotzt d'Grupp Domain Nimm, déi real-Liewen Servicer imitéieren, wéi Google Analytics an jQuery, d'Aktivitéit vu Sniffer mat legitimen Scripten an Domainnamen ähnlech wéi legitim ze maskéieren. Siten déi de Magento CMS lafen goufen attackéiert.
Wéi G-Analytics an de Code vun engem Online Store ëmgesat gëtt
Eng ënnerschiddlech Feature vun dëser Famill ass d'Benotzung vu verschiddene Methoden fir Benotzerbezuelinformatioun ze klauen. Zousätzlech zu der klassescher Injektioun vu JavaScript Code an d'Client Säit vum Site, huet d'kriminell Grupp och Code Injektiounstechniken an d'Server Säit vum Site benotzt, nämlech PHP Scripten déi Benotzer aginn Daten veraarbechten. Dës Technik ass geféierlech well et et schwéier mécht fir Drëtt Partei Fuerscher béiswëlleg Code z'entdecken. Group-IB Spezialisten hunn eng Versioun vun engem Sniffer entdeckt, deen am PHP Code vum Site agebonnen ass, mat engem Domain als Paart dittm.org.
Eng fréi Versioun vun engem sniffer gouf och entdeckt, datt déi selwecht Domain benotzt geklaut Donnéeën ze sammelen dittm.org, awer dës Versioun ass geduecht fir Installatioun op der Client Säit vun engem Online Store.
D'Grupp huet spéider seng Taktik geännert an huet ugefaang méi ze fokusséieren op béiswëlleg Aktivitéit a Camouflage ze verstoppen.
Am Ufank vum 2017 huet d'Grupp ugefaang d'Domain ze benotzen jquery-js.com, maskéiert als CDN fir jQuery: wann Dir op de Site vun den Ugräifer gitt, gëtt de Benotzer op eng legitim Site ëmgeleet jquery.com.
An Mëtt 2018 huet de Grupp den Domain Numm ugeholl g-analytics.com an huet ugefaang d'Aktivitéite vum Sniffer als e legitimen Google Analytics Service ze verkleeden.
Versioun Analyse
Wärend der Analyse vun den Domainen, déi benotzt gi fir Sniffercode ze späicheren, gouf festgestallt datt de Site eng grouss Zuel vu Versiounen enthält, déi sech an der Präsenz vun der Verdueblung ënnerscheeden, wéi och d'Präsenz oder d'Feele vun onerreechbaren Code, déi an d'Datei bäigefüügt ginn, fir d'Opmierksamkeet ze distractéieren. a verstoppt béiswëlleg Code.
Total um Site jquery-js.com Sechs Versioune vun sniffers goufen identifizéiert. Dës Sniffer schécken déi geklauten Donnéeën op eng Adress déi op der selwechter Websäit läit wéi de Sniffer selwer: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Spéider Domain g-analytics.com, benotzt vun der Grupp an Attacken zënter Mëtt 2018, déngt als Repository fir méi Sniffer. Am Ganze goufen 16 verschidde Versioune vum Sniffer entdeckt. An dësem Fall war d'Paart fir geklauten Donnéeën ze verschécken als Link op e Bildformat verkleed GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Monetiséierung vu geklauten Donnéeën
De kriminellen Grupp monetizes déi geklauten Donnéeën duerch Kaarte verkafen duerch eng speziell geschaf ënnerierdesch Buttek datt Servicer zu carders gëtt. Analyse vun den Domainen, déi vun den Ugräifer benotzt goufen, hunn eis erlaabt dat ze bestëmmen google-analytics.cm gouf vum selwechte Benotzer wéi d'Domain registréiert cardz.vc. Domain cardz.vc bezitt sech op e Buttek dee geklaut Bankkaarten Cardsurfs (Flysurfs) verkaaft, déi Popularitéit zréck an den Deeg vun der Aktivitéit vun der ënnerierdescher Handelsplattform AlphaBay gewonnen huet als e Buttek deen Bankkaarte verkaaft, déi mat engem Sniffer geklaut sinn.
Analyse vum Domain analytesch.is, déi um selwechte Server läit wéi d'Domaen, déi vu Sniffer benotzt gi fir geklauten Donnéeën ze sammelen, hunn Group-IB Spezialisten e Fichier entdeckt mat Cookie-Stealer-Logbicher, déi schéngt spéider vum Entwéckler opginn ze sinn. Ee vun den Entréen am Logbuch enthält en Domain iozoz.com, déi virdru an engem vun de Sniffer aktiv am 2016 benotzt gouf. Wahrscheinlech gouf dëst Domain virdru vun engem Ugräifer benotzt fir Kaarten ze sammelen déi geklaut sinn mat engem Sniffer. Dësen Domain gouf op eng E-Mailadress registréiert [Email geschützt], déi och benotzt gouf fir Domainen z'registréieren cardz.su и cardz.vc, Zesummenhang mat der Carding Buttek Cardsurfs.
Baséierend op d'Daten kritt, kann et ugeholl ginn, datt d'G-Analytics Famill vun sniffers an ënnerierdesch Buttek verkafen Bankkaarten Cardsurfs gi vun de selwechte Leit geréiert, an de Buttek gëtt benotzt Bankkaarten ze verkafen geklaut benotzt der sniffer.
Infrastruktur
| Domain Numm | Datum vun Entdeckung / Erscheinung |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| analytesch.zu | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| analytesch.is | 28.12.2018 |
| googlc-analytics.cm | 17.01.2019 |
Famill Illum
Illum ass eng Famill vu Sniffer benotzt fir Online Geschäfter ze attackéieren déi Magento CMS lafen. Nieft der Aféierung vun béiswëlleg Code, benotzen d'Betreiber vun dësem Sniffer och d'Aféierung vu vollwäertege gefälschte Bezuelungsformen, déi Daten op Tore schécken, déi vun Ugräifer kontrolléiert ginn.
Wann Dir d'Netzinfrastruktur analyséiert, déi vun de Betreiber vun dësem Sniffer benotzt gëtt, goufen eng grouss Zuel vu béiswëlleg Scripten, Ausnotzen, gefälschte Bezuelungsformen, souwéi eng Sammlung vu Beispiller mat béiswëlleg Sniffer vu Konkurrenten bemierkt. Baséierend op Informatioun iwwer d'Erscheinungsdatum vun den Domainnamen, déi vun der Grupp benotzt ginn, kann et ugeholl ginn datt d'Campagne um Enn vum 2016 ugefaang huet.
Wéi Illum an de Code vun engem Online Store ëmgesat gëtt
Déi éischt Versioune vum Sniffer entdeckt goufen direkt an de Code vum kompromittéierte Site agebonnen. Déi geklauten Donnéeë goufe geschéckt cdn.illum[.]pw/records.php, d'Paart gouf kodéiert mat Basis 64.
Méi spéit gouf eng verpackte Versioun vum Sniffer entdeckt déi en anere Paart benotzt - records.nstatistics[.]com/records.php.
Nëmmen Willem de Groot, dee selwechte Host gouf am Schniffer benotzt, deen op ëmgesat gouf , am Besëtz vun der däitscher politescher Partei CSU.
Analyse vun den Ugräifer Websäit
Group-IB Spezialisten entdeckt an analyséiert eng Websäit déi vun dëser krimineller Grupp benotzt gëtt fir Tools ze späicheren a geklauten Informatioun ze sammelen.
Ënnert den Tools, déi um Server vun den Ugräifer fonnt goufen, waren Scripten an Ausnotzen fir d'Privilegien am Linux OS ze eskaléieren: zum Beispill de Linux Privilege Escalation Check Script entwéckelt vum Mike Czumak, souwéi en Exploit fir CVE-2009-1185.
D'Attacker hunn zwee Exploiten direkt benotzt fir Online Geschäfter ze attackéieren: kapabel béiswëlleg Code ze sprëtzen core_config_data andeems Dir CVE-2016-4010 ausnotzt, exploitéiert eng RCE Schwachstelle a Plugins fir CMS Magento, wat erlaabt arbiträr Code op engem vulnérable Webserver auszeféieren.
Och während der Analyse vum Server goufen verschidde Proben vu Sniffer a gefälschte Bezuelungsformen entdeckt, déi vun Ugräifer benotzt gi fir Bezuelinformatioun vun gehackte Siten ze sammelen. Wéi Dir aus der Lëscht hei ënnen gesitt, goufen e puer Skripte individuell fir all gehackte Site erstallt, während eng universell Léisung fir verschidde CMS- a Bezuelpaarten benotzt gouf. Zum Beispill Scripten segapay_standart.js и segapay_onpage.js entworf fir Ëmsetzung op Siten mat der Sage Pay Bezuelen Paart.
Lëscht vun Scripten fir verschidde Bezuelen Paarte
| Schrëft | Bezuelen Paart |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdierenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_forminsite.js | //paymentnow[.]tk/?payment= |
Host Bezuelen elo[.]tk, als Paart an engem Skript benotzt payment_forminsite.js, entdeckt gouf als subjectAltName a verschiddene Certificaten am Zesummenhang mam CloudFlare Service. Zousätzlech huet de Host e Skript enthalen béis.js. Nom Numm vum Skript beurteelen, kann et als Deel vun der Ausbeutung vum CVE-2016-4010 benotzt ginn, dank deem et méiglech ass béiswëlleg Code an de Fousszeil vun engem Site ze sprëtzen, deen CMS Magento leeft. Den Host huet dëst Skript als Paart benotzt request.requestnet[.]tkbenotzt deeselwechte Certificat wéi de Host Bezuelen elo[.]tk.
Fake Bezuelungsformen
D'Figur hei ënnendrënner weist e Beispill vun engem Formulaire fir d'Kaartdaten anzeginn. Dëse Formulaire gouf benotzt fir en Online Store ze infiltréieren an Kaartdaten ze klauen.
Déi folgend Figur weist e Beispill vun enger falscher PayPal Bezuelungsform, déi vun Ugräifer benotzt gouf fir Siten mat dëser Bezuelmethod ze infiltréieren.
Infrastruktur
| Domain Numm | Datum vun Entdeckung / Erscheinung |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| request.payrightnow.cf | 25/05/2018 |
| paymentnow.tk | 16/07/2017 |
| pay-line.tk | 01/03/2018 |
| paypal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
CoffeeMokko Famill
D'CoffeMokko Famill vu Sniffer, entwéckelt fir Bankkaarte vun Online Store Benotzer ze klauen, ass zënter op d'mannst Mee 2017 am Gebrauch. Wahrscheinlech sinn d'Bedreiwer vun dëser Famill vu Sniffer de kriminellen Grupp Group 1, beschriwwen vu RiskIQ Spezialisten am Joer 2016. Siten déi CMSs lafen wéi Magento, OpenCart, WordPress, osCommerce a Shopify goufen attackéiert.
Wéi CoffeMokko an de Code vun engem Online Store ëmgesat gëtt
D'Operateure vun dëser Famill kreéiere fir all Infektioun eenzegaarteg Sniffers: d'Snifferdatei ass am Verzeechnes src oder js um Server vun den Ugräifer. D'Inkorporatioun an de Site Code gëtt iwwer en direkten Link op de Sniffer duerchgefouert.
De Sniffercode hardcodes d'Nimm vun de Formfelder, aus deenen d'Donnéeën geklaut musse ginn. De Sniffer kontrolléiert och ob de Benotzer op der Bezuelungssäit ass andeems Dir d'Lëscht vu Schlësselwieder mat der aktueller Adress vum Benotzer iwwerpréift.
E puer entdeckt Versioune vum Sniffer goufen verstoppt an enthale e verschlësselte String, an deem d'Haaptarray vu Ressourcen gespäichert gouf: et enthält d'Nimm vu Formfelder fir verschidde Bezuelsystemer, souwéi d'Paartadress, op déi déi geklauten Donnéeën geschéckt solle ginn.
Déi geklaut Bezuelinformatioun gouf op e Skript um Server vun den Ugräifer laanscht de Wee geschéckt /savePayment/index.php oder /tr/index.php. Wahrscheinlech gëtt dëst Skript benotzt fir Daten aus dem Paart op den Haaptserver ze schécken, deen d'Donnéeën vun all Sniffer konsolidéiert. Fir déi iwwerdroen Donnéeën ze verstoppen, gëtt all Bezuelinformatioun vum Affer verschlësselt mat Basis 64, an da geschéien e puer Zeechenauswiesselungen:
- de Charakter "e" gëtt duerch ":" ersat
- d'Symbol "w" gëtt duerch "+" ersat
- de Charakter "o" gëtt duerch "%" ersat
- de Charakter "d" gëtt duerch "#" ersat
- de Charakter "a" gëtt duerch "-" ersat
- d'Symbol "7" gëtt duerch "^" ersat
- de Charakter "h" gëtt duerch "_" ersat
- d'Symbol "T" gëtt duerch "@" ersat
- de Charakter "0" gëtt duerch "/" ersat
- de Charakter "Y" gëtt duerch "*" ersat
Als Resultat vun Zeechen Auswiesselungen encoded benotzt Basis 64 D'Donnéeë kënnen net decodéiert ginn ouni d'Ëmgedréint Konversioun ze maachen.
Dëst ass wéi e Fragment vum Sniffer Code ausgesäit deen net verstoppt gouf:
Infrastruktur Analyse
A fréie Kampagnen hunn Ugräifer Domainnamen registréiert ähnlech wéi déi vun legitimen Online Shopping Sites. Hir Domain kéint ënnerscheeden vun der legitimer een nom Symbol oder engem aneren TLD. Registréiert Domaine goufen benotzt fir sniffer Code ze späicheren, e Link op deen am Store Code agebonne gouf.
Dës Grupp huet och Domain Nimm benotzt, déi u populär jQuery Plugins erënneren (slickjs[.]org fir Siten déi de Plugin benotzen slick.js), Bezuelungspaarten (sagecdn[.]org fir Siten déi de Sage Pay Bezuelsystem benotzen).
Méi spéit huet d'Grupp ugefaang Domainen ze kreéieren deenen hir Nimm näischt mam Buttek Domain oder dem Thema vum Buttek ze dinn hunn.
All Domain entsprécht engem Site op deem de Verzeechnes erstallt gouf /js oder / src. Sniffer Scripte goufen an dësem Verzeechnes gespäichert: ee Sniffer fir all nei Infektioun. De Sniffer gouf an de Websäitcode iwwer en direkten Link agebonnen, awer a rare Fäll hunn Ugräifer eng vun de Websäitdateien geännert a béiswëlleg Code dobäigesat.
Code Analyse
Éischt Verdueblung Algorithmus
An e puer entdeckt Echantillon vun sniffers vun dëser Famill, de Code war obfuscéiert an enthält verschlësselte Donnéeën néideg fir de sniffer ze schaffen: besonnesch, der sniffer Gate Adress, eng Lëscht vun Bezuelen Form Felder, an e puer Fäll, de Code vun engem Fake. Bezuelungsform. Am Code an der Funktioun goufen d'Ressourcen verschlësselt mat XOR duerch de Schlëssel deen als Argument un déi selwecht Funktioun weidergeleet gouf.
Andeems Dir de String mat dem passenden Schlëssel entschlësselt, eenzegaarteg fir all Probe, kënnt Dir e String kréien, deen all d'Saiten aus dem Sniffercode enthält, getrennt vun engem Separator Charakter.
Zweet Verdueblung Algorithmus
A spéider Echantillon vun Sniffers vun dëser Famill gouf en anere Verduebungsmechanismus benotzt: an dësem Fall goufen d'Donnéeën verschlësselt mat engem selbstgeschriwwene Algorithmus. Eng String mat verschlësselte Donnéeën, déi néideg ass fir de Sniffer ze bedreiwen, gouf als Argument un d'Entschlësselungsfunktioun iwwerginn.
Mat der Browserkonsole kënnt Dir déi verschlësselte Donnéeën entschlësselen an eng Array kréien déi Sniffer Ressourcen enthält.
Verbindung zu fréi MageCart Attacken
Wärend der Analyse vun engem vun den Domainen, déi vun der Grupp als Paart benotzt gi fir geklauten Donnéeën ze sammelen, gouf festgestallt, datt dëst Domain eng Infrastruktur fir Kredittkaart-Déifst gehost huet, identesch mat deem, dee vum Grupp 1 benotzt gouf, eng vun den éischte Gruppen, vun RiskIQ Spezialisten.
Zwou Dateie goufen um Host vun der CoffeMokko Famill vu Sniffer fonnt:
- mage.js - Datei mat Grupp 1 sniffer Code mat Gate Adress js-cdn.link
- mag.php - PHP Skript verantwortlech fir Daten ze sammelen, déi vum Sniffer geklaut sinn
Inhalter vun der mage.js Datei
Et gouf och festgestallt datt déi fréizäiteg Domainen, déi vun der Grupp hannert der CoffeMokko Famill vu Schniffer benotzt goufen, de 17. Mee 2017 registréiert goufen:
- link-js[.]link
- info-js[.]link
- track-js[.]link
- map-js[.]link
- smart-js[.]link
D'Format vun dësen Domain Nimm entsprécht de Group 1 Domain Nimm déi an den 2016 Attacken benotzt goufen.
Opgrond vun den entdeckten Fakten kann dovun ausgoen, datt et eng Verbindung tëscht de Bedreiwer vun de CoffeMokko-Sniffers an der krimineller Grupp Group 1 ass. Wahrscheinlech, CoffeMokko Opérateuren konnten Tools a Software vun hire Virgänger geléint hunn fir Kaarte ze klauen. Allerdéngs ass et méi wahrscheinlech datt déi kriminell Grupp hannert der Notzung vun der CoffeMokko Famill vun de Schniffer déiselwecht Leit sinn, déi d'Attacke vun der Grupp 1. No der Verëffentlechung vum éischte Bericht iwwer d'Aktivitéite vun der krimineller Grupp sinn all hir Domainnamen blockéiert an d'Tools goufen am Detail studéiert a beschriwwen. D'Grupp war gezwongen eng Paus ze huelen, seng intern Tools ze verfeineren an de Sniffercode nei ze schreiwen fir seng Attacke weiderzeféieren an onerkannt ze bleiwen.
Infrastruktur
| Domain Numm | Datum vun Entdeckung / Erscheinung |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| security-payment.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parks.su | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffeetea.org | 31.01.2018 |
| energycoffe.org | 31.01.2018 |
| energytea.org | 31.01.2018 |
| teakaffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| autorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitnesse.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
Source: will.com