ສີ່ເຄື່ອງດູດກິ່ນ JavaScript ທີ່ລໍຖ້າທ່ານຢູ່ໃນຮ້ານອອນໄລນ໌

ເກືອບທັງຫມົດຂອງພວກເຮົາໃຊ້ບໍລິການຂອງຮ້ານຄ້າອອນໄລນ໌, ຊຶ່ງຫມາຍຄວາມວ່າບໍ່ຊ້າຫຼືຫຼັງຈາກນັ້ນພວກເຮົາມີຄວາມສ່ຽງຕໍ່ການຕົກເປັນເຫຍື່ອຂອງ JavaScript sniffers - ລະຫັດພິເສດທີ່ຜູ້ໂຈມຕີປະຕິບັດຢູ່ໃນເວັບໄຊທ໌ເພື່ອລັກຂໍ້ມູນບັດທະນາຄານ, ທີ່ຢູ່, ເຂົ້າສູ່ລະບົບແລະລະຫັດຜ່ານຂອງຜູ້ໃຊ້. .

ເກືອບ 400 ຜູ້ໃຊ້ເວັບໄຊທ໌ແລະແອັບພລິເຄຊັນມືຖືຂອງ British Airways ໄດ້ຮັບຜົນກະທົບແລ້ວຈາກ sniffers, ເຊັ່ນດຽວກັນກັບຜູ້ເຂົ້າຊົມເວັບໄຊທ໌ອັງກິດຂອງບໍລິສັດກິລາຍັກໃຫຍ່ FILA ແລະຜູ້ຈັດຈໍາຫນ່າຍປີ້ອາເມລິກາ Ticketmaster. PayPal, Chase Paymenttech, USAePay, Moneris - ເຫຼົ່ານີ້ແລະລະບົບການຈ່າຍເງິນອື່ນໆຈໍານວນຫຼາຍໄດ້ຕິດເຊື້ອ.

ນັກວິເຄາະ Threat Intelligence Group-IB Viktor Okorokov ເວົ້າກ່ຽວກັບວິທີ sniffers ເຂົ້າໄປໃນລະຫັດເວັບໄຊທ໌ແລະລັກຂໍ້ມູນການຈ່າຍເງິນ, ເຊັ່ນດຽວກັນກັບສິ່ງທີ່ CRMs ທີ່ພວກເຂົາໂຈມຕີ.

"ໄພຂົ່ມຂູ່ທີ່ເຊື່ອງໄວ້"

ມັນເກີດຂຶ້ນດັ່ງນັ້ນສໍາລັບເວລາດົນນານ JS sniffers ຍັງຄົງຢູ່ນອກສາຍຕາຂອງນັກວິເຄາະຕ້ານເຊື້ອໄວຣັສ, ແລະທະນາຄານແລະລະບົບການຈ່າຍເງິນບໍ່ໄດ້ເຫັນວ່າພວກເຂົາເປັນໄພຂົ່ມຂູ່ທີ່ຮ້າຍແຮງ. ແລະຫມົດໃນ vain. ຜູ້ຊ່ຽວຊານກຸ່ມ-IB ວິເຄາະ 2440 ຮ້ານຄ້າອອນໄລນ໌ທີ່ຕິດເຊື້ອ, ເຊິ່ງນັກທ່ອງທ່ຽວ - ປະມານ 1,5 ລ້ານຄົນຕໍ່ມື້ - ມີຄວາມສ່ຽງຕໍ່ການປະນີປະນອມ. ໃນບັນດາຜູ້ເຄາະຮ້າຍບໍ່ພຽງແຕ່ຜູ້ໃຊ້, ແຕ່ຍັງຮ້ານຄ້າອອນໄລນ໌, ລະບົບການຈ່າຍເງິນແລະທະນາຄານທີ່ອອກບັດທີ່ຖືກປະນີປະນອມ.

ບົດລາຍງານ Group-IB ກາຍເປັນການສຶກສາຄັ້ງທໍາອິດຂອງຕະຫຼາດ darknet ສໍາລັບ sniffers, ໂຄງສ້າງພື້ນຖານແລະວິທີການສ້າງລາຍໄດ້ຂອງພວກເຂົາ, ເຊິ່ງນໍາເອົາຜູ້ສ້າງຂອງພວກເຂົາຫຼາຍລ້ານໂດລາ. ພວກເຮົາໄດ້ກໍານົດ 38 ຄອບຄົວຂອງ sniffers, ເຊິ່ງມີພຽງແຕ່ 12 ທີ່ຜ່ານມາຮູ້ຈັກກັບນັກຄົ້ນຄວ້າ.

ໃຫ້ພວກເຮົາອາໄສຢູ່ໃນລາຍລະອຽດກ່ຽວກັບສີ່ຄອບຄົວຂອງ sniffers ໄດ້ສຶກສາໃນລະຫວ່າງການສຶກສາ.

ReactGet ຄອບຄົວ

Sniffers ຂອງຄອບຄົວ ReactGet ຖືກນໍາໃຊ້ເພື່ອລັກຂໍ້ມູນບັດທະນາຄານຢູ່ໃນເວັບໄຊທ໌ຊື້ເຄື່ອງອອນໄລນ໌. sniffer ສາມາດເຮັດວຽກຮ່ວມກັບຈໍານວນຂະຫນາດໃຫຍ່ຂອງລະບົບການຈ່າຍເງິນທີ່ແຕກຕ່າງກັນທີ່ໃຊ້ໃນເວັບໄຊທ໌: ຄ່າພາລາມິເຕີຫນຶ່ງກົງກັບລະບົບການຈ່າຍເງິນດຽວ, ແລະແຕ່ລະລຸ້ນທີ່ກວດພົບຂອງ sniffer ສາມາດຖືກນໍາໃຊ້ເພື່ອລັກຂໍ້ມູນປະຈໍາຕົວ, ເຊັ່ນດຽວກັນກັບການລັກຂໍ້ມູນບັດທະນາຄານຈາກການຈ່າຍເງິນ. ຮູບແບບຂອງລະບົບການຈ່າຍເງິນຫຼາຍໆຄັ້ງໃນເວລາດຽວກັນ, ຄືກັບອັນທີ່ເອີ້ນວ່າ sniffer ທົ່ວໄປ. ມັນໄດ້ຖືກພົບເຫັນວ່າໃນບາງກໍລະນີ, ຜູ້ໂຈມຕີດໍາເນີນການ phishing ໂຈມຕີຜູ້ເບິ່ງແຍງຮ້ານອອນໄລນ໌ເພື່ອເຂົ້າເຖິງກະດານບໍລິຫານຂອງເວັບໄຊທ໌.

ແຄມເປນທີ່ໃຊ້ເຄື່ອງດື້ມເຊື້ອໃນຄອບຄົວນີ້ໄດ້ເລີ່ມຕົ້ນໃນເດືອນພຶດສະພາ 2017; ເວັບໄຊທີ່ໃຊ້ CMS ແລະ Magento, Bigcommerce ແລະ Shopify ໄດ້ຖືກໂຈມຕີ.

ວິທີການ ReactGet ຖືກປະຕິບັດເຂົ້າໃນລະຫັດຂອງຮ້ານອອນໄລນ໌

ນອກເຫນືອຈາກການປະຕິບັດ "ຄລາສສິກ" ຂອງສະຄິບຜ່ານທາງເຊື່ອມຕໍ່, ຜູ້ປະຕິບັດການຂອງຄອບຄົວ ReactGet ຂອງ sniffers ໃຊ້ເຕັກນິກພິເສດ: ການນໍາໃຊ້ລະຫັດ JavaScript, ພວກເຂົາກວດເບິ່ງວ່າທີ່ຢູ່ປັດຈຸບັນທີ່ຜູ້ໃຊ້ຕັ້ງຢູ່ກົງກັບເງື່ອນໄຂທີ່ແນ່ນອນ. ລະຫັດທີ່ເປັນອັນຕະລາຍຈະຖືກປະຕິບັດພຽງແຕ່ຖ້າສາຍຍ່ອຍຢູ່ໃນ URL ປັດຈຸບັນ ກວດ​ເບິ່ງ ຫຼື ຂັ້ນ​ຕອນ​ທີ​ຫນຶ່ງ​ຈ່າຍ​ອອກ​, ໜ້າດຽວ/, ອອກ/onepag, ຈ່າຍເງິນ/ຫນຶ່ງ, ckout/ຫນຶ່ງ. ດັ່ງນັ້ນ, ລະຫັດ sniffer ຈະຖືກປະຕິບັດຢ່າງແນ່ນອນໃນເວລາທີ່ຜູ້ໃຊ້ດໍາເນີນການຊໍາລະການຊື້ແລະໃສ່ຂໍ້ມູນການຈ່າຍເງິນເຂົ້າໄປໃນແບບຟອມຢູ່ໃນເວັບໄຊທ໌.

sniffer ນີ້ໃຊ້ເຕັກນິກທີ່ບໍ່ແມ່ນມາດຕະຖານ. ການຈ່າຍເງິນຂອງຜູ້ຖືກເຄາະຮ້າຍແລະຂໍ້ມູນສ່ວນບຸກຄົນໄດ້ຖືກເກັບກໍາຮ່ວມກັນແລະເຂົ້າລະຫັດໂດຍໃຊ້ ຖານ 64, ແລະຫຼັງຈາກນັ້ນສະຕຣິງຜົນໄດ້ຮັບຖືກນໍາໃຊ້ເປັນພາລາມິເຕີເພື່ອສົ່ງຄໍາຮ້ອງຂໍໄປຫາເວັບໄຊທ໌ຂອງຜູ້ໂຈມຕີ. ສ່ວນຫຼາຍມັກ, ເສັ້ນທາງໄປສູ່ປະຕູຈະຮຽນແບບໄຟລ໌ JavaScript, ຕົວຢ່າງ resp.js, data.js ແລະອື່ນໆ, ແຕ່ການເຊື່ອມຕໍ່ກັບໄຟລ໌ຮູບພາບຍັງຖືກນໍາໃຊ້, GIF и JPG. ລັກສະນະພິເສດແມ່ນວ່າ sniffer ສ້າງວັດຖຸຮູບພາບທີ່ວັດແທກ 1 x 1 pixel ແລະໃຊ້ການເຊື່ອມຕໍ່ທີ່ໄດ້ຮັບກ່ອນຫນ້ານີ້ເປັນພາລາມິເຕີ. src ຮູບພາບ. ນັ້ນແມ່ນ, ສໍາລັບຜູ້ໃຊ້ດັ່ງກ່າວຄໍາຮ້ອງຂໍໃນການຈະລາຈອນຈະຄ້າຍຄືຄໍາຮ້ອງຂໍສໍາລັບຮູບພາບທໍາມະດາ. ເຕັກນິກທີ່ຄ້າຍຄືກັນໄດ້ຖືກນໍາໃຊ້ໃນຄອບຄົວ ImageID ຂອງ sniffers. ນອກຈາກນັ້ນ, ເຕັກນິກການນໍາໃຊ້ຮູບພາບ 1 x 1 pixel ແມ່ນໃຊ້ໃນສະຄິບການວິເຄາະອອນໄລນ໌ທີ່ຖືກຕ້ອງຕາມກົດຫມາຍຈໍານວນຫຼາຍ, ເຊິ່ງສາມາດເຮັດໃຫ້ຜູ້ໃຊ້ເຂົ້າໃຈຜິດໄດ້.

ການວິເຄາະສະບັບ

ການວິເຄາະໂດເມນທີ່ໃຊ້ວຽກທີ່ໃຊ້ໂດຍ ReactGet sniffer operators ເປີດເຜີຍຫຼາຍຮຸ່ນທີ່ແຕກຕ່າງກັນຂອງ sniffers ຄອບຄົວນີ້. ລຸ້ນຕ່າງໆມີຄວາມແຕກຕ່າງກັນຢູ່ໃນການປະກົດຕົວຫຼືບໍ່ມີຄວາມສັບສົນ, ແລະນອກຈາກນັ້ນ, ແຕ່ລະ sniffer ຖືກອອກແບບມາສໍາລັບລະບົບການຈ່າຍເງິນສະເພາະທີ່ດໍາເນີນການຊໍາລະບັດທະນາຄານສໍາລັບຮ້ານຄ້າອອນໄລນ໌. ໂດຍຈັດຮຽງຕາມມູນຄ່າຂອງພາລາມິເຕີທີ່ສອດຄ້ອງກັບເລກຮຸ່ນ, ຜູ້ຊ່ຽວຊານຂອງ Group-IB ໄດ້ຮັບບັນຊີລາຍຊື່ຄົບຖ້ວນຂອງການປ່ຽນແປງ sniffer ທີ່ມີຢູ່, ແລະໂດຍຊື່ຂອງຊ່ອງແບບຟອມທີ່ແຕ່ລະຄົນຊອກຫາຢູ່ໃນລະຫັດຫນ້າ, ພວກເຂົາເຈົ້າໄດ້ກໍານົດລະບົບການຈ່າຍເງິນ. ວ່າ sniffer ແມ່ນແນໃສ່.

ບັນຊີລາຍຊື່ຂອງ sniffers ແລະລະບົບການຈ່າຍເງິນທີ່ສອດຄ້ອງກັນຂອງພວກເຂົາ

Sniffer URL	ລະບົບການຈ່າຍເງິນ
reactjsapi.com/react.js	Authorize.Net
ajaxstatic.com/api.js?v=2.1.1	ບັນທຶກບັດ
ajaxstatic.com/api.js?v=2.1.2	Authorize.Net
ajaxstatic.com/api.js?v=2.1.3	Authorize.Net
ajaxstatic.com/api.js?v=2.1.4	eWAY ຢ່າງໄວວາ
ajaxstatic.com/api.js?v=2.1.5	Authorize.Net
ajaxstatic.com/api.js?v=2.1.6	Adyen
ajaxstatic.com/api.js?v=2.1.7	USAePay
ajaxstatic.com/api.js?v=2.1.9	Authorize.Net
apitstatus.com/api.js?v=2.1.1	USAePay
apitstatus.com/api.js?v=2.1.2	Authorize.Net
apitstatus.com/api.js?v=2.1.3	ໂມເນຣິສ
apitstatus.com/api.js?v=2.1.5	USAePay
apitstatus.com/api.js?v=2.1.6	PayPal
apitstatus.com/api.js?v=2.1.7	SagePay
apitstatus.com/api.js?v=2.1.8	Verisign
apitstatus.com/api.js?v=2.1.9	PayPal
apitstatus.com/api.js?v=2.3.0	ເສັ້ນດ່າງ
apitstatus.com/api.js?v=3.0.2	Realex
apitstatus.com/api.js?v=3.0.3	PayPal
apitstatus.com/api.js?v=3.0.4	LinkPoint
apitstatus.com/api.js?v=3.0.5	PayPal
apitstatus.com/api.js?v=3.0.7	PayPal
apitstatus.com/api.js?v=3.0.8	DataCash
apitstatus.com/api.js?v=3.0.9	PayPal
asianfoodgracer.com/footer.js	Authorize.Net
billgetstatus.com/api.js?v=1.2	Authorize.Net
billgetstatus.com/api.js?v=1.3	Authorize.Net
billgetstatus.com/api.js?v=1.4	Authorize.Net
billgetstatus.com/api.js?v=1.5	Verisign
billgetstatus.com/api.js?v=1.6	Authorize.Net
billgetstatus.com/api.js?v=1.7	ໂມເນຣິສ
billgetstatus.com/api.js?v=1.8	SagePay
billgetstatus.com/api.js?v=2.0	USAePay
billgetstatus.com/react.js	Authorize.Net
cloudodesc.com/gtm.js?v=1.2	Authorize.Net
cloudodesc.com/gtm.js?v=1.3	ANZ eGate
cloudodesc.com/gtm.js?v=2.3	Authorize.Net
cloudodesc.com/gtm.js?v=2.4	ໂມເນຣິສ
cloudodesc.com/gtm.js?v=2.6	SagePay
cloudodesc.com/gtm.js?v=2.7	SagePay
cloudodesc.com/gtm.js?v=2.8	ແລ່ນ Paymentech
cloudodesc.com/gtm.js?v=2.9	Authorize.Net
cloudodesc.com/gtm.js?v=2.91	Adyen
cloudodesc.com/gtm.js?v=2.92	PsiGate
cloudodesc.com/gtm.js?v=2.93	ແຫຼ່ງ Cyber ​​​​
cloudodesc.com/gtm.js?v=2.95	ANZ eGate
cloudodesc.com/gtm.js?v=2.97	Realex
geisseie.com/gs.js	USAePay
gtmproc.com/age.js	Authorize.Net
gtmproc.com/gtm.js?v=1.2	Authorize.Net
gtmproc.com/gtm.js?v=1.3	ANZ eGate
gtmproc.com/gtm.js?v=1.5	PayPal
gtmproc.com/gtm.js?v=1.6	PayPal
gtmproc.com/gtm.js?v=1.7	Realex
livecheckpay.com/api.js?v=2.0	SagePay
livecheckpay.com/api.js?v=2.1	PayPal
livecheckpay.com/api.js?v=2.2	Verisign
livecheckpay.com/api.js?v=2.3	Authorize.Net
livecheckpay.com/api.js?v=2.4	Verisign
livecheckpay.com/react.js	Authorize.Net
livegetpay.com/pay.js?v=2.1.2	ANZ eGate
livegetpay.com/pay.js?v=2.1.3	PayPal
livegetpay.com/pay.js?v=2.1.5	ແຫຼ່ງ Cyber ​​​​
livegetpay.com/pay.js?v=2.1.7	Authorize.Net
livegetpay.com/pay.js?v=2.1.8	SagePay
livegetpay.com/pay.js?v=2.1.9	Realex
livegetpay.com/pay.js?v=2.2.0	ແຫຼ່ງ Cyber ​​​​
livegetpay.com/pay.js?v=2.2.1	PayPal
livegetpay.com/pay.js?v=2.2.2	PayPal
livegetpay.com/pay.js?v=2.2.3	PayPal
livegetpay.com/pay.js?v=2.2.4	Verisign
livegetpay.com/pay.js?v=2.2.5	eWAY ຢ່າງໄວວາ
livegetpay.com/pay.js?v=2.2.7	SagePay
livegetpay.com/pay.js?v=2.2.8	SagePay
livegetpay.com/pay.js?v=2.2.9	Verisign
livegetpay.com/pay.js?v=2.3.0	Authorize.Net
livegetpay.com/pay.js?v=2.3.1	Authorize.Net
livegetpay.com/pay.js?v=2.3.2	First Data Global Gateway
livegetpay.com/pay.js?v=2.3.3	Authorize.Net
livegetpay.com/pay.js?v=2.3.4	Authorize.Net
livegetpay.com/pay.js?v=2.3.5	ໂມເນຣິສ
livegetpay.com/pay.js?v=2.3.6	Authorize.Net
livegetpay.com/pay.js?v=2.3.8	PayPal
livegetpay.com/pay.js?v=2.4.0	Verisign
maxstatics.com/site.js	USAePay
mediapack.info/track.js?d=funlove.com	USAePay
mediapack.info/track.js?d=qbedding.com	Authorize.Net
mediapack.info/track.js?d=vseyewear.com	Verisign
mxcounter.com/c.js?v=1.2	PayPal
mxcounter.com/c.js?v=1.3	Authorize.Net
mxcounter.com/c.js?v=1.4	ເສັ້ນດ່າງ
mxcounter.com/c.js?v=1.6	Authorize.Net
mxcounter.com/c.js?v=1.7	eWAY ຢ່າງໄວວາ
mxcounter.com/c.js?v=1.8	SagePay
mxcounter.com/c.js?v=2.0	Authorize.Net
mxcounter.com/c.js?v=2.1	Braintree
mxcounter.com/c.js?v=2.10	Braintree
mxcounter.com/c.js?v=2.2	PayPal
mxcounter.com/c.js?v=2.3	SagePay
mxcounter.com/c.js?v=2.31	SagePay
mxcounter.com/c.js?v=2.32	Authorize.Net
mxcounter.com/c.js?v=2.33	PayPal
mxcounter.com/c.js?v=2.34	Authorize.Net
mxcounter.com/c.js?v=2.35	Verisign
mxcounter.com/click.js?v=1.2	PayPal
mxcounter.com/click.js?v=1.3	Authorize.Net
mxcounter.com/click.js?v=1.4	ເສັ້ນດ່າງ
mxcounter.com/click.js?v=1.6	Authorize.Net
mxcounter.com/click.js?v=1.7	eWAY ຢ່າງໄວວາ
mxcounter.com/click.js?v=1.8	SagePay
mxcounter.com/click.js?v=2.0	Authorize.Net
mxcounter.com/click.js?v=2.1	Braintree
mxcounter.com/click.js?v=2.2	PayPal
mxcounter.com/click.js?v=2.3	SagePay
mxcounter.com/click.js?v=2.31	SagePay
mxcounter.com/click.js?v=2.32	Authorize.Net
mxcounter.com/click.js?v=2.33	PayPal
mxcounter.com/click.js?v=2.34	Authorize.Net
mxcounter.com/click.js?v=2.35	Verisign
mxcounter.com/cnt.js	Authorize.Net
mxcounter.com/j.js	Authorize.Net
newrelicnet.com/api.js?v=1.2	Authorize.Net
newrelicnet.com/api.js?v=1.4	Authorize.Net
newrelicnet.com/api.js?v=1.8	SagePay
newrelicnet.com/api.js?v=4.5	SagePay
newrelicnet.com/api.js?v=4.6	Westpac PayWay
nr-public.com/api.js?v=2.0	PayFort
nr-public.com/api.js?v=2.1	PayPal
nr-public.com/api.js?v=2.2	Authorize.Net
nr-public.com/api.js?v=2.3	ເສັ້ນດ່າງ
nr-public.com/api.js?v=2.4	First Data Global Gateway
nr-public.com/api.js?v=2.5	PsiGate
nr-public.com/api.js?v=2.6	Authorize.Net
nr-public.com/api.js?v=2.7	Authorize.Net
nr-public.com/api.js?v=2.8	ໂມເນຣິສ
nr-public.com/api.js?v=2.9	Authorize.Net
nr-public.com/api.js?v=3.1	SagePay
nr-public.com/api.js?v=3.2	Verisign
nr-public.com/api.js?v=3.3	ໂມເນຣິສ
nr-public.com/api.js?v=3.5	PayPal
nr-public.com/api.js?v=3.6	LinkPoint
nr-public.com/api.js?v=3.7	Westpac PayWay
nr-public.com/api.js?v=3.8	Authorize.Net
nr-public.com/api.js?v=4.0	ໂມເນຣິສ
nr-public.com/api.js?v=4.0.2	PayPal
nr-public.com/api.js?v=4.0.3	Adyen
nr-public.com/api.js?v=4.0.4	PayPal
nr-public.com/api.js?v=4.0.5	Authorize.Net
nr-public.com/api.js?v=4.0.6	USAePay
nr-public.com/api.js?v=4.0.7	EBizCharge
nr-public.com/api.js?v=4.0.8	Authorize.Net
nr-public.com/api.js?v=4.0.9	Verisign
nr-public.com/api.js?v=4.1.2	Verisign
ordercheckpays.com/api.js?v=2.11	Authorize.Net
ordercheckpays.com/api.js?v=2.12	PayPal
ordercheckpays.com/api.js?v=2.13	ໂມເນຣິສ
ordercheckpays.com/api.js?v=2.14	Authorize.Net
ordercheckpays.com/api.js?v=2.15	PayPal
ordercheckpays.com/api.js?v=2.16	PayPal
ordercheckpays.com/api.js?v=2.17	Westpac PayWay
ordercheckpays.com/api.js?v=2.18	Authorize.Net
ordercheckpays.com/api.js?v=2.19	Authorize.Net
ordercheckpays.com/api.js?v=2.21	SagePay
ordercheckpays.com/api.js?v=2.22	Verisign
ordercheckpays.com/api.js?v=2.23	Authorize.Net
ordercheckpays.com/api.js?v=2.24	PayPal
ordercheckpays.com/api.js?v=2.25	PayFort
ordercheckpays.com/api.js?v=2.29	ແຫຼ່ງ Cyber ​​​​
ordercheckpays.com/api.js?v=2.4	PayPal Payflow Pro
ordercheckpays.com/api.js?v=2.7	Authorize.Net
ordercheckpays.com/api.js?v=2.8	Authorize.Net
ordercheckpays.com/api.js?v=2.9	Verisign
ordercheckpays.com/api.js?v=3.1	Authorize.Net
ordercheckpays.com/api.js?v=3.2	Authorize.Net
ordercheckpays.com/api.js?v=3.3	SagePay
ordercheckpays.com/api.js?v=3.4	Authorize.Net
ordercheckpays.com/api.js?v=3.5	ເສັ້ນດ່າງ
ordercheckpays.com/api.js?v=3.6	Authorize.Net
ordercheckpays.com/api.js?v=3.7	Authorize.Net
ordercheckpays.com/api.js?v=3.8	Verisign
ordercheckpays.com/api.js?v=3.9	PayPal
ordercheckpays.com/api.js?v=4.0	Authorize.Net
ordercheckpays.com/api.js?v=4.1	Authorize.Net
ordercheckpays.com/api.js?v=4.2	SagePay
ordercheckpays.com/api.js?v=4.3	Authorize.Net
reactjsapi.com/api.js?v=0.1.0	Authorize.Net
reactjsapi.com/api.js?v=0.1.1	PayPal
reactjsapi.com/api.js?v=4.1.2	Flint
reactjsapi.com/api.js?v=4.1.4	PayPal
reactjsapi.com/api.js?v=4.1.5	SagePay
reactjsapi.com/api.js?v=4.1.51	Verisign
reactjsapi.com/api.js?v=4.1.6	Authorize.Net
reactjsapi.com/api.js?v=4.1.7	Authorize.Net
reactjsapi.com/api.js?v=4.1.8	ເສັ້ນດ່າງ
reactjsapi.com/api.js?v=4.1.9	ໄຂມັນ Zebra
reactjsapi.com/api.js?v=4.2.0	SagePay
reactjsapi.com/api.js?v=4.2.1	Authorize.Net
reactjsapi.com/api.js?v=4.2.2	First Data Global Gateway
reactjsapi.com/api.js?v=4.2.3	Authorize.Net
reactjsapi.com/api.js?v=4.2.4	eWAY ຢ່າງໄວວາ
reactjsapi.com/api.js?v=4.2.5	Adyen
reactjsapi.com/api.js?v=4.2.7	PayPal
reactjsapi.com/api.js?v=4.2.8	ບໍລິການສິນຄ້າ QuickBooks
reactjsapi.com/api.js?v=4.2.9	Verisign
reactjsapi.com/api.js?v=4.2.91	SagePay
reactjsapi.com/api.js?v=4.2.92	Verisign
reactjsapi.com/api.js?v=4.2.94	Authorize.Net
reactjsapi.com/api.js?v=4.3.97	Authorize.Net
reactjsapi.com/api.js?v=4.5	SagePay
reactjsapi.com/react.js	Authorize.Net
sydneysalonsupplies.com/gtm.js	eWAY ຢ່າງໄວວາ
tagsmediaget.com/react.js	Authorize.Net
tagstracking.com/tag.js?v=2.1.2	ANZ eGate
tagstracking.com/tag.js?v=2.1.3	PayPal
tagstracking.com/tag.js?v=2.1.5	ແຫຼ່ງ Cyber ​​​​
tagstracking.com/tag.js?v=2.1.7	Authorize.Net
tagstracking.com/tag.js?v=2.1.8	SagePay
tagstracking.com/tag.js?v=2.1.9	Realex
tagstracking.com/tag.js?v=2.2.0	ແຫຼ່ງ Cyber ​​​​
tagstracking.com/tag.js?v=2.2.1	PayPal
tagstracking.com/tag.js?v=2.2.2	PayPal
tagstracking.com/tag.js?v=2.2.3	PayPal
tagstracking.com/tag.js?v=2.2.4	Verisign
tagstracking.com/tag.js?v=2.2.5	eWAY ຢ່າງໄວວາ
tagstracking.com/tag.js?v=2.2.7	SagePay
tagstracking.com/tag.js?v=2.2.8	SagePay
tagstracking.com/tag.js?v=2.2.9	Verisign
tagstracking.com/tag.js?v=2.3.0	Authorize.Net
tagstracking.com/tag.js?v=2.3.1	Authorize.Net
tagstracking.com/tag.js?v=2.3.2	First Data Global Gateway
tagstracking.com/tag.js?v=2.3.3	Authorize.Net
tagstracking.com/tag.js?v=2.3.4	Authorize.Net
tagstracking.com/tag.js?v=2.3.5	ໂມເນຣິສ
tagstracking.com/tag.js?v=2.3.6	Authorize.Net
tagstracking.com/tag.js?v=2.3.8	PayPal

ລະ​ຫັດ​ຜ່ານ sniffer​

ຫນຶ່ງໃນຂໍ້ໄດ້ປຽບຂອງ JavaScript sniffers ເຮັດວຽກຢູ່ຂ້າງລູກຄ້າຂອງເວັບໄຊທ໌ແມ່ນ versatility ຂອງພວກເຂົາ: ລະຫັດອັນຕະລາຍທີ່ຝັງຢູ່ໃນເວັບໄຊທ໌ສາມາດລັກຂໍ້ມູນປະເພດໃດກໍ່ຕາມ, ບໍ່ວ່າຈະເປັນຂໍ້ມູນການຈ່າຍເງິນຫຼືການເຂົ້າສູ່ລະບົບແລະລະຫັດຜ່ານຂອງບັນຊີຜູ້ໃຊ້. ຜູ້ຊ່ຽວຊານກຸ່ມ-IB ໄດ້ຄົ້ນພົບຕົວຢ່າງຂອງເຄື່ອງດູດກິ່ນທີ່ເປັນຂອງຄອບຄົວ ReactGet, ອອກແບບມາເພື່ອລັກເອົາທີ່ຢູ່ອີເມວ ແລະລະຫັດຜ່ານຂອງຜູ້ໃຊ້ເວັບໄຊ.

ສີ່ແຍກທີ່ມີ ImageID sniffer

ໃນລະຫວ່າງການວິເຄາະຫນຶ່ງໃນຮ້ານຄ້າທີ່ຕິດເຊື້ອ, ມັນພົບວ່າເວັບໄຊທ໌ຂອງມັນຕິດເຊື້ອສອງຄັ້ງ: ນອກເຫນືອຈາກລະຫັດທີ່ເປັນອັນຕະລາຍຂອງ sniffer ຄອບຄົວ ReactGet, ລະຫັດຂອງ sniffer ຄອບຄົວ ImageID ຖືກກວດພົບ. ການທັບຊ້ອນກັນນີ້ສາມາດເປັນຫຼັກຖານວ່າຜູ້ປະຕິບັດການທີ່ຢູ່ເບື້ອງຫຼັງທັງສອງ sniffers ໃຊ້ເຕັກນິກທີ່ຄ້າຍຄືກັນເພື່ອໃສ່ລະຫັດທີ່ເປັນອັນຕະລາຍ.

ກິ່ນຫອມທົ່ວໄປ

ການວິເຄາະຫນຶ່ງຂອງຊື່ໂດເມນທີ່ກ່ຽວຂ້ອງກັບໂຄງສ້າງພື້ນຖານ ReactGet sniffer ໄດ້ເປີດເຜີຍວ່າຜູ້ໃຊ້ດຽວກັນໄດ້ລົງທະບຽນສາມຊື່ໂດເມນອື່ນໆ. ສາມໂດເມນເຫຼົ່ານີ້ imitated ໂດເມນຂອງເວັບໄຊທ໌ທີ່ແທ້ຈິງແລະຖືກນໍາໃຊ້ໃນເມື່ອກ່ອນເປັນເຈົ້າພາບ sniffers. ເມື່ອວິເຄາະລະຫັດຂອງສາມເວັບໄຊທ໌ທີ່ຖືກຕ້ອງ, ມີການກວດພົບ sniffer ທີ່ບໍ່ຮູ້ຈັກ, ແລະການວິເຄາະເພີ່ມເຕີມໄດ້ສະແດງໃຫ້ເຫັນວ່າມັນເປັນສະບັບປັບປຸງຂອງ ReactGet sniffer. ທຸກໆລຸ້ນທີ່ຕິດຕາມຜ່ານມາຂອງ sniffers ຄອບຄົວນີ້ແມ່ນແນໃສ່ລະບົບການຈ່າຍເງິນດຽວ, ນັ້ນແມ່ນ, ແຕ່ລະລະບົບການຈ່າຍເງິນຕ້ອງມີລຸ້ນພິເສດຂອງ sniffer. ຢ່າງໃດກໍຕາມ, ໃນກໍລະນີນີ້, ສະບັບທົ່ວໄປຂອງ sniffer ໄດ້ຖືກຄົ້ນພົບທີ່ສາມາດລັກຂໍ້ມູນຈາກແບບຟອມທີ່ກ່ຽວຂ້ອງກັບ 15 ລະບົບການຈ່າຍເງິນທີ່ແຕກຕ່າງກັນແລະໂມດູນຂອງສະຖານທີ່ e-commerce ສໍາລັບການຈ່າຍເງິນອອນໄລນ໌.

ດັ່ງນັ້ນ, ໃນຕອນເລີ່ມຕົ້ນຂອງການເຮັດວຽກ, sniffer ໄດ້ຄົ້ນຫາແບບຟອມພື້ນຖານທີ່ມີຂໍ້ມູນສ່ວນຕົວຂອງຜູ້ຖືກເຄາະຮ້າຍ: ຊື່ເຕັມ, ທີ່ຢູ່ທາງດ້ານຮ່າງກາຍ, ເບີໂທລະສັບ.

ຫຼັງຈາກນັ້ນ, sniffer ໄດ້ຄົ້ນຫາຫຼາຍກວ່າ 15 ຄໍານໍາຫນ້າທີ່ແຕກຕ່າງກັນທີ່ສອດຄ້ອງກັນກັບລະບົບການຈ່າຍເງິນທີ່ແຕກຕ່າງກັນແລະໂມດູນການຈ່າຍເງິນອອນໄລນ໌.

ຕໍ່ໄປ, ຂໍ້ມູນສ່ວນຕົວຂອງຜູ້ຖືກເຄາະຮ້າຍແລະຂໍ້ມູນການຈ່າຍເງິນໄດ້ຖືກລວບລວມຮ່ວມກັນແລະຖືກສົ່ງໄປຫາເວັບໄຊທ໌ທີ່ຄວບຄຸມໂດຍຜູ້ໂຈມຕີ: ໃນກໍລະນີນີ້, ສອງຮຸ່ນຂອງ universal ReactGet sniffer ໄດ້ຖືກຄົ້ນພົບ, ຕັ້ງຢູ່ໃນສອງເວັບໄຊທ໌ hacked ທີ່ແຕກຕ່າງກັນ. ຢ່າງໃດກໍຕາມ, ທັງສອງສະບັບໄດ້ສົ່ງຂໍ້ມູນຖືກລັກໄປເວັບໄຊທ໌ hacked ດຽວກັນ zoobashop.com.

ການວິເຄາະຄໍານໍາຫນ້າທີ່ sniffer ໃຊ້ເພື່ອຊອກຫາຊ່ອງຂໍ້ມູນທີ່ມີຂໍ້ມູນການຈ່າຍເງິນຂອງຜູ້ຖືກເຄາະຮ້າຍອະນຸຍາດໃຫ້ພວກເຮົາກໍານົດວ່າຕົວຢ່າງ sniffer ນີ້ມີຈຸດປະສົງໃນລະບົບການຈ່າຍເງິນຕໍ່ໄປນີ້:

• Authorize.Net
• Verisign
• ຂໍ້ມູນ ທຳ ອິດ
• USAePay
• ເສັ້ນດ່າງ
• PayPal
• ANZ eGate
• Braintree
• DataCash (ບັດ MasterCard)
• ການຈ່າຍເງິນ Realex
• PsiGate
• ລະບົບການຈ່າຍເງິນ Heartland

ເຄື່ອງມືໃດທີ່ໃຊ້ເພື່ອລັກຂໍ້ມູນການຈ່າຍເງິນ?

ເຄື່ອງມືທໍາອິດ, ຄົ້ນພົບໃນລະຫວ່າງການວິເຄາະໂຄງສ້າງພື້ນຖານຂອງຜູ້ໂຈມຕີ, ຖືກນໍາໃຊ້ເພື່ອເຮັດໃຫ້ສັບສົນ scripts malicious ທີ່ຮັບຜິດຊອບສໍາລັບການລັກຂອງບັດທະນາຄານ. script bash ທີ່ໃຊ້ CLI ຂອງໂຄງການໄດ້ຖືກຄົ້ນພົບຢູ່ໃນຫນຶ່ງໃນ host ຂອງຜູ້ໂຈມຕີ javascript-obfuscator ເພື່ອອັດຕະໂນມັດ obfuscation ຂອງລະຫັດ sniffer.

ເຄື່ອງມືທີ່ຄົ້ນພົບຄັ້ງທີສອງຖືກອອກແບບເພື່ອສ້າງລະຫັດທີ່ຮັບຜິດຊອບສໍາລັບການໂຫຼດ sniffer ຕົ້ນຕໍ. ເຄື່ອງມືນີ້ສ້າງລະຫັດ JavaScript ທີ່ກວດເບິ່ງວ່າຜູ້ໃຊ້ຢູ່ໃນຫນ້າການຈ່າຍເງິນໂດຍການຊອກຫາທີ່ຢູ່ປັດຈຸບັນຂອງຜູ້ໃຊ້ສໍາລັບສະຕຣິງ. ກວດ​ເບິ່ງ, ໂຄງ​ຮ່າງ​ການ ແລະອື່ນໆ, ແລະຖ້າຜົນໄດ້ຮັບໃນທາງບວກ, ຫຼັງຈາກນັ້ນລະຫັດຈະໂຫລດ sniffer ຕົ້ນຕໍຈາກເຄື່ອງແມ່ຂ່າຍຂອງຜູ້ໂຈມຕີ. ເພື່ອເຊື່ອງກິດຈະກໍາທີ່ເປັນອັນຕະລາຍ, ທຸກສາຍ, ລວມທັງສາຍການທົດສອບສໍາລັບການກໍານົດຫນ້າການຈ່າຍເງິນ, ເຊັ່ນດຽວກັນກັບການເຊື່ອມຕໍ່ກັບ sniffer, ຖືກເຂົ້າລະຫັດໂດຍໃຊ້ ຖານ 64.

ການໂຈມຕີ phishing

ການວິເຄາະໂຄງສ້າງເຄືອຂ່າຍຂອງຜູ້ໂຈມຕີເປີດເຜີຍວ່າກຸ່ມອາດຊະຍາກອນມັກໃຊ້ຟິດຊິງເພື່ອເຂົ້າເຖິງຄະນະບໍລິຫານຂອງຮ້ານອອນໄລນ໌ເປົ້າໝາຍ. ຜູ້ໂຈມຕີລົງທະບຽນໂດເມນທີ່ມີລັກສະນະຄ້າຍຄືກັນກັບໂດເມນຂອງຮ້ານ, ແລະຫຼັງຈາກນັ້ນນໍາໃຊ້ແບບຟອມການເຂົ້າສູ່ລະບົບກະດານບໍລິຫານ Magento ປອມໃສ່ມັນ. ຖ້າປະສົບຜົນສໍາເລັດ, ຜູ້ໂຈມຕີຈະໄດ້ຮັບການເຂົ້າເຖິງກະດານບໍລິຫານຂອງ Magento CMS, ເຊິ່ງເຮັດໃຫ້ພວກເຂົາມີໂອກາດທີ່ຈະແກ້ໄຂອົງປະກອບຂອງເວັບໄຊທ໌ແລະປະຕິບັດ sniffer ເພື່ອລັກຂໍ້ມູນບັດເຄຣດິດ.

ພື້ນຖານໂຄງລ່າງ

ເພີ່ມເຕີມ	ວັນທີຂອງການຄົ້ນພົບ/ການປະກົດຕົວ
mediapack.info	04.05.2017
adsgetapi.com	15.06.2017
simcounter.com	14.08.2017
mageanalytics.com	22.12.2017
maxstatics.com	16.01.2018
reactjsapi.com	19.01.2018
mxcounter.com	02.02.2018
apitstatus.com	01.03.2018
orderracker.com	20.04.2018
tagstracking.com	25.06.2018
adsapigate.com	12.07.2018
trust-tracker.com	15.07.2018
fbstatspartner.com	02.10.2018
billgetstatus.com	12.10.2018
www.aldenmlilhouse.com	20.10.2018
balletbeautlful.com	20.10.2018
bargalnjunkie.com	20.10.2018
payselector.com	21.10.2018
tagsmediaget.com	02.11.2018
hs-payments.com	16.11.2018
ordercheckpays.com	19.11.2018
geisseie.com	24.11.2018
gtmproc.com	29.11.2018
livegetpay.com	18.12.2018
sydneysalonsupplies.com	18.12.2018
newrelicnet.com	19.12.2018
nr-public.com	03.01.2019
cloudodesc.com	04.01.2019
ajaxstatic.com	11.01.2019
livecheckpay.com	21.01.2019
asianfoodgracer.com	25.01.2019

ຄອບຄົວ G-Analytics

ຄອບຄົວຂອງ sniffers ນີ້ຖືກນໍາໃຊ້ເພື່ອລັກບັດລູກຄ້າຈາກຮ້ານຄ້າອອນໄລນ໌. ຊື່ໂດເມນທໍາອິດທີ່ໃຊ້ໂດຍກຸ່ມໄດ້ຖືກລົງທະບຽນໃນເດືອນເມສາ 2016, ເຊິ່ງອາດຈະຊີ້ໃຫ້ເຫັນວ່າກຸ່ມດັ່ງກ່າວໄດ້ເລີ່ມຕົ້ນກິດຈະກໍາໃນກາງປີ 2016.

ໃນແຄມເປນໃນປະຈຸບັນ, ກຸ່ມໃຊ້ຊື່ໂດເມນທີ່ຮຽນແບບການບໍລິການຊີວິດຈິງ, ເຊັ່ນ Google Analytics ແລະ jQuery, ກວມເອົາກິດຈະກໍາຂອງ sniffers ທີ່ມີສະຄິບທີ່ຖືກຕ້ອງແລະຊື່ໂດເມນທີ່ຄ້າຍຄືກັບທີ່ຖືກຕ້ອງ. ເວັບໄຊທີ່ໃຊ້ Magento CMS ຖືກໂຈມຕີ.

ວິທີການ G-Analytics ຖືກປະຕິບັດເຂົ້າໃນລະຫັດຂອງຮ້ານອອນໄລນ໌

ລັກສະນະທີ່ໂດດເດັ່ນຂອງຄອບຄົວນີ້ແມ່ນການໃຊ້ວິທີການຕ່າງໆເພື່ອລັກຂໍ້ມູນການຈ່າຍເງິນຂອງຜູ້ໃຊ້. ນອກເຫນືອຈາກການສີດລະຫັດ JavaScript ຄລາສສິກເຂົ້າໄປໃນຝ່າຍລູກຄ້າຂອງເວັບໄຊທ໌, ກຸ່ມອາຊະຍາກໍາຍັງໄດ້ໃຊ້ເຕັກນິກການສີດລະຫັດເຂົ້າໄປໃນເຄື່ອງແມ່ຂ່າຍຂອງເວັບໄຊທ໌, ຄື PHP scripts ທີ່ດໍາເນີນການຂໍ້ມູນຜູ້ໃຊ້ເຂົ້າ. ເຕັກນິກນີ້ແມ່ນອັນຕະລາຍເພາະວ່າມັນເຮັດໃຫ້ມັນຍາກສໍາລັບນັກຄົ້ນຄວ້າພາກສ່ວນທີສາມທີ່ຈະກວດພົບລະຫັດທີ່ເປັນອັນຕະລາຍ. ຜູ້ຊ່ຽວຊານກຸ່ມ-IB ຄົ້ນພົບສະບັບຂອງ sniffer ທີ່ຝັງຢູ່ໃນລະຫັດ PHP ຂອງເວັບໄຊທ໌, ໂດຍໃຊ້ໂດເມນເປັນປະຕູ. dittm.org.

ມີການຄົ້ນພົບ sniffer ລຸ້ນຕົ້ນໆທີ່ໃຊ້ໂດເມນດຽວກັນເພື່ອເກັບກຳຂໍ້ມູນທີ່ຖືກລັກ dittm.org, ແຕ່ສະບັບນີ້ແມ່ນມີຈຸດປະສົງສໍາລັບການຕິດຕັ້ງຂ້າງລູກຄ້າຂອງຮ້ານອອນໄລນ໌.

ຕໍ່ມາກຸ່ມດັ່ງກ່າວໄດ້ປ່ຽນຍຸດທະວິທີ ແລະເລີ່ມສຸມໃສ່ການປິດບັງການເຄື່ອນໄຫວທີ່ເປັນອັນຕະລາຍ ແລະ ການປິດບັງຕົວຫຼາຍຂຶ້ນ.

ໃນຕອນຕົ້ນຂອງ 2017, ກຸ່ມໄດ້ເລີ່ມຕົ້ນການນໍາໃຊ້ໂດເມນ jquery-js.com, masquerading ເປັນ CDN ສໍາລັບ jQuery: ເມື່ອໄປຫາເວັບໄຊທ໌ຂອງຜູ້ໂຈມຕີ, ຜູ້ໃຊ້ຖືກໂອນໄປຫາເວັບໄຊທ໌ທີ່ຖືກຕ້ອງ. jquery.com.

ແລະໃນກາງປີ 2018, ກຸ່ມໄດ້ຮັບຮອງເອົາຊື່ໂດເມນ g-analytics.com ແລະໄດ້ເລີ່ມຕົ້ນທີ່ຈະປອມຕົວກິດຈະກໍາຂອງ sniffer ເປັນບໍລິການ Google Analytics ທີ່ຖືກຕ້ອງ.

ການວິເຄາະສະບັບ

ໃນລະຫວ່າງການວິເຄາະໂດເມນທີ່ໃຊ້ໃນການເກັບຮັກສາລະຫັດ sniffer, ມັນພົບເຫັນວ່າເວັບໄຊທ໌ມີຈໍານວນສະບັບຈໍານວນຫລາຍ, ເຊິ່ງແຕກຕ່າງກັນໃນການສະແດງຂອງ obfuscation, ເຊັ່ນດຽວກັນກັບການມີຫຼືບໍ່ມີລະຫັດທີ່ບໍ່ສາມາດເຂົ້າຫາໄດ້ເພີ່ມໃສ່ໄຟລ໌ເພື່ອລົບກວນຄວາມສົນໃຈ. ແລະເຊື່ອງລະຫັດທີ່ເປັນອັນຕະລາຍ.

ລວມຢູ່ໃນເວັບໄຊທ໌້ jquery-js.com ຫົກລຸ້ນຂອງ sniffers ໄດ້ຖືກກໍານົດ. sniffers ເຫຼົ່ານີ້ສົ່ງຂໍ້ມູນທີ່ຖືກລັກໄປຫາທີ່ຢູ່ທີ່ຢູ່ໃນເວັບໄຊທ໌ດຽວກັນກັບ sniffer ຕົວຂອງມັນເອງ: hxxps://jquery-js[.]com/latest/jquery.min.js:

• hxxps://jquery-js[.]com/jquery.min.js
• hxxps://jquery-js[.]com/jquery.2.2.4.min.js
• hxxps://jquery-js[.]com/jquery.1.8.3.min.js
• hxxps://jquery-js[.]com/jquery.1.6.4.min.js
• hxxps://jquery-js[.]com/jquery.1.4.4.min.js
• hxxps://jquery-js[.]com/jquery.1.12.4.min.js

ໂດເມນຕໍ່ມາ g-analytics.com, ໃຊ້ໂດຍກຸ່ມໃນການໂຈມຕີຕັ້ງແຕ່ກາງປີ 2018, ເປັນບ່ອນເກັບມ້ຽນ ສຳ ລັບຜູ້ດື້ມຫຼາຍ. ໃນຈໍານວນທັງຫມົດ, 16 ຮຸ່ນທີ່ແຕກຕ່າງກັນຂອງ sniffer ໄດ້ຖືກຄົ້ນພົບ. ໃນກໍລະນີນີ້, ປະຕູສໍາລັບການສົ່ງຂໍ້ມູນທີ່ຖືກລັກໄດ້ຖືກປອມຕົວເປັນການເຊື່ອມຕໍ່ກັບຮູບແບບຮູບພາບ GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:

• hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
• hxxps://g-analytics[.]com/libs/analytics.js

ການສ້າງລາຍໄດ້ຂອງຂໍ້ມູນຖືກລັກ

ກຸ່ມອາດຊະຍາກຳສ້າງລາຍຮັບຈາກຂໍ້ມູນທີ່ຖືກລັກໄປໂດຍການຂາຍບັດຜ່ານຮ້ານຄ້າໃຕ້ດິນທີ່ສ້າງຂຶ້ນສະເພາະທີ່ໃຫ້ບໍລິການແກ່ຜູ້ອອກບັດ. ການວິເຄາະໂດເມນທີ່ໃຊ້ໂດຍຜູ້ໂຈມຕີໄດ້ອະນຸຍາດໃຫ້ພວກເຮົາກໍານົດວ່າ google-analytics.cm ຖືກລົງທະບຽນໂດຍຜູ້ໃຊ້ດຽວກັນກັບໂດເມນ cardz.vc. ໂດເມນ cardz.vc ຫມາຍເຖິງຮ້ານຂາຍບັດທະນາຄານທີ່ຖືກລັກ Cardsurfs (Flysurfs), ເຊິ່ງໄດ້ຮັບຄວາມນິຍົມກັບຄືນໄປບ່ອນໃນຍຸກຂອງກິດຈະກໍາຂອງເວທີການຄ້າໃຕ້ດິນ AlphaBay ເປັນຮ້ານຂາຍບັດທະນາຄານຖືກລັກໂດຍໃຊ້ sniffer.

ການວິເຄາະໂດເມນ analytical.is, ຕັ້ງຢູ່ໃນເຄື່ອງແມ່ຂ່າຍດຽວກັນກັບໂດເມນທີ່ໃຊ້ໂດຍ sniffers ເພື່ອເກັບກໍາຂໍ້ມູນທີ່ຖືກລັກ, ຜູ້ຊ່ຽວຊານ Group-IB ໄດ້ຄົ້ນພົບໄຟລ໌ທີ່ມີບັນທຶກ cookie stealer, ເຊິ່ງເບິ່ງຄືວ່າໄດ້ຖືກປະຖິ້ມໂດຍຜູ້ພັດທະນາໃນພາຍຫລັງ. ຫນຶ່ງໃນລາຍການໃນບັນທຶກມີໂດເມນ iozoz.com, ເຊິ່ງໄດ້ຖືກນໍາໃຊ້ໃນເມື່ອກ່ອນຢູ່ໃນຫນຶ່ງໃນ sniffers ທີ່ມີການເຄື່ອນໄຫວໃນປີ 2016. ສົມມຸດວ່າ, ໂດເມນນີ້ຖືກໃຊ້ກ່ອນໜ້ານີ້ໂດຍຜູ້ໂຈມຕີເພື່ອເກັບເອົາບັດທີ່ຖືກລັກໄປໂດຍໃຊ້ເຄື່ອງດົມເບີ. ໂດເມນນີ້ຖືກລົງທະບຽນກັບທີ່ຢູ່ອີເມວ [email protected], ເຊິ່ງຍັງຖືກນໍາໃຊ້ເພື່ອລົງທະບຽນໂດເມນ cardz.su и cardz.vc, ກ່ຽວຂ້ອງກັບຮ້ານບັດ Cardsurfs.

ອີງ​ຕາມ​ຂໍ້​ມູນ​ທີ່​ໄດ້​ມາ​, ມັນ​ສາ​ມາດ​ສົມ​ມຸດ​ໄດ້​ວ່າ​ຄອບ​ຄົວ G-Analytics ຂອງ sniffers ແລະ​ຮ້ານ​ໃຕ້​ດິນ​ທີ່​ຂາຍ​ບັດ​ທະ​ນາ​ຄານ Cardsurfs ແມ່ນ​ການ​ຄຸ້ມ​ຄອງ​ໂດຍ​ຄົນ​ດຽວ​ກັນ​, ແລະ​ຮ້ານ​ໄດ້​ຖືກ​ນໍາ​ໃຊ້​ເພື່ອ​ຂາຍ​ບັດ​ທະ​ນາ​ຄານ​ຖືກ​ລັກ​ໂດຍ​ການ​ນໍາ​ໃຊ້ sniffer ໄດ້​.

ພື້ນຖານໂຄງລ່າງ

ເພີ່ມເຕີມ	ວັນທີຂອງການຄົ້ນພົບ/ການປະກົດຕົວ
iozoz.com	08.04.2016
dittm.org	10.09.2016
jquery-js.com	02.01.2017
g-analytics.com	31.05.2018
google-analytics.is	21.11.2018
analytical.to	04.12.2018
google-analytics.to	06.12.2018
google-analytics.cm	28.12.2018
analytical.is	28.12.2018
googlc-analytics.cm	17.01.2019

ຄອບຄົວ Illum

Illum ແມ່ນຄອບຄົວຂອງ sniffers ທີ່ໃຊ້ເພື່ອໂຈມຕີຮ້ານຄ້າອອນໄລນ໌ທີ່ແລ່ນ Magento CMS. ນອກເຫນືອຈາກການແນະນໍາລະຫັດທີ່ເປັນອັນຕະລາຍ, ຜູ້ປະຕິບັດການຂອງ sniffer ນີ້ຍັງໃຊ້ການນໍາສະເຫນີແບບຟອມການຈ່າຍເງິນປອມເຕັມທີ່ສົ່ງຂໍ້ມູນໄປຫາປະຕູທີ່ຖືກຄວບຄຸມໂດຍຜູ້ໂຈມຕີ.

ເມື່ອວິເຄາະໂຄງສ້າງເຄືອຂ່າຍທີ່ໃຊ້ໂດຍຜູ້ປະຕິບັດການຂອງ sniffer ນີ້, ຈໍານວນຫລາຍຂອງ scripts malicious, exploits, ຮູບແບບການຈ່າຍເງິນປອມ, ເຊັ່ນດຽວກັນກັບການເກັບກໍາຕົວຢ່າງທີ່ມີ sniffers malicious ຈາກຄູ່ແຂ່ງໄດ້ສັງເກດເຫັນ. ອີງຕາມຂໍ້ມູນກ່ຽວກັບວັນທີຂອງຮູບລັກສະນະຂອງຊື່ໂດເມນທີ່ໃຊ້ໂດຍກຸ່ມ, ມັນສາມາດສົມມຸດວ່າແຄມເປນໄດ້ເລີ່ມຕົ້ນໃນທ້າຍປີ 2016.

ວິທີການ Illum ຖືກປະຕິບັດເຂົ້າໃນລະຫັດຂອງຮ້ານອອນໄລນ໌

ຮຸ່ນທໍາອິດຂອງ sniffer ທີ່ຄົ້ນພົບໄດ້ຖືກຝັງໂດຍກົງເຂົ້າໄປໃນລະຫັດຂອງເວັບໄຊທ໌ທີ່ຖືກທໍາລາຍ. ຂໍ້ມູນທີ່ຖືກລັກໄດ້ຖືກສົ່ງໄປຫາ cdn.illum[.]pw/records.php, ປະຕູໄດ້ຖືກເຂົ້າລະຫັດໂດຍໃຊ້ ຖານ 64.

ຕໍ່ມາ, ມີການຄົ້ນພົບ sniffer ສະບັບຫຸ້ມຫໍ່ທີ່ໃຊ້ປະຕູທີ່ແຕກຕ່າງກັນ - records.nstatistics[.]com/records.php.

ອີງຕາມການ ລາຍງານ Willem de Groot, ເຈົ້າພາບດຽວກັນໄດ້ຖືກນໍາໃຊ້ໃນ sniffer, ເຊິ່ງໄດ້ຖືກປະຕິບັດໃນ ເວັບໄຊທ໌ຮ້ານ, ເປັນເຈົ້າຂອງໂດຍພັກການເມືອງເຢຍລະມັນ CSU.

ການວິເຄາະເວັບໄຊທ໌ຂອງຜູ້ໂຈມຕີ

ຜູ້ຊ່ຽວຊານກຸ່ມ-IB ໄດ້ຄົ້ນພົບແລະວິເຄາະເວັບໄຊທ໌ທີ່ໃຊ້ໂດຍກຸ່ມອາຊະຍາກໍານີ້ເພື່ອເກັບຮັກສາເຄື່ອງມືແລະເກັບກໍາຂໍ້ມູນທີ່ຖືກລັກ.

ໃນບັນດາເຄື່ອງມືທີ່ພົບເຫັນຢູ່ໃນເຄື່ອງແມ່ຂ່າຍຂອງຜູ້ໂຈມຕີແມ່ນສະຄິບແລະການຂູດຮີດສໍາລັບການຂະຫຍາຍສິດທິພິເສດໃນ Linux OS: ຕົວຢ່າງ, Linux Privilege Escalation Check Script ພັດທະນາໂດຍ Mike Czumak, ເຊັ່ນດຽວກັນກັບການຂຸດຄົ້ນສໍາລັບ CVE-2009-1185.

ພວກ​ໂຈມ​ຕີ​ໄດ້​ໃຊ້​ສອງ​ການ​ຂຸດ​ຄົ້ນ​ໂດຍ​ກົງ​ເພື່ອ​ໂຈມ​ຕີ​ຮ້ານ​ຄ້າ​ອອນ​ລາຍ: ຄັ້ງທໍາອິດ ຄວາມສາມາດໃນການໃສ່ລະຫັດອັນຕະລາຍເຂົ້າໄປໃນ core_config_data ໂດຍການຂຸດຄົ້ນ CVE-2016-4010, ຄັ້ງທີສອງ ຂູດຮີດ RCE ຊ່ອງໂຫວ່ໃນ plugins ສໍາລັບ CMS Magento, ອະນຸຍາດໃຫ້ລະຫັດ arbitrary ດໍາເນີນການຢູ່ໃນເຄື່ອງແມ່ຂ່າຍເວັບໄຊຕ໌ທີ່ມີຄວາມສ່ຽງ.

ນອກຈາກນັ້ນ, ໃນລະຫວ່າງການວິເຄາະເຊີຟເວີ, ຕົວຢ່າງຕ່າງໆຂອງ sniffers ແລະແບບຟອມການຈ່າຍເງິນປອມໄດ້ຖືກຄົ້ນພົບ, ຖືກນໍາໃຊ້ໂດຍຜູ້ໂຈມຕີເພື່ອເກັບກໍາຂໍ້ມູນການຈ່າຍເງິນຈາກເວັບໄຊທ໌ທີ່ຖືກແຮັກ. ດັ່ງທີ່ທ່ານສາມາດເຫັນໄດ້ຈາກບັນຊີລາຍຊື່ຂ້າງລຸ່ມນີ້, ບາງສະຄິບໄດ້ຖືກສ້າງຂື້ນເປັນສ່ວນບຸກຄົນສໍາລັບແຕ່ລະເວັບໄຊທ໌ທີ່ຖືກແຮັກ, ໃນຂະນະທີ່ການແກ້ໄຂທົ່ວໄປຖືກນໍາໃຊ້ສໍາລັບ CMS ແລະປະຕູການຈ່າຍເງິນທີ່ແນ່ນອນ. ຕົວຢ່າງ, scripts segapay_standart.js и segapay_onpage.js ອອກແບບມາເພື່ອການຈັດຕັ້ງປະຕິບັດໃນເວັບໄຊໂດຍໃຊ້ Sage Pay gateway.

ລາຍຊື່ສະຄຣິບສຳລັບປະຕູການຈ່າຍເງິນຕ່າງໆ

ສະຄຣິບ	ປະຕູການຈ່າຍເງິນ
sr.illum[.]pw/mjs_special/visiondirect.co.uk.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/topdierenshop.nl.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/tiendalenovo.es.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/pro-bolt.com.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/plae.co.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/ottolenghi.co.uk.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/oldtimecandy.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/mylook.ee.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs_special/luluandsky.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/julep.com.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs_special/gymcompany.es.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/grotekadoshop.nl.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/fushi.co.uk.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/fareastflora.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/compuindia.com.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs/segapay_standart.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/segapay_onpage.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/replace_standart.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs/all_inputs.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/add_inputs_standart.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/magento/payment_standart.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/magento/payment_redirect.js	//payrightnow[.]cf/?payment=
sr.illum[.]pw/magento/payment_redcrypt.js	//payrightnow[.]cf/?payment=
sr.illum[.]pw/magento/payment_forminsite.js	//paymentnow[.]tk/?payment=

ເຈົ້າພາບ Paymentnow[.]tk, ໃຊ້ເປັນປະຕູໃນ script Payment_forminsite.js, ໄດ້ຖືກຄົ້ນພົບເປັນ subjectAltName ໃນຫຼາຍໃບຢັ້ງຢືນທີ່ກ່ຽວຂ້ອງກັບການບໍລິການ CloudFlare. ນອກຈາກນັ້ນ, ເຈົ້າພາບມີສະຄິບ evil.js. ການຕັດສິນໂດຍຊື່ຂອງສະຄິບ, ມັນສາມາດຖືກນໍາໃຊ້ເປັນສ່ວນຫນຶ່ງຂອງການຂຸດຄົ້ນ CVE-2016-4010, ຂອບໃຈທີ່ມັນເປັນໄປໄດ້ທີ່ຈະໃສ່ລະຫັດອັນຕະລາຍເຂົ້າໄປໃນສ່ວນທ້າຍຂອງເວັບໄຊທ໌ທີ່ໃຊ້ CMS Magento. ເຈົ້າພາບໃຊ້ສະຄິບນີ້ເປັນປະຕູ request.requestnet[.]tkການນໍາໃຊ້ໃບຢັ້ງຢືນດຽວກັນກັບເຈົ້າພາບ Paymentnow[.]tk.

ແບບຟອມການຈ່າຍເງິນປອມ

ຮູບຂ້າງລຸ່ມນີ້ສະແດງໃຫ້ເຫັນຕົວຢ່າງຂອງແບບຟອມສໍາລັບການປ້ອນຂໍ້ມູນບັດ. ແບບຟອມນີ້ຖືກໃຊ້ເພື່ອແຊກຊຶມເຂົ້າຮ້ານຄ້າອອນໄລນ໌ ແລະລັກຂໍ້ມູນບັດ.

ຕົວເລກຕໍ່ໄປນີ້ສະແດງໃຫ້ເຫັນຕົວຢ່າງຂອງແບບຟອມການຈ່າຍເງິນ PayPal ປອມທີ່ຖືກນໍາໃຊ້ໂດຍຜູ້ໂຈມຕີເພື່ອແຊກຊຶມເຂົ້າໄປໃນເວັບໄຊທ໌ດ້ວຍວິທີການຊໍາລະເງິນນີ້.

ພື້ນຖານໂຄງລ່າງ

ເພີ່ມເຕີມ	ວັນທີຂອງການຄົ້ນພົບ/ການປະກົດຕົວ
cdn.illum.pw	27/11/2016
records.nstatistics.com	06/09/2018
request.payrightnow.cf	25/05/2018
Paymentnow.tk	16/07/2017
Payment-line.tk	01/03/2018
paypal.cf	04/09/2017
requestnet.tk	28/06/2017

ຄອບ​ຄົວ CoffeeMokko

ເຄື່ອງດືມຂອງຄອບຄົວ CoffeMokko, ອອກແບບມາເພື່ອລັກເອົາບັດທະນາຄານຈາກຜູ້ໃຊ້ຮ້ານອອນໄລນ໌, ໄດ້ນຳໃຊ້ຕັ້ງແຕ່ເດືອນພຶດສະພາ 2017 ເປັນຕົ້ນມາ. ສົມມຸດວ່າ, ຜູ້ປະຕິບັດການຂອງຄອບຄົວຂອງ sniffers ນີ້ແມ່ນກຸ່ມອາຊະຍາກໍາ 1, ອະທິບາຍໂດຍຜູ້ຊ່ຽວຊານ RiskIQ ໃນປີ 2016. ເວັບໄຊທີ່ໃຊ້ CMS ເຊັ່ນ Magento, OpenCart, WordPress, osCommerce, ແລະ Shopify ໄດ້ຖືກໂຈມຕີ.

CoffeMokko ຖືກປະຕິບັດເຂົ້າໃນລະຫັດຂອງຮ້ານອອນໄລນ໌ແນວໃດ

ຜູ້ປະຕິບັດການຂອງຄອບຄົວນີ້ສ້າງ sniffers ເປັນເອກະລັກສໍາລັບການຕິດເຊື້ອແຕ່ລະຄົນ: ໄຟລ໌ sniffer ຢູ່ໃນໄດເລກະທໍລີ src ຫຼື js ຢູ່ໃນເຊີບເວີຂອງຜູ້ໂຈມຕີ. ການລວມເຂົ້າລະຫັດເວັບໄຊທ໌ແມ່ນດໍາເນີນໂດຍຜ່ານການເຊື່ອມຕໍ່ໂດຍກົງກັບ sniffer.

ລະຫັດ sniffer hardcodes ຊື່ຂອງຊ່ອງແບບຟອມທີ່ຂໍ້ມູນຕ້ອງການທີ່ຈະຖືກລັກ. sniffer ຍັງກວດເບິ່ງວ່າຜູ້ໃຊ້ຢູ່ໃນຫນ້າການຈ່າຍເງິນໂດຍການກວດສອບລາຍຊື່ຄໍາທີ່ໃຊ້ກັບທີ່ຢູ່ປັດຈຸບັນຂອງຜູ້ໃຊ້.

ບາງສະບັບທີ່ຄົ້ນພົບຂອງ sniffer ໄດ້ຖືກເຮັດໃຫ້ສັບສົນແລະມີສາຍເຂົ້າລະຫັດທີ່ array ຕົ້ນຕໍຂອງຊັບພະຍາກອນໄດ້ຖືກເກັບຮັກສາໄວ້: ມັນມີຊື່ຂອງຊ່ອງແບບຟອມສໍາລັບລະບົບການຈ່າຍເງິນຕ່າງໆ, ເຊັ່ນດຽວກັນກັບທີ່ຢູ່ປະຕູທີ່ຂໍ້ມູນທີ່ຖືກລັກຄວນຈະຖືກສົ່ງ.

ຂໍ້ມູນການຈ່າຍເງິນທີ່ຖືກລັກໄດ້ຖືກສົ່ງໄປຫາສະຄຣິບຢູ່ໃນເຊີບເວີຂອງຜູ້ໂຈມຕີຢູ່ຕາມທາງ /savePayment/index.php ຫຼື /tr/index.php. ສົມມຸດວ່າ, script ນີ້ຖືກນໍາໃຊ້ເພື່ອສົ່ງຂໍ້ມູນຈາກປະຕູໄປຫາເຄື່ອງແມ່ຂ່າຍຕົ້ນຕໍ, ເຊິ່ງລວບລວມຂໍ້ມູນຈາກ sniffers ທັງຫມົດ. ເພື່ອເຊື່ອງຂໍ້ມູນທີ່ຖືກສົ່ງຜ່ານ, ຂໍ້ມູນການຈ່າຍເງິນທັງຫມົດຂອງຜູ້ຖືກເຄາະຮ້າຍຈະຖືກເຂົ້າລະຫັດໂດຍໃຊ້ ຖານ 64, ແລະ​ຫຼັງ​ຈາກ​ນັ້ນ​ການ​ທົດ​ແທນ​ຕົວ​ອັກ​ສອນ​ຈໍາ​ນວນ​ຫນຶ່ງ​ເກີດ​ຂຶ້ນ​:

• ຕົວອັກສອນ "e" ຖືກແທນທີ່ດ້ວຍ ":"
• ສັນຍາລັກ "w" ຖືກແທນທີ່ດ້ວຍ "+"
• ຕົວອັກສອນ "o" ຖືກແທນທີ່ດ້ວຍ "%"
• ຕົວອັກສອນ "d" ຖືກແທນທີ່ດ້ວຍ "#"
• ຕົວອັກສອນ "a" ຖືກແທນທີ່ດ້ວຍ "-"
• ສັນຍາລັກ "7" ຖືກແທນທີ່ດ້ວຍ "^"
• ຕົວອັກສອນ "h" ຖືກແທນທີ່ດ້ວຍ "_"
• ສັນຍາລັກ "T" ຖືກແທນທີ່ດ້ວຍ "@"
• ຕົວອັກສອນ "0" ຖືກແທນທີ່ດ້ວຍ "/"
• ຕົວອັກສອນ "Y" ຖືກແທນທີ່ດ້ວຍ "*"

ເປັນຜົນມາຈາກການປ່ຽນຕົວອັກສອນທີ່ເຂົ້າລະຫັດໂດຍໃຊ້ ຖານ 64 ຂໍ້ມູນບໍ່ສາມາດຖືກຖອດລະຫັດໄດ້ໂດຍບໍ່ມີການປະຕິບັດການແປງຄືນ.

ນີ້ແມ່ນສິ່ງທີ່ຊິ້ນສ່ວນຂອງລະຫັດ sniffer ທີ່ບໍ່ໄດ້ຖືກເຮັດໃຫ້ສັບສົນຄື:

ການວິເຄາະໂຄງສ້າງພື້ນຖານ

ໃນການໂຄສະນາໃນຕອນຕົ້ນ, ຜູ້ໂຈມຕີໄດ້ລົງທະບຽນຊື່ໂດເມນທີ່ຄ້າຍຄືກັນກັບສະຖານທີ່ຊື້ເຄື່ອງອອນໄລນ໌ທີ່ຖືກຕ້ອງຕາມກົດຫມາຍ. ໂດເມນຂອງພວກເຂົາສາມາດແຕກຕ່າງຈາກຫນຶ່ງທີ່ຖືກຕ້ອງຕາມສັນຍາລັກຫນຶ່ງຫຼື TLD ອື່ນ. ໂດເມນທີ່ລົງທະບຽນໄດ້ຖືກນໍາໃຊ້ເພື່ອເກັບຮັກສາລະຫັດ sniffer, ການເຊື່ອມຕໍ່ທີ່ຝັງຢູ່ໃນລະຫັດຮ້ານ.

ກຸ່ມນີ້ຍັງໄດ້ໃຊ້ຊື່ໂດເມນທີ່ລະນຶກເຖິງປລັກອິນ jQuery ທີ່ນິຍົມ (slickjs[.]org ສໍາລັບເວັບໄຊທ໌ທີ່ໃຊ້ plugin slick.js), ປະຕູການຈ່າຍເງິນ (sagecdn[.]org ສໍາລັບສະຖານທີ່ທີ່ໃຊ້ລະບົບການຈ່າຍເງິນ Sage Pay).

ຕໍ່ມາ, ກຸ່ມດັ່ງກ່າວໄດ້ເລີ່ມຕົ້ນສ້າງໂດເມນທີ່ມີຊື່ບໍ່ມີຫຍັງກ່ຽວຂ້ອງກັບໂດເມນຂອງຮ້ານຫຼືຫົວຂໍ້ຂອງຮ້ານ.

ແຕ່ລະໂດເມນກົງກັນກັບເວັບໄຊທີ່ໄດເລກະທໍລີຖືກສ້າງຂຶ້ນ /js ຫຼື / src. Sniffer scripts ຖືກເກັບໄວ້ໃນໄດເລກະທໍລີນີ້: ຫນຶ່ງ sniffer ສໍາລັບແຕ່ລະການຕິດເຊື້ອໃຫມ່. sniffer ໄດ້ຖືກຝັງຢູ່ໃນລະຫັດເວັບໄຊທ໌ໂດຍຜ່ານການເຊື່ອມຕໍ່ໂດຍກົງ, ແຕ່ໃນກໍລະນີທີ່ຫາຍາກ, ຜູ້ໂຈມຕີໄດ້ດັດແປງຫນຶ່ງໃນໄຟລ໌ເວັບໄຊທ໌ແລະເພີ່ມລະຫັດທີ່ເປັນອັນຕະລາຍກັບມັນ.

ການວິເຄາະລະຫັດ

ສູດການຄິດໄລ່ທໍາອິດ obfuscation

ໃນບາງຕົວຢ່າງທີ່ຄົ້ນພົບຂອງ sniffers ຂອງຄອບຄົວນີ້, ລະຫັດໄດ້ຖືກເຮັດໃຫ້ສັບສົນແລະມີຂໍ້ມູນທີ່ເຂົ້າລະຫັດທີ່ຈໍາເປັນເພື່ອໃຫ້ sniffer ເຮັດວຽກ: ໂດຍສະເພາະ, ທີ່ຢູ່ sniffer gate, ບັນຊີລາຍຊື່ຂອງຊ່ອງແບບຟອມການຈ່າຍເງິນ, ແລະໃນບາງກໍລະນີ, ລະຫັດຂອງປອມ. ແບບຟອມການຈ່າຍເງິນ. ໃນລະຫັດພາຍໃນຟັງຊັນ, ຊັບພະຍາກອນໄດ້ຖືກເຂົ້າລະຫັດໂດຍໃຊ້ XOR ໂດຍຄີທີ່ຖືກຖ່າຍທອດເປັນການໂຕ້ຖຽງກັບຫນ້າທີ່ດຽວກັນ.

ໂດຍການຖອດລະຫັດສະຕຣິງດ້ວຍລະຫັດທີ່ເຫມາະສົມ, ເປັນເອກະລັກສໍາລັບແຕ່ລະຕົວຢ່າງ, ທ່ານສາມາດໄດ້ຮັບສາຍທີ່ມີສາຍທັງຫມົດຈາກລະຫັດ sniffer ແຍກດ້ວຍຕົວແຍກ.

ສູດການຄິດໄລ່ອັນສອງ

ໃນຕົວຢ່າງຕໍ່ມາຂອງ sniffers ຂອງຄອບຄົວນີ້, ກົນໄກ obfuscation ທີ່ແຕກຕ່າງກັນໄດ້ຖືກນໍາໃຊ້: ໃນກໍລະນີນີ້, ຂໍ້ມູນໄດ້ຖືກເຂົ້າລະຫັດໂດຍໃຊ້ສູດການຄິດໄລ່ທີ່ຂຽນດ້ວຍຕົນເອງ. ສະຕຣິງທີ່ບັນຈຸຂໍ້ມູນທີ່ຖືກເຂົ້າລະຫັດທີ່ຈໍາເປັນສໍາລັບ sniffer ເພື່ອປະຕິບັດການໄດ້ຖືກຖ່າຍທອດເປັນການໂຕ້ຖຽງກັບຟັງຊັນການຖອດລະຫັດ.

ການນໍາໃຊ້ browser console, ທ່ານສາມາດຖອດລະຫັດຂໍ້ມູນທີ່ເຂົ້າລະຫັດແລະໄດ້ຮັບ array ທີ່ມີຊັບພະຍາກອນ sniffer.

ການ​ເຊື່ອມ​ຕໍ່​ກັບ​ການ​ໂຈມ​ຕີ MageCart ຕົ້ນ​

ໃນລະຫວ່າງການວິເຄາະຫນຶ່ງໃນໂດເມນທີ່ໃຊ້ໂດຍກຸ່ມເປັນປະຕູເພື່ອເກັບກໍາຂໍ້ມູນຖືກລັກ, ພົບວ່າໂດເມນນີ້ເປັນເຈົ້າພາບໂຄງສ້າງພື້ນຖານສໍາລັບການລັກບັດເຄຣດິດ, ຄືກັນກັບທີ່ກຸ່ມ 1, ຫນຶ່ງໃນກຸ່ມທໍາອິດ,. ຄົ້ນພົບ ໂດຍຜູ້ຊ່ຽວຊານດ້ານ RiskIQ.

ສອງໄຟລ໌ໄດ້ຖືກພົບເຫັນຢູ່ໃນເຈົ້າພາບຂອງຄອບຄົວ CoffeMokko ຂອງ sniffers:

• mage.js — ໄຟລ໌ທີ່ປະກອບດ້ວຍກຸ່ມ 1 sniffer ລະຫັດທີ່ມີທີ່ຢູ່ປະຕູ js-cdn.link
• mag.php — script PHP ຮັບຜິດຊອບໃນການເກັບກຳຂໍ້ມູນທີ່ຖືກລັກໂດຍ sniffer

ເນື້ອໃນຂອງໄຟລ໌ mage.js
ມັນຍັງໄດ້ຖືກກໍານົດວ່າໂດເມນທໍາອິດທີ່ໃຊ້ໂດຍກຸ່ມທີ່ຢູ່ເບື້ອງຫຼັງຂອງຄອບຄົວ sniffers CoffeMokko ໄດ້ຖືກລົງທະບຽນໃນວັນທີ 17 ພຶດສະພາ 2017:

• link-js[.]link
• info-js[.]link
• track-js[.]link
• map-js[.]link
• smart-js[.]link

ຮູບແບບຂອງຊື່ໂດເມນເຫຼົ່ານີ້ກົງກັບຊື່ໂດເມນກຸ່ມ 1 ທີ່ຖືກນໍາໃຊ້ໃນການໂຈມຕີປີ 2016.

ອີງ​ຕາມ​ຂໍ້​ເທັດ​ຈິງ​ທີ່​ໄດ້​ຮັບ​ການ​ຄົ້ນ​ພົບ, ສາ​ມາດ​ຄາດ​ຄະ​ເນ​ວ່າ​ມີ​ການ​ພົວ​ພັນ​ລະ​ຫວ່າງ​ຜູ້​ດໍາ​ເນີນ​ການ​ຂອງ CoffeMokko sniffers ແລະ​ກຸ່ມ​ອາ​ຊະ​ຍາ​ກໍາ 1​. ສົມມຸດວ່າ, ຜູ້ປະກອບການ CoffeMokko ສາມາດກູ້ຢືມເຄື່ອງມືແລະຊອບແວຈາກລຸ້ນກ່ອນຂອງພວກເຂົາເພື່ອລັກບັດ. ແນວໃດກໍ່ຕາມ, ມັນເປັນໄປໄດ້ຫຼາຍກວ່າວ່າກຸ່ມອາຊະຍາກໍາທີ່ຢູ່ເບື້ອງຫຼັງການໃຊ້ເຄື່ອງດູດກິ່ນຂອງຄອບຄົວ CoffeMokko ແມ່ນຄົນດຽວກັນກັບການໂຈມຕີຂອງກຸ່ມ 1. ຫຼັງຈາກການພິມເຜີຍແຜ່ບົດລາຍງານຄັ້ງທໍາອິດກ່ຽວກັບກິດຈະກໍາຂອງກຸ່ມອາຊະຍາກໍາ, ຊື່ໂດເມນທັງຫມົດຂອງພວກເຂົາແມ່ນ. ຖືກສະກັດແລະເຄື່ອງມືໄດ້ຖືກສຶກສາຢ່າງລະອຽດແລະອະທິບາຍ. ກຸ່ມດັ່ງກ່າວໄດ້ຖືກບັງຄັບໃຫ້ຢຸດພັກ, ປັບປຸງເຄື່ອງມືພາຍໃນຂອງຕົນ ແລະຂຽນລະຫັດ sniffer ຄືນໃໝ່ເພື່ອສືບຕໍ່ການໂຈມຕີ ແລະຍັງບໍ່ມີການກວດພົບ.

ພື້ນຖານໂຄງລ່າງ

ເພີ່ມເຕີມ	ວັນທີຂອງການຄົ້ນພົບ/ການປະກົດຕົວ
link-js.link	17.05.2017
info-js.link	17.05.2017
track-js.link	17.05.2017
map-js.link	17.05.2017
smart-js.link	17.05.2017
adorebeauty.org	03.09.2017
security-payment.su	03.09.2017
braincdn.org	04.09.2017
sagecdn.org	04.09.2017
slickjs.org	04.09.2017
oakandfort.org	10.09.2017
citywlnery.org	15.09.2017
dobell.su	04.10.2017
Childrensplayclothing.org	31.10.2017
jewsondirect.com	05.11.2017
shop-rnib.org	15.11.2017
closetlondon.org	16.11.2017
misshaus.org	28.11.2017
battery-force.org	01.12.2017
kik-vape.org	01.12.2017
greatfurnituretradingco.org	02.12.2017
etradesupply.org	04.12.2017
replacemyremote.org	04.12.2017
all-about-sneakers.org	05.12.2017
mage-checkout.org	05.12.2017
nililotan.org	07.12.2017
lamodbighat.net	08.12.2017
walletgear.org	10.12.2017
dahlie.org	12.12.2017
davidsfootwear.org	20.12.2017
blackriverimaging.org	23.12.2017
exrpesso.org	02.01.2018
parks.su	09.01.2018
pmtonline.su	12.01.2018
otocap.org	15.01.2018
christohperward.org	27.01.2018
coffetea.org	31.01.2018
energycoffe.org	31.01.2018
energytea.org	31.01.2018
teacoffe.net	31.01.2018
adaptivecss.org	01.03.2018
coffemokko.com	01.03.2018
londontea.net	01.03.2018
ukcoffe.com	01.03.2018
labbe.biz	20.03.2018
batterynart.com	03.04.2018
btosports.net	09.04.2018
chicksaddlery.net	16.04.2018
paypaypay.org	11.05.2018
ar500arnor.com	26.05.2018
authorizecdn.com	28.05.2018
slickmin.com	28.05.2018
bannerbuzz.info	03.06.2018
kandypens.net	08.06.2018
mylrendyphone.com	15.06.2018
freshchat.info	01.07.2018
3lift.org	02.07.2018
abtasty.net	02.07.2018
mechat.info	02.07.2018
zoplm.com	02.07.2018
zapaljs.com	02.09.2018
foodandcot.com	15.09.2018
freshdepor.com	15.09.2018
swappastore.com	15.09.2018
verywellfitnesse.com	15.09.2018
elegrina.com	18.11.2018
majsurplus.com	19.11.2018
top5value.com	19.11.2018

ແຫຼ່ງຂໍ້ມູນ: www.habr.com