GandrÄ«z visi no mums izmanto tieÅ”saistes veikalu pakalpojumus, kas nozÄ«mÄ, ka agrÄk vai vÄlÄk riskÄjam kļūt par JavaScript sniffer upuriem - Ä«paÅ”u kodu, ko uzbrucÄji ievieto vietnÄ, lai nozagtu bankas karÅ”u datus, adreses, lietotÄju pieteikumvÄrdus un paroles. .
Jau gandrÄ«z 400 000 British Airways mÄjaslapas un mobilÄs aplikÄcijas lietotÄju, kÄ arÄ« sporta giganta FILA un amerikÄÅu biļeÅ”u izplatÄ«tÄja Ticketmaster britu mÄjaslapas apmeklÄtÄjus skÄruÅ”i jau gandrÄ«z XNUMX XNUMX lietotÄju. PayPal, Chase Paymenttech, USAePay, Moneris ā Ŕīs un daudzas citas maksÄjumu sistÄmas tika inficÄtas.
Threat Intelligence Group-IB analÄ«tiÄ·is Viktors Okorokovs stÄsta par to, kÄ smirdÄji iekļūst vietnes kodÄ un nozog maksÄjumu informÄciju, kÄ arÄ« par to, kÄdiem CRM viÅi uzbrÅ«k.
"SlÄptie draudi"
TÄ notika, ka ilgu laiku JS sniffers palika Ärpus antivÄ«rusu analÄ«tiÄ·u redzesloka, un bankas un maksÄjumu sistÄmas tos neuztvÄra kÄ nopietnus draudus. Un pilnÄ«gi veltÄ«gi. Grupas-IB eksperti
SÄ«kÄk pakavÄsimies pie ÄetrÄm pÄtÄ«juma laikÄ pÄtÄ«tajÄm sniferu Ä£imenÄm.
ReactGet ģimene
ReactGet Ä£imenes sniffers izmanto, lai nozagtu bankas karÅ”u datus tieÅ”saistes iepirkÅ”anÄs vietnÄs. Sniffer var strÄdÄt ar lielu skaitu dažÄdu vietnÄ izmantoto maksÄjumu sistÄmu: viena parametra vÄrtÄ«ba atbilst vienai maksÄjumu sistÄmai, un atseviŔķas atklÄtÄs sniffer versijas var izmantot akreditÄcijas datu nozagÅ”anai, kÄ arÄ« bankas karÅ”u datu nozagÅ”anai no maksÄjuma. vairÄku maksÄjumu sistÄmu formas vienlaikus, piemÄram, tÄ sauktais universÄlais sniffer. Tika konstatÄts, ka dažos gadÄ«jumos uzbrucÄji veic pikŔķerÄÅ”anas uzbrukumus tieÅ”saistes veikala administratoriem, lai piekļūtu vietnes administratÄ«vajam panelim.
KampaÅa, kurÄ tika izmantota Ŕī sniferu saime, sÄkÄs 2017. gada maijÄ; tika uzbrukts vietnÄm, kurÄs darbojas CMS un Magento, Bigcommerce un Shopify platformas.
KÄ ReactGet tiek ieviests tieÅ”saistes veikala kodÄ
Papildus āklasiskajaiā skripta ievieÅ”anai, izmantojot saiti, ReactGet snifferu saimes operatori izmanto Ä«paÅ”u tehniku: izmantojot JavaScript kodu, viÅi pÄrbauda, āāvai paÅ”reizÄjÄ adrese, kurÄ atrodas lietotÄjs, atbilst noteiktiem kritÄrijiem. Ä»aunprÄtÄ«gais kods tiks izpildÄ«ts tikai tad, ja apakÅ”virkne atrodas paÅ”reizÄjÄ URL izrakstÄ«Å”anÄs vai viena soļa izrakstÄ«Å”anÄs, viena lapa/, out/onepag, izrakstÄ«Å”anÄs/viens, ckout/viens. TÄdÄjÄdi sniffer kods tiks izpildÄ«ts tieÅ”i tajÄ brÄ«dÄ«, kad lietotÄjs sÄks norÄÄ·inÄties par pirkumiem un ievadÄ«s maksÄjuma informÄciju vietnes veidlapÄ.
Å is sniffer izmanto nestandarta tehniku. CietuÅ”Ä maksÄjums un personas dati tiek apkopoti kopÄ un kodÄti, izmantojot base64, un pÄc tam iegÅ«tÄ virkne tiek izmantota kÄ parametrs, lai nosÅ«tÄ«tu pieprasÄ«jumu uz uzbrucÄja vietni. VisbiežÄk ceļŔ uz vÄrtiem atdarina, piemÄram, JavaScript failu resp.js, data.js un tÄ tÄlÄk, bet tiek izmantotas arÄ« saites uz attÄlu failiem, GIF Šø JPG. ÄŖpatnÄ«ba ir tÄda, ka sniferis izveido attÄla objektu, kura izmÄrs ir 1 x 1 pikselis, un kÄ parametru izmanto iepriekÅ” saÅemto saiti. src AttÄli. Tas ir, lietotÄjam Å”Äds pieprasÄ«jums satiksmÄ izskatÄ«sies kÄ pieprasÄ«jums pÄc parasta attÄla. LÄ«dzÄ«gs paÅÄmiens tika izmantots ImageID sniferu saimÄ. TurklÄt 1 x 1 pikseļa attÄla izmantoÅ”anas paÅÄmiens tiek izmantots daudzos likumÄ«gos tieÅ”saistes analÄ«zes skriptos, kas var arÄ« maldinÄt lietotÄju.
Versiju analīze
ReactGet sniffer operatoru izmantoto aktÄ«vo domÄnu analÄ«ze atklÄja daudzas dažÄdas Ŕīs sniferu Ä£imenes versijas. Versijas atŔķiras ar apmulsuma esamÄ«bu vai neesamÄ«bu, turklÄt katrs sniffer ir paredzÄts noteiktai maksÄjumu sistÄmai, kas apstrÄdÄ bankas karÅ”u maksÄjumus tieÅ”saistes veikaliem. IzŔķirot versijas numuram atbilstoÅ”Ä parametra vÄrtÄ«bu, Group-IB speciÄlisti saÅÄma pilnu pieejamo sniferu variantu sarakstu un pÄc veidlapas lauku nosaukumiem, kurus katrs sniferis meklÄ lapas kodÄ, identificÄja maksÄjumu sistÄmas. uz ko sniferis ir tÄmÄts.
Snifferu saraksts un tiem atbilstoÅ”Äs maksÄjumu sistÄmas
Sniffer URL | MaksÄjumu sistÄma |
---|---|
|
Authorize.Net |
Cardsave | |
|
Authorize.Net |
Authorize.Net | |
|
eWAY Rapid |
Authorize.Net | |
Adyen | |
|
USAePay |
Authorize.Net | |
USAePay | |
|
Authorize.Net |
Moneris | |
USAePay | |
PayPal | |
Sage Pay | |
VeriSign | |
PayPal | |
Svītra | |
|
Realex |
PayPal | |
LinkPoint | |
PayPal | |
PayPal | |
DataCash | |
|
PayPal |
|
Authorize.Net |
|
Authorize.Net |
Authorize.Net | |
Authorize.Net | |
|
VeriSign |
|
Authorize.Net |
Moneris | |
|
Sage Pay |
|
USAePay |
|
Authorize.Net |
|
Authorize.Net |
|
ANZ eGate |
|
Authorize.Net |
|
Moneris |
|
Sage Pay |
Sage Pay | |
|
Chase Paymenttech |
|
Authorize.Net |
|
Adyen |
PsiGate | |
Kiber avots | |
ANZ eGate | |
Realex | |
|
USAePay |
|
Authorize.Net |
|
Authorize.Net |
|
ANZ eGate |
|
PayPal |
|
PayPal |
Realex | |
|
Sage Pay |
|
PayPal |
|
VeriSign |
Authorize.Net | |
|
VeriSign |
Authorize.Net | |
|
ANZ eGate |
PayPal | |
Kiber avots | |
|
Authorize.Net |
|
Sage Pay |
Realex | |
|
Kiber avots |
PayPal | |
PayPal | |
|
PayPal |
|
VeriSign |
|
eWAY Rapid |
|
Sage Pay |
Sage Pay | |
|
VeriSign |
Authorize.Net | |
Authorize.Net | |
|
PirmÄ datu globÄlÄ vÄrteja |
Authorize.Net | |
Authorize.Net | |
Moneris | |
|
Authorize.Net |
|
PayPal |
|
VeriSign |
|
USAePay |
USAePay | |
Authorize.Net | |
VeriSign | |
PayPal | |
|
Authorize.Net |
Svītra | |
|
Authorize.Net |
eWAY Rapid | |
|
Sage Pay |
Authorize.Net | |
|
Braintree |
|
Braintree |
|
PayPal |
|
Sage Pay |
|
Sage Pay |
|
Authorize.Net |
|
PayPal |
|
Authorize.Net |
VeriSign | |
|
PayPal |
|
Authorize.Net |
|
Svītra |
|
Authorize.Net |
eWAY Rapid | |
Sage Pay | |
|
Authorize.Net |
Braintree | |
|
PayPal |
|
Sage Pay |
Sage Pay | |
|
Authorize.Net |
PayPal | |
Authorize.Net | |
|
VeriSign |
|
Authorize.Net |
|
Authorize.Net |
|
Authorize.Net |
|
Authorize.Net |
|
Sage Pay |
Sage Pay | |
|
Westpac PayWay |
|
PayFort |
|
PayPal |
|
Authorize.Net |
|
Svītra |
|
PirmÄ datu globÄlÄ vÄrteja |
|
PsiGate |
Authorize.Net | |
Authorize.Net | |
|
Moneris |
|
Authorize.Net |
Sage Pay | |
|
VeriSign |
Moneris | |
PayPal | |
|
LinkPoint |
|
Westpac PayWay |
Authorize.Net | |
|
Moneris |
|
PayPal |
Adyen | |
PayPal | |
Authorize.Net | |
USAePay | |
EBizCharge | |
|
Authorize.Net |
|
VeriSign |
VeriSign | |
Authorize.Net | |
|
PayPal |
|
Moneris |
Authorize.Net | |
|
PayPal |
PayPal | |
Westpac PayWay | |
Authorize.Net | |
|
Authorize.Net |
Sage Pay | |
|
VeriSign |
|
Authorize.Net |
|
PayPal |
|
PayFort |
Kiber avots | |
PayPal Payflow Pro | |
|
Authorize.Net |
|
Authorize.Net |
VeriSign | |
|
Authorize.Net |
|
Authorize.Net |
Sage Pay | |
Authorize.Net | |
|
Svītra |
|
Authorize.Net |
Authorize.Net | |
VeriSign | |
|
PayPal |
Authorize.Net | |
|
Authorize.Net |
Sage Pay | |
|
Authorize.Net |
|
Authorize.Net |
|
PayPal |
|
Krams |
|
PayPal |
Sage Pay | |
VeriSign | |
|
Authorize.Net |
|
Authorize.Net |
|
Svītra |
|
Resnais zebra |
Sage Pay | |
|
Authorize.Net |
PirmÄ datu globÄlÄ vÄrteja | |
|
Authorize.Net |
|
eWAY Rapid |
Adyen | |
|
PayPal |
QuickBooks tirgotÄju pakalpojumi | |
VeriSign | |
|
Sage Pay |
VeriSign | |
|
Authorize.Net |
|
Authorize.Net |
Sage Pay | |
|
Authorize.Net |
|
eWAY Rapid |
Authorize.Net | |
|
ANZ eGate |
|
PayPal |
Kiber avots | |
|
Authorize.Net |
Sage Pay | |
|
Realex |
Kiber avots | |
|
PayPal |
|
PayPal |
|
PayPal |
|
VeriSign |
eWAY Rapid | |
|
Sage Pay |
|
Sage Pay |
|
VeriSign |
Authorize.Net | |
|
Authorize.Net |
|
PirmÄ datu globÄlÄ vÄrteja |
Authorize.Net | |
Authorize.Net | |
|
Moneris |
|
Authorize.Net |
|
PayPal |
Paroles sniferis
Viena no JavaScript snifferu priekÅ”rocÄ«bÄm, kas strÄdÄ vietnes klienta pusÄ, ir to daudzpusÄ«ba: vietnÄ iegultais ļaunprÄtÄ«gais kods var nozagt jebkÄda veida datus, neatkarÄ«gi no tÄ, vai tie ir maksÄjumu dati vai lietotÄja konta pieteikumvÄrds un parole. Grupas IB speciÄlisti atklÄja ReactGet saimei piederoÅ”a snifera paraugu, kas paredzÄts vietnes lietotÄju e-pasta adreÅ”u un paroļu nozagÅ”anai.
Krustojums ar ImageID sniffer
AnalizÄjot vienu no inficÄtajiem veikaliem, tika konstatÄts, ka tÄ vietne ir inficÄta divas reizes: papildus ReactGet Ä£imenes sniffer kaitÄ«gajam kodam tika atklÄts ImageID Ä£imenes sniffer kods. Å Ä« pÄrklÄÅ”anÄs varÄtu bÅ«t pierÄdÄ«jums tam, ka operatori, kas atrodas aiz abiem sniferiem, izmanto lÄ«dzÄ«gas metodes, lai ievadÄ«tu ļaunprÄtÄ«gu kodu.
UniversÄls sniferis
AnalizÄjot vienu no domÄna vÄrdiem, kas saistÄ«ti ar ReactGet sniffer infrastruktÅ«ru, atklÄjÄs, ka tas pats lietotÄjs bija reÄ£istrÄjis trÄ«s citus domÄna nosaukumus. Å ie trÄ«s domÄni atdarinÄja reÄlÄs dzÄ«ves vietÅu domÄnus un iepriekÅ” tika izmantoti snifferu mitinÄÅ”anai. AnalizÄjot trÄ«s likumÄ«gu vietÅu kodu, tika atklÄts nezinÄms sniffer, un turpmÄkÄ analÄ«ze parÄdÄ«ja, ka tÄ ir uzlabota ReactGet sniffer versija. Visas iepriekÅ” uzraudzÄ«tÄs Ŕīs sniferu saimes versijas bija vÄrstas uz vienotu maksÄjumu sistÄmu, tas ir, katrai maksÄjumu sistÄmai bija nepiecieÅ”ama Ä«paÅ”a sniffer versija. TomÄr Å”ajÄ gadÄ«jumÄ tika atklÄta universÄla sniffer versija, kas spÄj nozagt informÄciju no veidlapÄm, kas saistÄ«tas ar 15 dažÄdÄm maksÄjumu sistÄmÄm un e-komercijas vietÅu moduļiem tieÅ”saistes maksÄjumu veikÅ”anai.
TÄtad darba sÄkumÄ sniferis meklÄja pamata formas laukus, kuros bija cietuÅ”Ä personiskÄ informÄcija: pilns vÄrds, fiziskÄ adrese, tÄlruÅa numurs.
PÄc tam sniffer meklÄja vairÄk nekÄ 15 dažÄdus prefiksus, kas atbilst dažÄdÄm maksÄjumu sistÄmÄm un tieÅ”saistes maksÄjumu moduļiem.
PÄc tam tika apkopoti upura personas dati un maksÄjumu informÄcija un nosÅ«tÄ«ta uz vietni, kuru kontrolÄ uzbrucÄjs: Å”ajÄ konkrÄtajÄ gadÄ«jumÄ tika atklÄtas divas universÄlÄ ReactGet sniffer versijas, kas atrodas divÄs dažÄdÄs uzlauztajÄs vietnÄs. TomÄr abas versijas nosÅ«tÄ«ja zagtus datus uz vienu un to paÅ”u uzlauzto vietni zoobashop.com.
Prefiksu analÄ«ze, ko sniferis izmantoja, lai meklÄtu laukus, kuros bija cietuÅ”Ä maksÄjuma informÄcija, ļÄva mums noteikt, ka Å”is snifera paraugs bija paredzÄts Å”ÄdÄm maksÄjumu sistÄmÄm:
- Authorize.Net
- VeriSign
- Pirmie dati
- USAePay
- Svītra
- PayPal
- ANZ eGate
- Braintree
- DataCash (MasterCard)
- Realex maksÄjumi
- PsiGate
- Heartland maksÄjumu sistÄmas
KÄdi rÄ«ki tiek izmantoti maksÄjumu informÄcijas nozagÅ”anai?
Pirmais rÄ«ks, kas atklÄts, analizÄjot uzbrucÄju infrastruktÅ«ru, tiek izmantots, lai aptumÅ”otu ļaunprÄtÄ«gos skriptus, kas ir atbildÄ«gi par bankas karÅ”u zÄdzÄ«bÄm. VienÄ no uzbrucÄja saimniekiem tika atklÄts bash skripts, kas izmanto projekta CLI
Otrais atklÄtais rÄ«ks ir paredzÄts, lai Ä£enerÄtu kodu, kas ir atbildÄ«gs par galvenÄ snifera ielÄdi. Å is rÄ«ks Ä£enerÄ JavaScript kodu, kas pÄrbauda, āāvai lietotÄjs atrodas maksÄjumu lapÄ, meklÄjot virknes lietotÄja paÅ”reizÄjÄ adresÄ. izrakstÄ«Å”anÄs, ratiÅi un tÄ tÄlÄk, un, ja rezultÄts ir pozitÄ«vs, kods ielÄdÄ galveno sniffer no uzbrucÄja servera. Lai paslÄptu ļaunprÄtÄ«gu darbÄ«bu, visas rindas, tostarp pÄrbaudes rindas maksÄjuma lapas noteikÅ”anai, kÄ arÄ« saite uz sniffer, tiek kodÄtas, izmantojot base64.
PikŔķerÄÅ”anas uzbrukumi
UzbrucÄju tÄ«kla infrastruktÅ«ras analÄ«ze atklÄja, ka noziedzÄ«gÄ grupa bieži izmanto pikŔķerÄÅ”anu, lai piekļūtu mÄrÄ·a tieÅ”saistes veikala administratÄ«vajam panelim. UzbrucÄji reÄ£istrÄ domÄnu, kas vizuÄli ir lÄ«dzÄ«gs veikala domÄnam, un pÄc tam izvieto tajÄ viltotu Magento administrÄcijas paneļa pieteikÅ”anÄs veidlapu. Ja tas izdosies, uzbrucÄji iegÅ«s piekļuvi Magento CMS administratÄ«vajam panelim, kas dod viÅiem iespÄju rediÄ£Ät vietnes komponentus un ieviest sniffer, lai nozagtu kredÄ«tkarÅ”u datus.
Infrastruktūra
DomÄna vÄrds | AtklÄÅ”anas/parÄdÄ«Å”anÄs datums |
---|---|
mediapack.info | 04.05.2017 |
adsgetapi.com | 15.06.2017 |
simcounter.com | 14.08.2017 |
mageanalytics.com | 22.12.2017 |
maxstatics.com | 16.01.2018 |
reactjsapi.com | 19.01.2018 |
mxcounter.com | 02.02.2018 |
apitstatus.com | 01.03.2018 |
orderracker.com | 20.04.2018 |
tagstracking.com | 25.06.2018 |
adsapigate.com | 12.07.2018 |
trust-tracker.com | 15.07.2018 |
fbstatspartner.com | 02.10.2018 |
billgetstatus.com | 12.10.2018 |
www.aldenmlilhouse.com | 20.10.2018 |
baletbeautlful.com | 20.10.2018 |
bargalnjunkie.com | 20.10.2018 |
payselector.com | 21.10.2018 |
tagsmediaget.com | 02.11.2018 |
hs-payments.com | 16.11.2018 |
ordercheckpays.com | 19.11.2018 |
geisseie.com | 24.11.2018 |
gtmproc.com | 29.11.2018 |
livegetpay.com | 18.12.2018 |
sydneysalonsupplies.com | 18.12.2018 |
newrelicnet.com | 19.12.2018 |
nr-public.com | 03.01.2019 |
cloudodesc.com | 04.01.2019 |
ajaxstatic.com | 11.01.2019 |
livecheckpay.com | 21.01.2019 |
asianfoodgracer.com | 25.01.2019 |
G-Analytics ģimene
Å Ä« sniferu saime tiek izmantota klientu karÅ”u zagÅ”anai interneta veikalos. Pats pirmais domÄna vÄrds, ko grupa izmantoja, tika reÄ£istrÄts 2016. gada aprÄ«lÄ«, kas var liecinÄt, ka grupa sÄka darbÄ«bu 2016. gada vidÅ«.
PaÅ”reizÄjÄ kampaÅÄ grupa izmanto domÄna nosaukumus, kas atdarina reÄlÄs dzÄ«ves pakalpojumus, piemÄram, Google Analytics un jQuery, maskÄjot snifferu darbÄ«bu ar likumÄ«giem skriptiem un domÄna nosaukumiem, kas ir lÄ«dzÄ«gi likumÄ«giem. Tika uzbrukts vietnÄm, kurÄs darbojas Magento CMS.
KÄ G-Analytics tiek ieviests tieÅ”saistes veikala kodÄ
Å Ä«s Ä£imenes atŔķirÄ«ga iezÄ«me ir dažÄdu metožu izmantoÅ”ana, lai nozagtu lietotÄja maksÄjumu informÄciju. Papildus klasiskajai JavaScript koda ievadÄ«Å”anai vietnes klienta pusÄ noziedzÄ«gÄ grupa izmantoja arÄ« koda ievadÄ«Å”anas metodes vietnes servera pusÄ, proti, PHP skriptus, kas apstrÄdÄ lietotÄja ievadÄ«tos datus. Å is paÅÄmiens ir bÄ«stams, jo tas treÅ”o puÅ”u pÄtniekiem apgrÅ«tina ļaunprÄtÄ«ga koda atklÄÅ”anu. Grupas IB speciÄlisti atklÄja vietnes PHP kodÄ iegultu sniffer versiju, izmantojot domÄnu kÄ vÄrtus. dittm.org.
Tika atklÄta arÄ« agrÄ«na snifera versija, kas izmanto to paÅ”u domÄnu, lai savÄktu nozagtus datus dittm.org, bet Ŕī versija ir paredzÄta uzstÄdÄ«Å”anai tieÅ”saistes veikala klienta pusÄ.
Grupa vÄlÄk mainÄ«ja savu taktiku un sÄka vairÄk koncentrÄties uz ļaunprÄtÄ«gas aktivitÄtes un maskÄÅ”anÄs slÄpÅ”anu.
2017. gada sÄkumÄ grupa sÄka lietot domÄnu jquery-js.com, kas tiek maskÄts kÄ jQuery CDN: dodoties uz uzbrucÄju vietni, lietotÄjs tiek novirzÄ«ts uz likumÄ«gu vietni jquery.com.
Un 2018. gada vidÅ« grupa pieÅÄma domÄna nosaukumu g-analytics.com un sÄka slÄpt snifera darbÄ«bas kÄ likumÄ«gu Google Analytics pakalpojumu.
Versiju analīze
Veicot sniffer koda glabÄÅ”anai izmantoto domÄnu analÄ«zi, tika konstatÄts, ka vietne satur lielu skaitu versiju, kas atŔķiras ar apmulsumu, kÄ arÄ« failam pievienota nesasniedzama koda esamÄ«bu vai neesamÄ«bu, lai novÄrstu uzmanÄ«bu. un paslÄpt kaitÄ«go kodu.
KopÄ vietnÄ jquery-js.com Tika identificÄtas seÅ”as sniferu versijas. Å ie sniferi nosÅ«ta nozagtos datus uz adresi, kas atrodas tajÄ paÅ”Ä vietnÄ, kur atrodas pats snifers: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
VÄlÄk domÄns g-analytics.com, ko grupa izmantoja uzbrukumos kopÅ” 2018. gada vidus, kalpo kÄ krÄtuve lielÄkam skaitam snifferu. KopumÄ tika atklÄtas 16 dažÄdas snifera versijas. Å ajÄ gadÄ«jumÄ vÄrti zagtu datu nosÅ«tÄ«Å”anai tika slÄpti kÄ saite uz attÄla formÄtu GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560Ć1440&vp=2145Ć371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Nozagto datu monetizÄcija
NoziedzÄ«gais grupÄjums nozagtos datus monetizÄ, pÄrdodot kartes caur speciÄli izveidotu pazemes veikalu, kas sniedz pakalpojumus kÄrÄjiem. UzbrucÄju izmantoto domÄnu analÄ«ze ļÄva mums to noteikt google-analytics.cm reÄ£istrÄja tas pats lietotÄjs kÄ domÄnu cardz.vc. DomÄns cardz.vc attiecas uz veikalu, kurÄ pÄrdod zagtas bankas kartes Cardsurfs (Flysurfs), kas popularitÄti ieguva vÄl pagrÄ«des tirdzniecÄ«bas platformas AlphaBay darbÄ«bas laikos kÄ veikals, kurÄ pÄrdod, izmantojot sniferi, nozagtas bankas kartes.
DomÄna analÄ«ze analÄ«tisks.is, kas atrodas tajÄ paÅ”Ä serverÄ«, kur domÄni, ko izmanto sniffers, lai vÄktu zagtus datus, Group-IB speciÄlisti atklÄja failu, kurÄ bija sÄ«kfailu zagÅ”anas žurnÄli, kuru izstrÄdÄtÄjs, Ŕķiet, vÄlÄk pameta. Viens no žurnÄla ierakstiem ietvÄra domÄnu iozoz.com, kas iepriekÅ” tika izmantots vienÄ no sniferiem, kas aktÄ«vi darbojÄs 2016. gadÄ. JÄdomÄ, ka Å”o domÄnu iepriekÅ” izmantoja uzbrucÄjs, lai savÄktu kartÄ«tes, kas nozagtas, izmantojot sniffer. Å is domÄns tika reÄ£istrÄts uz e-pasta adresi [e-pasts aizsargÄts], kas tika izmantota arÄ« domÄnu reÄ£istrÄcijai cardz.su Šø cardz.vc, kas saistÄ«ts ar kÄrÅ”u veikalu Cardsurfs.
Pamatojoties uz iegÅ«tajiem datiem, var pieÅemt, ka G-Analytics sniferu saimi un pazemes veikalu, kas pÄrdod bankas kartes Cardsurfs, pÄrvalda vieni un tie paÅ”i cilvÄki, un veikals tiek izmantots, lai pÄrdotu bankas kartes, kas nozagtas, izmantojot sniferi.
Infrastruktūra
DomÄna vÄrds | AtklÄÅ”anas/parÄdÄ«Å”anÄs datums |
---|---|
iozoz.com | 08.04.2016 |
dittm.org | 10.09.2016 |
jquery-js.com | 02.01.2017 |
g-analytics.com | 31.05.2018 |
google-analytics.is | 21.11.2018 |
analītisks.to | 04.12.2018 |
google-analytics.to | 06.12.2018 |
google-analytics.cm | 28.12.2018 |
analītisks.is | 28.12.2018 |
googlc-analytics.cm | 17.01.2019 |
Illu ģimene
Illum ir sniferu Ä£imene, ko izmanto, lai uzbruktu tieÅ”saistes veikaliem, kuros darbojas Magento CMS. Papildus ļaunprÄtÄ«ga koda ievieÅ”anai Ŕī sniffer operatori izmanto arÄ« pilnvÄrtÄ«gu viltotu maksÄjumu veidlapu ievieÅ”anu, kas nosÅ«ta datus uz uzbrucÄju kontrolÄtiem vÄrtiem.
AnalizÄjot tÄ«kla infrastruktÅ«ru, ko izmanto Ŕī sniffer operatori, tika atzÄ«mÄts liels skaits ļaunprÄtÄ«gu skriptu, ļaunprÄtÄ«gu izmantoÅ”anu, viltotu maksÄjumu veidlapu, kÄ arÄ« piemÄru kolekcija ar konkurentu ļaunprÄtÄ«giem snifferiem. Balstoties uz informÄciju par grupas izmantoto domÄna vÄrdu parÄdÄ«Å”anÄs datumiem, var pieÅemt, ka kampaÅa sÄkÄs 2016. gada beigÄs.
KÄ Illum tiek ieviests tieÅ”saistes veikala kodÄ
PirmÄs atklÄtÄs sniffer versijas tika iegultas tieÅ”i apdraudÄtÄs vietnes kodÄ. Nozagtie dati nosÅ«tÄ«ti uz cdn.illum[.]pw/records.php, vÄrti tika kodÄti, izmantojot base64.
VÄlÄk tika atklÄta iepakotÄ sniffer versija, kas izmanto citus vÄrtus - records.nstatistics[.]com/records.php.
SaskaÅÄ ar
UzbrucÄju vietnes analÄ«ze
Grupas-IB speciÄlisti atklÄja un analizÄja tÄ«mekļa vietni, ko Ŕī noziedzÄ«gÄ grupa izmantoja rÄ«ku glabÄÅ”anai un zagtas informÄcijas vÄkÅ”anai.
Starp uzbrucÄju serverÄ« atrastajiem rÄ«kiem bija skripti un ekspluatÄcijas privilÄÄ£iju palielinÄÅ”anai Linux OS: piemÄram, Maika Äumaka izstrÄdÄtais Linux privilÄÄ£iju eskalÄcijas pÄrbaudes skripts, kÄ arÄ« CVE-2009-1185.
UzbrucÄji izmantoja divus varoÅdarbus tieÅ”i, lai uzbruktu tieÅ”saistes veikaliem:
TÄpat servera analÄ«zes laikÄ tika atklÄti dažÄdi snifferu un viltotu maksÄjumu veidlapu paraugi, kurus uzbrucÄji izmantoja, lai vÄktu informÄciju par maksÄjumiem no uzlauztÄm vietnÄm. KÄ redzams zemÄk esoÅ”ajÄ sarakstÄ, daži skripti tika izveidoti atseviŔķi katrai uzlauztajai vietnei, savukÄrt atseviŔķÄm CMS un maksÄjumu vÄrtejÄm tika izmantots universÄls risinÄjums. PiemÄram, skripti segapay_standart.js Šø segapay_onpage.js paredzÄts ievieÅ”anai vietnÄs, kurÄs tiek izmantota maksÄjumu vÄrteja Sage Pay.
DažÄdu maksÄjumu vÄrteju skriptu saraksts
Skripts | MaksÄjumu vÄrteja |
---|---|
|
//request.payrightnow[.]cf/checkpayment.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
//request.payrightnow[.]cf/checkpayment.php | |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//cdn.illum[.]pw/records.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
//request.payrightnow[.]cf/checkpayment.php | |
|
//cdn.illum[.]pw/records.php |
//payrightnow[.]cf/?payment= | |
|
//payrightnow[.]cf/?payment= |
|
//paymentnow[.]tk/?payment= |
Saimnieks maksÄjums tagad[.]tk, ko izmanto kÄ vÄrti skriptÄ payment_forminsite.js, tika atklÄts kÄ SubjectAltName vairÄkos sertifikÄtos, kas saistÄ«ti ar CloudFlare pakalpojumu. TurklÄt saimniekdatorÄ bija skripts ļaunais.js. Spriežot pÄc skripta nosaukuma, to varÄtu izmantot kÄ daļu no CVE-2016-4010 izmantoÅ”anas, pateicoties kam ir iespÄjams ievadÄ«t ļaunprÄtÄ«gu kodu vietnes, kurÄ darbojas CMS Magento, kÄjenÄ. Saimnieks izmantoja Å”o skriptu kÄ vÄrtus request.requestnet[.]tkizmantojot to paÅ”u sertifikÄtu kÄ saimniekdators maksÄjums tagad[.]tk.
Viltus maksÄjumu veidlapas
ZemÄk redzamajÄ attÄlÄ ir parÄdÄ«ts kartes datu ievadÄ«Å”anas veidlapas piemÄrs. Å Ä« veidlapa tika izmantota, lai iefiltrÄtos tieÅ”saistes veikalÄ un nozagtu karÅ”u datus.
NÄkamajÄ attÄlÄ ir parÄdÄ«ts viltotas PayPal maksÄjuma veidlapas piemÄrs, ko uzbrucÄji izmantoja, lai iefiltrÄtos vietnÄs ar Å”o maksÄjuma veidu.
Infrastruktūra
DomÄna vÄrds | AtklÄÅ”anas/parÄdÄ«Å”anÄs datums |
---|---|
cdn.illum.pw | 27/11/2016 |
records.nstatistics.com | 06/09/2018 |
request.payrightnow.cf | 25/05/2018 |
paymentnow.tk | 16/07/2017 |
maksÄjumu lÄ«nija.tk | 01/03/2018 |
paypal.cf | 04/09/2017 |
requestnet.tk | 28/06/2017 |
CoffeeMokko ģimene
CoffeMokko sniferu saime, kas paredzÄta bankas karÅ”u zagÅ”anai interneta veikala lietotÄjiem, tiek izmantota vismaz kopÅ” 2017. gada maija. JÄdomÄ, ka Ŕīs sniferu saimes operatori ir RiskIQ speciÄlistu 1. gadÄ aprakstÄ«tais noziedzÄ«gais grupÄjums 2016. grupa. Tika uzbruktas vietnÄm, kurÄs darbojas SPS, piemÄram, Magento, OpenCart, WordPress, osCommerce un Shopify.
KÄ CoffeMokko tiek ieviests tieÅ”saistes veikala kodÄ
Å Ä«s Ä£imenes operatori katrai infekcijai izveido unikÄlus sniffers: sniffer fails atrodas direktorijÄ src vai js uzbrucÄju serverÄ«. IekļauÅ”ana vietnes kodÄ tiek veikta, izmantojot tieÅ”u saiti uz sniffer.
Sniffer kods stingri iekodÄ veidlapas lauku nosaukumus, no kuriem ir jÄnozag dati. Sniffer arÄ« pÄrbauda, āāvai lietotÄjs atrodas maksÄjumu lapÄ, pÄrbaudot atslÄgvÄrdu sarakstu ar lietotÄja paÅ”reizÄjo adresi.
Dažas atklÄtÄs sniffer versijas tika aptumÅ”otas un saturÄja Å”ifrÄtu virkni, kurÄ tika glabÄts galvenais resursu masÄ«vs: tajÄ bija dažÄdu maksÄjumu sistÄmu veidlapu lauku nosaukumi, kÄ arÄ« vÄrtu adrese, uz kuru jÄnosÅ«ta nozagtie dati.
NozagtÄ maksÄjuma informÄcija pa ceļam tika nosÅ«tÄ«ta uz skriptu uzbrucÄju serverÄ« /savePayment/index.php vai /tr/index.php. JÄdomÄ, ka Å”is skripts tiek izmantots, lai nosÅ«tÄ«tu datus no vÄrtiem uz galveno serveri, kas apkopo datus no visiem snifferiem. Lai slÄptu pÄrsÅ«tÄ«tos datus, visa upura maksÄjumu informÄcija tiek Å”ifrÄta, izmantojot base64, un tad notiek vairÄkas rakstzÄ«mju aizstÄÅ”anas:
- rakstzÄ«me "e" tiek aizstÄta ar ":"
- simbols "w" tiek aizstÄts ar "+"
- rakstzÄ«me "o" tiek aizstÄta ar "%"
- rakstzÄ«me "d" tiek aizstÄta ar "#"
- rakstzÄ«me "a" tiek aizstÄta ar "-"
- simbolu "7" aizstÄj ar "^"
- rakstzÄ«me "h" tiek aizstÄta ar "_"
- simbolu "T" aizstÄj ar "@"
- rakstzÄ«me "0" tiek aizstÄta ar "/"
- rakstzÄ«me "Y" tiek aizstÄta ar "*"
RakstzÄ«mju aizstÄÅ”anas rezultÄtÄ, kas kodÄta, izmantojot base64 Datus nevar atÅ”ifrÄt, neveicot apgriezto konvertÄÅ”anu.
Å Ädi izskatÄs sniffer koda fragments, kas nav apslÄpts:
Infrastruktūras analīze
SÄkotnÄjÄs kampaÅÄs uzbrucÄji reÄ£istrÄja domÄna nosaukumus, kas ir lÄ«dzÄ«gi likumÄ«gu tieÅ”saistes iepirkÅ”anÄs vietÅu nosaukumiem. ViÅu domÄns var atŔķirties no likumÄ«gÄ ar vienu simbolu vai citu TLD. ReÄ£istrÄtie domÄni tika izmantoti sniffer koda glabÄÅ”anai, saite uz kuru tika iegulta veikala kodÄ.
Å Ä« grupa izmantoja arÄ« domÄna nosaukumus, kas atgÄdina populÄrus jQuery spraudÅus (slickjs[.]org vietnÄm, kurÄs tiek izmantots spraudnis slick.js), maksÄjumu vÄrtejas (sagecdn[.]org vietnÄm, kurÄs tiek izmantota maksÄjumu sistÄma Sage Pay).
VÄlÄk grupa sÄka veidot domÄnus, kuru nosaukumiem nebija nekÄda sakara ar veikala domÄnu vai veikala tÄmu.
Katrs domÄns atbilda vietnei, kurÄ tika izveidots direktorijs /js vai / src. Sniffer skripti tika glabÄti Å”ajÄ direktorijÄ: viens sniffer par katru jaunu infekciju. Sniffer tika iegults vietnes kodÄ, izmantojot tieÅ”u saiti, taÄu retos gadÄ«jumos uzbrucÄji pÄrveidoja kÄdu no vietnes failiem un pievienoja tam ļaunprÄtÄ«gu kodu.
Koda analīze
Pirmais apmulsinÄÅ”anas algoritms
Dažos atklÄtajos Ŕīs Ä£imenes sniferu paraugos kods tika apslÄpts un saturÄja Å”ifrÄtus datus, kas nepiecieÅ”ami, lai snifers darbotos: jo Ä«paÅ”i snifera vÄrtu adrese, maksÄjuma veidlapas lauku saraksts un dažos gadÄ«jumos viltus kods. maksÄjuma forma. Funkcijas kodÄ resursi tika Å”ifrÄti, izmantojot XOR ar atslÄgu, kas tika nodota kÄ arguments tai paÅ”ai funkcijai.
AtÅ”ifrÄjot virkni ar atbilstoÅ”u atslÄgu, kas ir unikÄla katram paraugam, jÅ«s varat iegÅ«t virkni, kurÄ ir visas virknes no sniffer koda, kas atdalÄ«tas ar atdalÄ«Å”anas rakstzÄ«mi.
Otrais apmulsinÄÅ”anas algoritms
VÄlÄkajos Ŕīs Ä£imenes sniferu paraugos tika izmantots cits apmulsinÄÅ”anas mehÄnisms: Å”ajÄ gadÄ«jumÄ dati tika Å”ifrÄti, izmantojot paÅ”rakstÄ«tu algoritmu. Virkne, kas satur Å”ifrÄtus datus, kas nepiecieÅ”ami sniffer darbÄ«bai, tika nodota kÄ arguments atÅ”ifrÄÅ”anas funkcijai.
Izmantojot pÄrlÅ«kprogrammas konsoli, varat atÅ”ifrÄt Å”ifrÄtos datus un iegÅ«t masÄ«vu, kas satur sniffer resursus.
Savienojums ar agrīniem MageCart uzbrukumiem
AnalizÄjot vienu no domÄniem, ko grupa izmantoja kÄ vÄrteju zagtu datu vÄkÅ”anai, tika konstatÄts, ka Å”ajÄ domÄnÄ ir izvietota kredÄ«tkarÅ”u zÄdzÄ«bu infrastruktÅ«ra, kas ir identiska tai, ko izmanto 1. grupa, viena no pirmajÄm grupÄm,
Uz CoffeMokko sniferu ģimenes saimnieka tika atrasti divi faili:
- mage.js ā fails, kas satur 1. grupas sniffer kodu ar vÄrtu adresi js-cdn.link
- mag.php ā PHP skripts, kas atbild par snifera nozagto datu vÄkÅ”anu
Mage.js faila saturs
Tika arÄ« noteikts, ka agrÄkie domÄni, kurus izmantoja CoffeMokko sniferu saimes grupa, tika reÄ£istrÄti 17. gada 2017. maijÄ:
- saite-js[.]saite
- info-js[.]saite
- track-js[.]saite
- map-js[.]saite
- smart-js[.]saite
Å o domÄna nosaukumu formÄts atbilst 1. grupas domÄna nosaukumiem, kas tika izmantoti 2016. gada uzbrukumos.
Pamatojoties uz atklÄtajiem faktiem, var pieÅemt, ka pastÄv saikne starp CoffeMokko sniferu operatoriem un noziedzÄ«go grupÄjumu 1. grupa. JÄdomÄ, ka CoffeMokko operatori varÄtu bÅ«t aizÅÄmuÅ”ies rÄ«kus un programmatÅ«ru no saviem priekÅ”gÄjÄjiem, lai nozagtu kartes. TomÄr, visticamÄk, noziedzÄ«gais grupÄjums aiz CoffeMokko sniferu Ä£imenes izmantoÅ”anas ir tÄs paÅ”as personas, kuras veica 1. grupas uzbrukumus.PÄc pirmÄ ziÅojuma par noziedzÄ«gÄs grupas darbÄ«bÄm publicÄÅ”anas visi viÅu domÄna vÄrdi tika bloÄ·Äta, un instrumenti tika detalizÄti izpÄtÄ«ti un aprakstÄ«ti. Grupa bija spiesta ieturÄt pauzi, pilnveidot savus iekÅ”Äjos rÄ«kus un pÄrrakstÄ«t sniffer kodu, lai turpinÄtu uzbrukumus un paliktu neatklÄta.
Infrastruktūra
DomÄna vÄrds | AtklÄÅ”anas/parÄdÄ«Å”anÄs datums |
---|---|
saite-js.saite | 17.05.2017 |
info-js.link | 17.05.2017 |
track-js.link | 17.05.2017 |
map-js.link | 17.05.2017 |
smart-js.link | 17.05.2017 |
adorebeauty.org | 03.09.2017 |
security-payment.su | 03.09.2017 |
braincdn.org | 04.09.2017 |
sagecdn.org | 04.09.2017 |
slickjs.org | 04.09.2017 |
oakandfort.org | 10.09.2017 |
citywlnery.org | 15.09.2017 |
dobell.su | 04.10.2017 |
childrensplayclothing.org | 31.10.2017 |
jewsondirect.com | 05.11.2017 |
shop-rnib.org | 15.11.2017 |
closetlondon.org | 16.11.2017 |
misshaus.org | 28.11.2017 |
battery-force.org | 01.12.2017 |
kik-vape.org | 01.12.2017 |
Greatfurnituretradingco.org | 02.12.2017 |
etradesupply.org | 04.12.2017 |
aizstÄjietmyremote.org | 04.12.2017 |
all-about-sneakers.org | 05.12.2017 |
mage-checkout.org | 05.12.2017 |
nililotan.org | 07.12.2017 |
lamoodbighat.net | 08.12.2017 |
walletgear.org | 10.12.2017 |
dahlie.org | 12.12.2017 |
davidsfootwear.org | 20.12.2017 |
blackriverimaging.org | 23.12.2017 |
exrpesso.org | 02.01.2018 |
parks.su | 09.01.2018 |
pmtonline.su | 12.01.2018 |
otocap.org | 15.01.2018 |
christohperward.org | 27.01.2018 |
coffetea.org | 31.01.2018 |
energycoffe.org | 31.01.2018 |
energytea.org | 31.01.2018 |
teacoffe.net | 31.01.2018 |
adaptivecss.org | 01.03.2018 |
coffemokko.com | 01.03.2018 |
londontea.net | 01.03.2018 |
ukcoffe.com | 01.03.2018 |
labbe.biz | 20.03.2018 |
batterynart.com | 03.04.2018 |
btosports.net | 09.04.2018 |
chicksaddlery.net | 16.04.2018 |
paypaypay.org | 11.05.2018 |
ar500arnor.com | 26.05.2018 |
Authorizecdn.com | 28.05.2018 |
slickmin.com | 28.05.2018 |
bannerbuzz.info | 03.06.2018 |
kandypens.net | 08.06.2018 |
mylrendyphone.com | 15.06.2018 |
freshchat.info | 01.07.2018 |
3lift.org | 02.07.2018 |
abtasty.net | 02.07.2018 |
mechat.info | 02.07.2018 |
zoplm.com | 02.07.2018 |
zapaljs.com | 02.09.2018 |
foodandcot.com | 15.09.2018 |
freshdepor.com | 15.09.2018 |
swappastore.com | 15.09.2018 |
verywellfitnesse.com | 15.09.2018 |
elegrina.com | 18.11.2018 |
Majsurplus.com | 19.11.2018 |
top5value.com | 19.11.2018 |
Avots: www.habr.com