🥇Četri JavaScript sniferi, kas jūs gaida tiešsaistes veikalos

Gandrīz visi no mums izmanto tiešsaistes veikalu pakalpojumus, kas nozīmē, ka agrāk vai vēlāk riskējam kļūt par JavaScript sniffer upuriem - īpašu kodu, ko uzbrucēji ievieto vietnē, lai nozagtu bankas karšu datus, adreses, lietotāju pieteikumvārdus un paroles. .

Jau gandrīz 400 000 British Airways mājaslapas un mobilās aplikācijas lietotāju, kā arī sporta giganta FILA un amerikāņu biļešu izplatītāja Ticketmaster britu mājaslapas apmeklētājus skāruši jau gandrīz XNUMX XNUMX lietotāju. PayPal, Chase Paymenttech, USAePay, Moneris – šīs un daudzas citas maksājumu sistēmas tika inficētas.

Threat Intelligence Group-IB analītiķis Viktors Okorokovs stāsta par to, kā smirdēji iekļūst vietnes kodā un nozog maksājumu informāciju, kā arī par to, kādiem CRM viņi uzbrūk.

"Slēptie draudi"

Tā notika, ka ilgu laiku JS sniffers palika ārpus antivīrusu analītiķu redzesloka, un bankas un maksājumu sistēmas tos neuztvēra kā nopietnus draudus. Un pilnīgi veltīgi. Grupas-IB eksperti analizēts 2440 inficēti interneta veikali, kuru apmeklētāji – kopā aptuveni 1,5 miljoni cilvēku dienā – bija pakļauti kompromisa riskam. Cietušo vidū ir ne tikai lietotāji, bet arī interneta veikali, maksājumu sistēmas un bankas, kas izsniedza kompromitētas kartes.

Ziņot Group-IB kļuva par pirmo pētījumu par tumšā tīkla tirgu snifferiem, to infrastruktūru un monetizācijas metodēm, kas to radītājiem ienes miljoniem dolāru. Mēs identificējām 38 sniferu ģimenes, no kurām tikai 12 iepriekš bija zināmas pētniekiem.

Sīkāk pakavēsimies pie četrām pētījuma laikā pētītajām sniferu ģimenēm.

ReactGet ģimene

ReactGet ģimenes sniffers izmanto, lai nozagtu bankas karšu datus tiešsaistes iepirkšanās vietnēs. Sniffer var strādāt ar lielu skaitu dažādu vietnē izmantoto maksājumu sistēmu: viena parametra vērtība atbilst vienai maksājumu sistēmai, un atsevišķas atklātās sniffer versijas var izmantot akreditācijas datu nozagšanai, kā arī bankas karšu datu nozagšanai no maksājuma. vairāku maksājumu sistēmu formas vienlaikus, piemēram, tā sauktais universālais sniffer. Tika konstatēts, ka dažos gadījumos uzbrucēji veic pikšķerēšanas uzbrukumus tiešsaistes veikala administratoriem, lai piekļūtu vietnes administratīvajam panelim.

Kampaņa, kurā tika izmantota šī sniferu saime, sākās 2017. gada maijā; tika uzbrukts vietnēm, kurās darbojas CMS un Magento, Bigcommerce un Shopify platformas.

Kā ReactGet tiek ieviests tiešsaistes veikala kodā

Papildus “klasiskajai” skripta ieviešanai, izmantojot saiti, ReactGet snifferu saimes operatori izmanto īpašu tehniku: izmantojot JavaScript kodu, viņi pārbauda, vai pašreizējā adrese, kurā atrodas lietotājs, atbilst noteiktiem kritērijiem. Ļaunprātīgais kods tiks izpildīts tikai tad, ja apakšvirkne atrodas pašreizējā URL izrakstīšanās vai viena soļa izrakstīšanās, viena lapa/, out/onepag, izrakstīšanās/viens, ckout/viens. Tādējādi sniffer kods tiks izpildīts tieši tajā brīdī, kad lietotājs sāks norēķināties par pirkumiem un ievadīs maksājuma informāciju vietnes veidlapā.

Šis sniffer izmanto nestandarta tehniku. Cietušā maksājums un personas dati tiek apkopoti kopā un kodēti, izmantojot base64, un pēc tam iegūtā virkne tiek izmantota kā parametrs, lai nosūtītu pieprasījumu uz uzbrucēja vietni. Visbiežāk ceļš uz vārtiem atdarina, piemēram, JavaScript failu resp.js, data.js un tā tālāk, bet tiek izmantotas arī saites uz attēlu failiem, GIF и JPG. Īpatnība ir tāda, ka sniferis izveido attēla objektu, kura izmērs ir 1 x 1 pikselis, un kā parametru izmanto iepriekš saņemto saiti. src Attēli. Tas ir, lietotājam šāds pieprasījums satiksmē izskatīsies kā pieprasījums pēc parasta attēla. Līdzīgs paņēmiens tika izmantots ImageID sniferu saimē. Turklāt 1 x 1 pikseļa attēla izmantošanas paņēmiens tiek izmantots daudzos likumīgos tiešsaistes analīzes skriptos, kas var arī maldināt lietotāju.

Versiju analīze

ReactGet sniffer operatoru izmantoto aktīvo domēnu analīze atklāja daudzas dažādas šīs sniferu ģimenes versijas. Versijas atšķiras ar apmulsuma esamību vai neesamību, turklāt katrs sniffer ir paredzēts noteiktai maksājumu sistēmai, kas apstrādā bankas karšu maksājumus tiešsaistes veikaliem. Izšķirot versijas numuram atbilstošā parametra vērtību, Group-IB speciālisti saņēma pilnu pieejamo sniferu variantu sarakstu un pēc veidlapas lauku nosaukumiem, kurus katrs sniferis meklē lapas kodā, identificēja maksājumu sistēmas. uz ko sniferis ir tēmēts.

Snifferu saraksts un tiem atbilstošās maksājumu sistēmas

Sniffer URL	Maksājumu sistēma
reactjsapi.com/react.js	Authorize.Net
ajaxstatic.com/api.js?v=2.1.1	Cardsave
ajaxstatic.com/api.js?v=2.1.2	Authorize.Net
ajaxstatic.com/api.js?v=2.1.3	Authorize.Net
ajaxstatic.com/api.js?v=2.1.4	eWAY Rapid
ajaxstatic.com/api.js?v=2.1.5	Authorize.Net
ajaxstatic.com/api.js?v=2.1.6	Adyen
ajaxstatic.com/api.js?v=2.1.7	USAePay
ajaxstatic.com/api.js?v=2.1.9	Authorize.Net
apitstatus.com/api.js?v=2.1.1	USAePay
apitstatus.com/api.js?v=2.1.2	Authorize.Net
apitstatus.com/api.js?v=2.1.3	Moneris
apitstatus.com/api.js?v=2.1.5	USAePay
apitstatus.com/api.js?v=2.1.6	PayPal
apitstatus.com/api.js?v=2.1.7	Sage Pay
apitstatus.com/api.js?v=2.1.8	VeriSign
apitstatus.com/api.js?v=2.1.9	PayPal
apitstatus.com/api.js?v=2.3.0	Svītra
apitstatus.com/api.js?v=3.0.2	Realex
apitstatus.com/api.js?v=3.0.3	PayPal
apitstatus.com/api.js?v=3.0.4	LinkPoint
apitstatus.com/api.js?v=3.0.5	PayPal
apitstatus.com/api.js?v=3.0.7	PayPal
apitstatus.com/api.js?v=3.0.8	DataCash
apitstatus.com/api.js?v=3.0.9	PayPal
asianfoodgracer.com/footer.js	Authorize.Net
billgetstatus.com/api.js?v=1.2	Authorize.Net
billgetstatus.com/api.js?v=1.3	Authorize.Net
billgetstatus.com/api.js?v=1.4	Authorize.Net
billgetstatus.com/api.js?v=1.5	VeriSign
billgetstatus.com/api.js?v=1.6	Authorize.Net
billgetstatus.com/api.js?v=1.7	Moneris
billgetstatus.com/api.js?v=1.8	Sage Pay
billgetstatus.com/api.js?v=2.0	USAePay
billgetstatus.com/react.js	Authorize.Net
cloudodesc.com/gtm.js?v=1.2	Authorize.Net
cloudodesc.com/gtm.js?v=1.3	ANZ eGate
cloudodesc.com/gtm.js?v=2.3	Authorize.Net
cloudodesc.com/gtm.js?v=2.4	Moneris
cloudodesc.com/gtm.js?v=2.6	Sage Pay
cloudodesc.com/gtm.js?v=2.7	Sage Pay
cloudodesc.com/gtm.js?v=2.8	Chase Paymenttech
cloudodesc.com/gtm.js?v=2.9	Authorize.Net
cloudodesc.com/gtm.js?v=2.91	Adyen
cloudodesc.com/gtm.js?v=2.92	PsiGate
cloudodesc.com/gtm.js?v=2.93	Kiber avots
cloudodesc.com/gtm.js?v=2.95	ANZ eGate
cloudodesc.com/gtm.js?v=2.97	Realex
geisseie.com/gs.js	USAePay
gtmproc.com/age.js	Authorize.Net
gtmproc.com/gtm.js?v=1.2	Authorize.Net
gtmproc.com/gtm.js?v=1.3	ANZ eGate
gtmproc.com/gtm.js?v=1.5	PayPal
gtmproc.com/gtm.js?v=1.6	PayPal
gtmproc.com/gtm.js?v=1.7	Realex
livecheckpay.com/api.js?v=2.0	Sage Pay
livecheckpay.com/api.js?v=2.1	PayPal
livecheckpay.com/api.js?v=2.2	VeriSign
livecheckpay.com/api.js?v=2.3	Authorize.Net
livecheckpay.com/api.js?v=2.4	VeriSign
livecheckpay.com/react.js	Authorize.Net
livegetpay.com/pay.js?v=2.1.2	ANZ eGate
livegetpay.com/pay.js?v=2.1.3	PayPal
livegetpay.com/pay.js?v=2.1.5	Kiber avots
livegetpay.com/pay.js?v=2.1.7	Authorize.Net
livegetpay.com/pay.js?v=2.1.8	Sage Pay
livegetpay.com/pay.js?v=2.1.9	Realex
livegetpay.com/pay.js?v=2.2.0	Kiber avots
livegetpay.com/pay.js?v=2.2.1	PayPal
livegetpay.com/pay.js?v=2.2.2	PayPal
livegetpay.com/pay.js?v=2.2.3	PayPal
livegetpay.com/pay.js?v=2.2.4	VeriSign
livegetpay.com/pay.js?v=2.2.5	eWAY Rapid
livegetpay.com/pay.js?v=2.2.7	Sage Pay
livegetpay.com/pay.js?v=2.2.8	Sage Pay
livegetpay.com/pay.js?v=2.2.9	VeriSign
livegetpay.com/pay.js?v=2.3.0	Authorize.Net
livegetpay.com/pay.js?v=2.3.1	Authorize.Net
livegetpay.com/pay.js?v=2.3.2	Pirmā datu globālā vārteja
livegetpay.com/pay.js?v=2.3.3	Authorize.Net
livegetpay.com/pay.js?v=2.3.4	Authorize.Net
livegetpay.com/pay.js?v=2.3.5	Moneris
livegetpay.com/pay.js?v=2.3.6	Authorize.Net
livegetpay.com/pay.js?v=2.3.8	PayPal
livegetpay.com/pay.js?v=2.4.0	VeriSign
maxstatics.com/site.js	USAePay
mediapack.info/track.js?d=funlove.com	USAePay
mediapack.info/track.js?d=qbedding.com	Authorize.Net
mediapack.info/track.js?d=vseyewear.com	VeriSign
mxcounter.com/c.js?v=1.2	PayPal
mxcounter.com/c.js?v=1.3	Authorize.Net
mxcounter.com/c.js?v=1.4	Svītra
mxcounter.com/c.js?v=1.6	Authorize.Net
mxcounter.com/c.js?v=1.7	eWAY Rapid
mxcounter.com/c.js?v=1.8	Sage Pay
mxcounter.com/c.js?v=2.0	Authorize.Net
mxcounter.com/c.js?v=2.1	Braintree
mxcounter.com/c.js?v=2.10	Braintree
mxcounter.com/c.js?v=2.2	PayPal
mxcounter.com/c.js?v=2.3	Sage Pay
mxcounter.com/c.js?v=2.31	Sage Pay
mxcounter.com/c.js?v=2.32	Authorize.Net
mxcounter.com/c.js?v=2.33	PayPal
mxcounter.com/c.js?v=2.34	Authorize.Net
mxcounter.com/c.js?v=2.35	VeriSign
mxcounter.com/click.js?v=1.2	PayPal
mxcounter.com/click.js?v=1.3	Authorize.Net
mxcounter.com/click.js?v=1.4	Svītra
mxcounter.com/click.js?v=1.6	Authorize.Net
mxcounter.com/click.js?v=1.7	eWAY Rapid
mxcounter.com/click.js?v=1.8	Sage Pay
mxcounter.com/click.js?v=2.0	Authorize.Net
mxcounter.com/click.js?v=2.1	Braintree
mxcounter.com/click.js?v=2.2	PayPal
mxcounter.com/click.js?v=2.3	Sage Pay
mxcounter.com/click.js?v=2.31	Sage Pay
mxcounter.com/click.js?v=2.32	Authorize.Net
mxcounter.com/click.js?v=2.33	PayPal
mxcounter.com/click.js?v=2.34	Authorize.Net
mxcounter.com/click.js?v=2.35	VeriSign
mxcounter.com/cnt.js	Authorize.Net
mxcounter.com/j.js	Authorize.Net
newrelicnet.com/api.js?v=1.2	Authorize.Net
newrelicnet.com/api.js?v=1.4	Authorize.Net
newrelicnet.com/api.js?v=1.8	Sage Pay
newrelicnet.com/api.js?v=4.5	Sage Pay
newrelicnet.com/api.js?v=4.6	Westpac PayWay
nr-public.com/api.js?v=2.0	PayFort
nr-public.com/api.js?v=2.1	PayPal
nr-public.com/api.js?v=2.2	Authorize.Net
nr-public.com/api.js?v=2.3	Svītra
nr-public.com/api.js?v=2.4	Pirmā datu globālā vārteja
nr-public.com/api.js?v=2.5	PsiGate
nr-public.com/api.js?v=2.6	Authorize.Net
nr-public.com/api.js?v=2.7	Authorize.Net
nr-public.com/api.js?v=2.8	Moneris
nr-public.com/api.js?v=2.9	Authorize.Net
nr-public.com/api.js?v=3.1	Sage Pay
nr-public.com/api.js?v=3.2	VeriSign
nr-public.com/api.js?v=3.3	Moneris
nr-public.com/api.js?v=3.5	PayPal
nr-public.com/api.js?v=3.6	LinkPoint
nr-public.com/api.js?v=3.7	Westpac PayWay
nr-public.com/api.js?v=3.8	Authorize.Net
nr-public.com/api.js?v=4.0	Moneris
nr-public.com/api.js?v=4.0.2	PayPal
nr-public.com/api.js?v=4.0.3	Adyen
nr-public.com/api.js?v=4.0.4	PayPal
nr-public.com/api.js?v=4.0.5	Authorize.Net
nr-public.com/api.js?v=4.0.6	USAePay
nr-public.com/api.js?v=4.0.7	EBizCharge
nr-public.com/api.js?v=4.0.8	Authorize.Net
nr-public.com/api.js?v=4.0.9	VeriSign
nr-public.com/api.js?v=4.1.2	VeriSign
ordercheckpays.com/api.js?v=2.11	Authorize.Net
ordercheckpays.com/api.js?v=2.12	PayPal
ordercheckpays.com/api.js?v=2.13	Moneris
ordercheckpays.com/api.js?v=2.14	Authorize.Net
ordercheckpays.com/api.js?v=2.15	PayPal
ordercheckpays.com/api.js?v=2.16	PayPal
ordercheckpays.com/api.js?v=2.17	Westpac PayWay
ordercheckpays.com/api.js?v=2.18	Authorize.Net
ordercheckpays.com/api.js?v=2.19	Authorize.Net
ordercheckpays.com/api.js?v=2.21	Sage Pay
ordercheckpays.com/api.js?v=2.22	VeriSign
ordercheckpays.com/api.js?v=2.23	Authorize.Net
ordercheckpays.com/api.js?v=2.24	PayPal
ordercheckpays.com/api.js?v=2.25	PayFort
ordercheckpays.com/api.js?v=2.29	Kiber avots
ordercheckpays.com/api.js?v=2.4	PayPal Payflow Pro
ordercheckpays.com/api.js?v=2.7	Authorize.Net
ordercheckpays.com/api.js?v=2.8	Authorize.Net
ordercheckpays.com/api.js?v=2.9	VeriSign
ordercheckpays.com/api.js?v=3.1	Authorize.Net
ordercheckpays.com/api.js?v=3.2	Authorize.Net
ordercheckpays.com/api.js?v=3.3	Sage Pay
ordercheckpays.com/api.js?v=3.4	Authorize.Net
ordercheckpays.com/api.js?v=3.5	Svītra
ordercheckpays.com/api.js?v=3.6	Authorize.Net
ordercheckpays.com/api.js?v=3.7	Authorize.Net
ordercheckpays.com/api.js?v=3.8	VeriSign
ordercheckpays.com/api.js?v=3.9	PayPal
ordercheckpays.com/api.js?v=4.0	Authorize.Net
ordercheckpays.com/api.js?v=4.1	Authorize.Net
ordercheckpays.com/api.js?v=4.2	Sage Pay
ordercheckpays.com/api.js?v=4.3	Authorize.Net
reactjsapi.com/api.js?v=0.1.0	Authorize.Net
reactjsapi.com/api.js?v=0.1.1	PayPal
reactjsapi.com/api.js?v=4.1.2	Krams
reactjsapi.com/api.js?v=4.1.4	PayPal
reactjsapi.com/api.js?v=4.1.5	Sage Pay
reactjsapi.com/api.js?v=4.1.51	VeriSign
reactjsapi.com/api.js?v=4.1.6	Authorize.Net
reactjsapi.com/api.js?v=4.1.7	Authorize.Net
reactjsapi.com/api.js?v=4.1.8	Svītra
reactjsapi.com/api.js?v=4.1.9	Resnais zebra
reactjsapi.com/api.js?v=4.2.0	Sage Pay
reactjsapi.com/api.js?v=4.2.1	Authorize.Net
reactjsapi.com/api.js?v=4.2.2	Pirmā datu globālā vārteja
reactjsapi.com/api.js?v=4.2.3	Authorize.Net
reactjsapi.com/api.js?v=4.2.4	eWAY Rapid
reactjsapi.com/api.js?v=4.2.5	Adyen
reactjsapi.com/api.js?v=4.2.7	PayPal
reactjsapi.com/api.js?v=4.2.8	QuickBooks tirgotāju pakalpojumi
reactjsapi.com/api.js?v=4.2.9	VeriSign
reactjsapi.com/api.js?v=4.2.91	Sage Pay
reactjsapi.com/api.js?v=4.2.92	VeriSign
reactjsapi.com/api.js?v=4.2.94	Authorize.Net
reactjsapi.com/api.js?v=4.3.97	Authorize.Net
reactjsapi.com/api.js?v=4.5	Sage Pay
reactjsapi.com/react.js	Authorize.Net
sydneysalonsupplies.com/gtm.js	eWAY Rapid
tagsmediaget.com/react.js	Authorize.Net
tagstracking.com/tag.js?v=2.1.2	ANZ eGate
tagstracking.com/tag.js?v=2.1.3	PayPal
tagstracking.com/tag.js?v=2.1.5	Kiber avots
tagstracking.com/tag.js?v=2.1.7	Authorize.Net
tagstracking.com/tag.js?v=2.1.8	Sage Pay
tagstracking.com/tag.js?v=2.1.9	Realex
tagstracking.com/tag.js?v=2.2.0	Kiber avots
tagstracking.com/tag.js?v=2.2.1	PayPal
tagstracking.com/tag.js?v=2.2.2	PayPal
tagstracking.com/tag.js?v=2.2.3	PayPal
tagstracking.com/tag.js?v=2.2.4	VeriSign
tagstracking.com/tag.js?v=2.2.5	eWAY Rapid
tagstracking.com/tag.js?v=2.2.7	Sage Pay
tagstracking.com/tag.js?v=2.2.8	Sage Pay
tagstracking.com/tag.js?v=2.2.9	VeriSign
tagstracking.com/tag.js?v=2.3.0	Authorize.Net
tagstracking.com/tag.js?v=2.3.1	Authorize.Net
tagstracking.com/tag.js?v=2.3.2	Pirmā datu globālā vārteja
tagstracking.com/tag.js?v=2.3.3	Authorize.Net
tagstracking.com/tag.js?v=2.3.4	Authorize.Net
tagstracking.com/tag.js?v=2.3.5	Moneris
tagstracking.com/tag.js?v=2.3.6	Authorize.Net
tagstracking.com/tag.js?v=2.3.8	PayPal

Paroles sniferis

Viena no JavaScript snifferu priekšrocībām, kas strādā vietnes klienta pusē, ir to daudzpusība: vietnē iegultais ļaunprātīgais kods var nozagt jebkāda veida datus, neatkarīgi no tā, vai tie ir maksājumu dati vai lietotāja konta pieteikumvārds un parole. Grupas IB speciālisti atklāja ReactGet saimei piederoša snifera paraugu, kas paredzēts vietnes lietotāju e-pasta adrešu un paroļu nozagšanai.

Krustojums ar ImageID sniffer

Analizējot vienu no inficētajiem veikaliem, tika konstatēts, ka tā vietne ir inficēta divas reizes: papildus ReactGet ģimenes sniffer kaitīgajam kodam tika atklāts ImageID ģimenes sniffer kods. Šī pārklāšanās varētu būt pierādījums tam, ka operatori, kas atrodas aiz abiem sniferiem, izmanto līdzīgas metodes, lai ievadītu ļaunprātīgu kodu.

Universāls sniferis

Analizējot vienu no domēna vārdiem, kas saistīti ar ReactGet sniffer infrastruktūru, atklājās, ka tas pats lietotājs bija reģistrējis trīs citus domēna nosaukumus. Šie trīs domēni atdarināja reālās dzīves vietņu domēnus un iepriekš tika izmantoti snifferu mitināšanai. Analizējot trīs likumīgu vietņu kodu, tika atklāts nezināms sniffer, un turpmākā analīze parādīja, ka tā ir uzlabota ReactGet sniffer versija. Visas iepriekš uzraudzītās šīs sniferu saimes versijas bija vērstas uz vienotu maksājumu sistēmu, tas ir, katrai maksājumu sistēmai bija nepieciešama īpaša sniffer versija. Tomēr šajā gadījumā tika atklāta universāla sniffer versija, kas spēj nozagt informāciju no veidlapām, kas saistītas ar 15 dažādām maksājumu sistēmām un e-komercijas vietņu moduļiem tiešsaistes maksājumu veikšanai.

Tātad darba sākumā sniferis meklēja pamata formas laukus, kuros bija cietušā personiskā informācija: pilns vārds, fiziskā adrese, tālruņa numurs.

Pēc tam sniffer meklēja vairāk nekā 15 dažādus prefiksus, kas atbilst dažādām maksājumu sistēmām un tiešsaistes maksājumu moduļiem.

Pēc tam tika apkopoti upura personas dati un maksājumu informācija un nosūtīta uz vietni, kuru kontrolē uzbrucējs: šajā konkrētajā gadījumā tika atklātas divas universālā ReactGet sniffer versijas, kas atrodas divās dažādās uzlauztajās vietnēs. Tomēr abas versijas nosūtīja zagtus datus uz vienu un to pašu uzlauzto vietni zoobashop.com.

Prefiksu analīze, ko sniferis izmantoja, lai meklētu laukus, kuros bija cietušā maksājuma informācija, ļāva mums noteikt, ka šis snifera paraugs bija paredzēts šādām maksājumu sistēmām:

Authorize.Net
VeriSign
Pirmie dati
USAePay
Svītra
PayPal
ANZ eGate
Braintree
DataCash (MasterCard)
Realex maksājumi
PsiGate
Heartland maksājumu sistēmas

Kādi rīki tiek izmantoti maksājumu informācijas nozagšanai?

Pirmais rīks, kas atklāts, analizējot uzbrucēju infrastruktūru, tiek izmantots, lai aptumšotu ļaunprātīgos skriptus, kas ir atbildīgi par bankas karšu zādzībām. Vienā no uzbrucēja saimniekiem tika atklāts bash skripts, kas izmanto projekta CLI javascript-obfuscator lai automatizētu snifera koda apmulsināšanu.

Otrais atklātais rīks ir paredzēts, lai ģenerētu kodu, kas ir atbildīgs par galvenā snifera ielādi. Šis rīks ģenerē JavaScript kodu, kas pārbauda, vai lietotājs atrodas maksājumu lapā, meklējot virknes lietotāja pašreizējā adresē. izrakstīšanās, ratiņi un tā tālāk, un, ja rezultāts ir pozitīvs, kods ielādē galveno sniffer no uzbrucēja servera. Lai paslēptu ļaunprātīgu darbību, visas rindas, tostarp pārbaudes rindas maksājuma lapas noteikšanai, kā arī saite uz sniffer, tiek kodētas, izmantojot base64.

Pikšķerēšanas uzbrukumi

Uzbrucēju tīkla infrastruktūras analīze atklāja, ka noziedzīgā grupa bieži izmanto pikšķerēšanu, lai piekļūtu mērķa tiešsaistes veikala administratīvajam panelim. Uzbrucēji reģistrē domēnu, kas vizuāli ir līdzīgs veikala domēnam, un pēc tam izvieto tajā viltotu Magento administrācijas paneļa pieteikšanās veidlapu. Ja tas izdosies, uzbrucēji iegūs piekļuvi Magento CMS administratīvajam panelim, kas dod viņiem iespēju rediģēt vietnes komponentus un ieviest sniffer, lai nozagtu kredītkaršu datus.

Infrastruktūra

Domēna vārds	Atklāšanas/parādīšanās datums
mediapack.info	04.05.2017
adsgetapi.com	15.06.2017
simcounter.com	14.08.2017
mageanalytics.com	22.12.2017
maxstatics.com	16.01.2018
reactjsapi.com	19.01.2018
mxcounter.com	02.02.2018
apitstatus.com	01.03.2018
orderracker.com	20.04.2018
tagstracking.com	25.06.2018
adsapigate.com	12.07.2018
trust-tracker.com	15.07.2018
fbstatspartner.com	02.10.2018
billgetstatus.com	12.10.2018
www.aldenmlilhouse.com	20.10.2018
baletbeautlful.com	20.10.2018
bargalnjunkie.com	20.10.2018
payselector.com	21.10.2018
tagsmediaget.com	02.11.2018
hs-payments.com	16.11.2018
ordercheckpays.com	19.11.2018
geisseie.com	24.11.2018
gtmproc.com	29.11.2018
livegetpay.com	18.12.2018
sydneysalonsupplies.com	18.12.2018
newrelicnet.com	19.12.2018
nr-public.com	03.01.2019
cloudodesc.com	04.01.2019
ajaxstatic.com	11.01.2019
livecheckpay.com	21.01.2019
asianfoodgracer.com	25.01.2019

G-Analytics ģimene

Šī sniferu saime tiek izmantota klientu karšu zagšanai interneta veikalos. Pats pirmais domēna vārds, ko grupa izmantoja, tika reģistrēts 2016. gada aprīlī, kas var liecināt, ka grupa sāka darbību 2016. gada vidū.

Pašreizējā kampaņā grupa izmanto domēna nosaukumus, kas atdarina reālās dzīves pakalpojumus, piemēram, Google Analytics un jQuery, maskējot snifferu darbību ar likumīgiem skriptiem un domēna nosaukumiem, kas ir līdzīgi likumīgiem. Tika uzbrukts vietnēm, kurās darbojas Magento CMS.

Kā G-Analytics tiek ieviests tiešsaistes veikala kodā

Šīs ģimenes atšķirīga iezīme ir dažādu metožu izmantošana, lai nozagtu lietotāja maksājumu informāciju. Papildus klasiskajai JavaScript koda ievadīšanai vietnes klienta pusē noziedzīgā grupa izmantoja arī koda ievadīšanas metodes vietnes servera pusē, proti, PHP skriptus, kas apstrādā lietotāja ievadītos datus. Šis paņēmiens ir bīstams, jo tas trešo pušu pētniekiem apgrūtina ļaunprātīga koda atklāšanu. Grupas IB speciālisti atklāja vietnes PHP kodā iegultu sniffer versiju, izmantojot domēnu kā vārtus. dittm.org.

Tika atklāta arī agrīna snifera versija, kas izmanto to pašu domēnu, lai savāktu nozagtus datus dittm.org, bet šī versija ir paredzēta uzstādīšanai tiešsaistes veikala klienta pusē.

Grupa vēlāk mainīja savu taktiku un sāka vairāk koncentrēties uz ļaunprātīgas aktivitātes un maskēšanās slēpšanu.

2017. gada sākumā grupa sāka lietot domēnu jquery-js.com, kas tiek maskēts kā jQuery CDN: dodoties uz uzbrucēju vietni, lietotājs tiek novirzīts uz likumīgu vietni jquery.com.

Un 2018. gada vidū grupa pieņēma domēna nosaukumu g-analytics.com un sāka slēpt snifera darbības kā likumīgu Google Analytics pakalpojumu.

Versiju analīze

Veicot sniffer koda glabāšanai izmantoto domēnu analīzi, tika konstatēts, ka vietne satur lielu skaitu versiju, kas atšķiras ar apmulsumu, kā arī failam pievienota nesasniedzama koda esamību vai neesamību, lai novērstu uzmanību. un paslēpt kaitīgo kodu.

Kopā vietnē jquery-js.com Tika identificētas sešas sniferu versijas. Šie sniferi nosūta nozagtos datus uz adresi, kas atrodas tajā pašā vietnē, kur atrodas pats snifers: hxxps://jquery-js[.]com/latest/jquery.min.js:

hxxps://jquery-js[.]com/jquery.min.js
hxxps://jquery-js[.]com/jquery.2.2.4.min.js
hxxps://jquery-js[.]com/jquery.1.8.3.min.js
hxxps://jquery-js[.]com/jquery.1.6.4.min.js
hxxps://jquery-js[.]com/jquery.1.4.4.min.js
hxxps://jquery-js[.]com/jquery.1.12.4.min.js

Vēlāk domēns g-analytics.com, ko grupa izmantoja uzbrukumos kopš 2018. gada vidus, kalpo kā krātuve lielākam skaitam snifferu. Kopumā tika atklātas 16 dažādas snifera versijas. Šajā gadījumā vārti zagtu datu nosūtīšanai tika slēpti kā saite uz attēla formātu GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:

hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
hxxps://g-analytics[.]com/libs/analytics.js

Nozagto datu monetizācija

Noziedzīgais grupējums nozagtos datus monetizē, pārdodot kartes caur speciāli izveidotu pazemes veikalu, kas sniedz pakalpojumus kārējiem. Uzbrucēju izmantoto domēnu analīze ļāva mums to noteikt google-analytics.cm reģistrēja tas pats lietotājs kā domēnu cardz.vc. Domēns cardz.vc attiecas uz veikalu, kurā pārdod zagtas bankas kartes Cardsurfs (Flysurfs), kas popularitāti ieguva vēl pagrīdes tirdzniecības platformas AlphaBay darbības laikos kā veikals, kurā pārdod, izmantojot sniferi, nozagtas bankas kartes.

Domēna analīze analītisks.is, kas atrodas tajā pašā serverī, kur domēni, ko izmanto sniffers, lai vāktu zagtus datus, Group-IB speciālisti atklāja failu, kurā bija sīkfailu zagšanas žurnāli, kuru izstrādātājs, šķiet, vēlāk pameta. Viens no žurnāla ierakstiem ietvēra domēnu iozoz.com, kas iepriekš tika izmantots vienā no sniferiem, kas aktīvi darbojās 2016. gadā. Jādomā, ka šo domēnu iepriekš izmantoja uzbrucējs, lai savāktu kartītes, kas nozagtas, izmantojot sniffer. Šis domēns tika reģistrēts uz e-pasta adresi [e-pasts aizsargāts], kas tika izmantota arī domēnu reģistrācijai cardz.su и cardz.vc, kas saistīts ar kāršu veikalu Cardsurfs.

Pamatojoties uz iegūtajiem datiem, var pieņemt, ka G-Analytics sniferu saimi un pazemes veikalu, kas pārdod bankas kartes Cardsurfs, pārvalda vieni un tie paši cilvēki, un veikals tiek izmantots, lai pārdotu bankas kartes, kas nozagtas, izmantojot sniferi.

Infrastruktūra

Domēna vārds	Atklāšanas/parādīšanās datums
iozoz.com	08.04.2016
dittm.org	10.09.2016
jquery-js.com	02.01.2017
g-analytics.com	31.05.2018
google-analytics.is	21.11.2018
analītisks.to	04.12.2018
google-analytics.to	06.12.2018
google-analytics.cm	28.12.2018
analītisks.is	28.12.2018
googlc-analytics.cm	17.01.2019

Illu ģimene

Illum ir sniferu ģimene, ko izmanto, lai uzbruktu tiešsaistes veikaliem, kuros darbojas Magento CMS. Papildus ļaunprātīga koda ieviešanai šī sniffer operatori izmanto arī pilnvērtīgu viltotu maksājumu veidlapu ieviešanu, kas nosūta datus uz uzbrucēju kontrolētiem vārtiem.

Analizējot tīkla infrastruktūru, ko izmanto šī sniffer operatori, tika atzīmēts liels skaits ļaunprātīgu skriptu, ļaunprātīgu izmantošanu, viltotu maksājumu veidlapu, kā arī piemēru kolekcija ar konkurentu ļaunprātīgiem snifferiem. Balstoties uz informāciju par grupas izmantoto domēna vārdu parādīšanās datumiem, var pieņemt, ka kampaņa sākās 2016. gada beigās.

Kā Illum tiek ieviests tiešsaistes veikala kodā

Pirmās atklātās sniffer versijas tika iegultas tieši apdraudētās vietnes kodā. Nozagtie dati nosūtīti uz cdn.illum[.]pw/records.php, vārti tika kodēti, izmantojot base64.

Vēlāk tika atklāta iepakotā sniffer versija, kas izmanto citus vārtus - records.nstatistics[.]com/records.php.

Saskaņā ar Ziņot Vilems de Grūts, tas pats saimnieks tika izmantots sniffer, kas tika ieviests veikala vietne, kas pieder Vācijas politiskajai partijai CSU.

Uzbrucēju vietnes analīze

Grupas-IB speciālisti atklāja un analizēja tīmekļa vietni, ko šī noziedzīgā grupa izmantoja rīku glabāšanai un zagtas informācijas vākšanai.

Starp uzbrucēju serverī atrastajiem rīkiem bija skripti un ekspluatācijas privilēģiju palielināšanai Linux OS: piemēram, Maika Čumaka izstrādātais Linux privilēģiju eskalācijas pārbaudes skripts, kā arī CVE-2009-1185.

Uzbrucēji izmantoja divus varoņdarbus tieši, lai uzbruktu tiešsaistes veikaliem: pirmais spēj ievadīt ļaunprātīgu kodu core_config_data izmantojot CVE-2016-4010, otrais izmanto CMS Magento spraudņu RCE ievainojamību, ļaujot ievainojamā tīmekļa serverī izpildīt patvaļīgu kodu.

Tāpat servera analīzes laikā tika atklāti dažādi snifferu un viltotu maksājumu veidlapu paraugi, kurus uzbrucēji izmantoja, lai vāktu informāciju par maksājumiem no uzlauztām vietnēm. Kā redzams zemāk esošajā sarakstā, daži skripti tika izveidoti atsevišķi katrai uzlauztajai vietnei, savukārt atsevišķām CMS un maksājumu vārtejām tika izmantots universāls risinājums. Piemēram, skripti segapay_standart.js и segapay_onpage.js paredzēts ieviešanai vietnēs, kurās tiek izmantota maksājumu vārteja Sage Pay.

Dažādu maksājumu vārteju skriptu saraksts

Skripts	Maksājumu vārteja
sr.illum[.]pw/mjs_special/visiondirect.co.uk.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/topdierenshop.nl.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/tiendalenovo.es.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/pro-bolt.com.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/plae.co.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/ottolenghi.co.uk.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/oldtimecandy.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/mylook.ee.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs_special/luluandsky.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/julep.com.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs_special/gymcompany.es.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/grotekadoshop.nl.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/fushi.co.uk.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/fareastflora.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/compuindia.com.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs/segapay_standart.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/segapay_onpage.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/replace_standart.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs/all_inputs.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/add_inputs_standart.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/magento/payment_standart.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/magento/payment_redirect.js	//payrightnow[.]cf/?payment=
sr.illum[.]pw/magento/payment_redcrypt.js	//payrightnow[.]cf/?payment=
sr.illum[.]pw/magento/payment_forminsite.js	//paymentnow[.]tk/?payment=

Saimnieks maksājums tagad[.]tk, ko izmanto kā vārti skriptā payment_forminsite.js, tika atklāts kā SubjectAltName vairākos sertifikātos, kas saistīti ar CloudFlare pakalpojumu. Turklāt saimniekdatorā bija skripts ļaunais.js. Spriežot pēc skripta nosaukuma, to varētu izmantot kā daļu no CVE-2016-4010 izmantošanas, pateicoties kam ir iespējams ievadīt ļaunprātīgu kodu vietnes, kurā darbojas CMS Magento, kājenē. Saimnieks izmantoja šo skriptu kā vārtus request.requestnet[.]tkizmantojot to pašu sertifikātu kā saimniekdators maksājums tagad[.]tk.

Viltus maksājumu veidlapas

Zemāk redzamajā attēlā ir parādīts kartes datu ievadīšanas veidlapas piemērs. Šī veidlapa tika izmantota, lai iefiltrētos tiešsaistes veikalā un nozagtu karšu datus.

Nākamajā attēlā ir parādīts viltotas PayPal maksājuma veidlapas piemērs, ko uzbrucēji izmantoja, lai iefiltrētos vietnēs ar šo maksājuma veidu.

Infrastruktūra

Domēna vārds	Atklāšanas/parādīšanās datums
cdn.illum.pw	27/11/2016
records.nstatistics.com	06/09/2018
request.payrightnow.cf	25/05/2018
paymentnow.tk	16/07/2017
maksājumu līnija.tk	01/03/2018
paypal.cf	04/09/2017
requestnet.tk	28/06/2017

CoffeeMokko ģimene

CoffeMokko sniferu saime, kas paredzēta bankas karšu zagšanai interneta veikala lietotājiem, tiek izmantota vismaz kopš 2017. gada maija. Jādomā, ka šīs sniferu saimes operatori ir RiskIQ speciālistu 1. gadā aprakstītais noziedzīgais grupējums 2016. grupa. Tika uzbruktas vietnēm, kurās darbojas SPS, piemēram, Magento, OpenCart, WordPress, osCommerce un Shopify.

Kā CoffeMokko tiek ieviests tiešsaistes veikala kodā

Šīs ģimenes operatori katrai infekcijai izveido unikālus sniffers: sniffer fails atrodas direktorijā src vai js uzbrucēju serverī. Iekļaušana vietnes kodā tiek veikta, izmantojot tiešu saiti uz sniffer.

Sniffer kods stingri iekodē veidlapas lauku nosaukumus, no kuriem ir jānozag dati. Sniffer arī pārbauda, vai lietotājs atrodas maksājumu lapā, pārbaudot atslēgvārdu sarakstu ar lietotāja pašreizējo adresi.

Dažas atklātās sniffer versijas tika aptumšotas un saturēja šifrētu virkni, kurā tika glabāts galvenais resursu masīvs: tajā bija dažādu maksājumu sistēmu veidlapu lauku nosaukumi, kā arī vārtu adrese, uz kuru jānosūta nozagtie dati.

Nozagtā maksājuma informācija pa ceļam tika nosūtīta uz skriptu uzbrucēju serverī /savePayment/index.php vai /tr/index.php. Jādomā, ka šis skripts tiek izmantots, lai nosūtītu datus no vārtiem uz galveno serveri, kas apkopo datus no visiem snifferiem. Lai slēptu pārsūtītos datus, visa upura maksājumu informācija tiek šifrēta, izmantojot base64, un tad notiek vairākas rakstzīmju aizstāšanas:

rakstzīme "e" tiek aizstāta ar ":"
simbols "w" tiek aizstāts ar "+"
rakstzīme "o" tiek aizstāta ar "%"
rakstzīme "d" tiek aizstāta ar "#"
rakstzīme "a" tiek aizstāta ar "-"
simbolu "7" aizstāj ar "^"
rakstzīme "h" tiek aizstāta ar "_"
simbolu "T" aizstāj ar "@"
rakstzīme "0" tiek aizstāta ar "/"
rakstzīme "Y" tiek aizstāta ar "*"

Rakstzīmju aizstāšanas rezultātā, kas kodēta, izmantojot base64 Datus nevar atšifrēt, neveicot apgriezto konvertēšanu.

Šādi izskatās sniffer koda fragments, kas nav apslēpts:

Infrastruktūras analīze

Sākotnējās kampaņās uzbrucēji reģistrēja domēna nosaukumus, kas ir līdzīgi likumīgu tiešsaistes iepirkšanās vietņu nosaukumiem. Viņu domēns var atšķirties no likumīgā ar vienu simbolu vai citu TLD. Reģistrētie domēni tika izmantoti sniffer koda glabāšanai, saite uz kuru tika iegulta veikala kodā.

Šī grupa izmantoja arī domēna nosaukumus, kas atgādina populārus jQuery spraudņus (slickjs[.]org vietnēm, kurās tiek izmantots spraudnis slick.js), maksājumu vārtejas (sagecdn[.]org vietnēm, kurās tiek izmantota maksājumu sistēma Sage Pay).

Vēlāk grupa sāka veidot domēnus, kuru nosaukumiem nebija nekāda sakara ar veikala domēnu vai veikala tēmu.

Katrs domēns atbilda vietnei, kurā tika izveidots direktorijs /js vai / src. Sniffer skripti tika glabāti šajā direktorijā: viens sniffer par katru jaunu infekciju. Sniffer tika iegults vietnes kodā, izmantojot tiešu saiti, taču retos gadījumos uzbrucēji pārveidoja kādu no vietnes failiem un pievienoja tam ļaunprātīgu kodu.

Koda analīze

Pirmais apmulsināšanas algoritms

Dažos atklātajos šīs ģimenes sniferu paraugos kods tika apslēpts un saturēja šifrētus datus, kas nepieciešami, lai snifers darbotos: jo īpaši snifera vārtu adrese, maksājuma veidlapas lauku saraksts un dažos gadījumos viltus kods. maksājuma forma. Funkcijas kodā resursi tika šifrēti, izmantojot XOR ar atslēgu, kas tika nodota kā arguments tai pašai funkcijai.

Atšifrējot virkni ar atbilstošu atslēgu, kas ir unikāla katram paraugam, jūs varat iegūt virkni, kurā ir visas virknes no sniffer koda, kas atdalītas ar atdalīšanas rakstzīmi.

Otrais apmulsināšanas algoritms

Vēlākajos šīs ģimenes sniferu paraugos tika izmantots cits apmulsināšanas mehānisms: šajā gadījumā dati tika šifrēti, izmantojot pašrakstītu algoritmu. Virkne, kas satur šifrētus datus, kas nepieciešami sniffer darbībai, tika nodota kā arguments atšifrēšanas funkcijai.

Izmantojot pārlūkprogrammas konsoli, varat atšifrēt šifrētos datus un iegūt masīvu, kas satur sniffer resursus.

Savienojums ar agrīniem MageCart uzbrukumiem

Analizējot vienu no domēniem, ko grupa izmantoja kā vārteju zagtu datu vākšanai, tika konstatēts, ka šajā domēnā ir izvietota kredītkaršu zādzību infrastruktūra, kas ir identiska tai, ko izmanto 1. grupa, viena no pirmajām grupām, atklāja RiskIQ speciālisti.

Uz CoffeMokko sniferu ģimenes saimnieka tika atrasti divi faili:

mage.js — fails, kas satur 1. grupas sniffer kodu ar vārtu adresi js-cdn.link
mag.php — PHP skripts, kas atbild par snifera nozagto datu vākšanu

Mage.js faila saturs
Tika arī noteikts, ka agrākie domēni, kurus izmantoja CoffeMokko sniferu saimes grupa, tika reģistrēti 17. gada 2017. maijā:

saite-js[.]saite
info-js[.]saite
track-js[.]saite
map-js[.]saite
smart-js[.]saite

Šo domēna nosaukumu formāts atbilst 1. grupas domēna nosaukumiem, kas tika izmantoti 2016. gada uzbrukumos.

Pamatojoties uz atklātajiem faktiem, var pieņemt, ka pastāv saikne starp CoffeMokko sniferu operatoriem un noziedzīgo grupējumu 1. grupa. Jādomā, ka CoffeMokko operatori varētu būt aizņēmušies rīkus un programmatūru no saviem priekšgājējiem, lai nozagtu kartes. Tomēr, visticamāk, noziedzīgais grupējums aiz CoffeMokko sniferu ģimenes izmantošanas ir tās pašas personas, kuras veica 1. grupas uzbrukumus.Pēc pirmā ziņojuma par noziedzīgās grupas darbībām publicēšanas visi viņu domēna vārdi tika bloķēta, un instrumenti tika detalizēti izpētīti un aprakstīti. Grupa bija spiesta ieturēt pauzi, pilnveidot savus iekšējos rīkus un pārrakstīt sniffer kodu, lai turpinātu uzbrukumus un paliktu neatklāta.

Infrastruktūra

Domēna vārds	Atklāšanas/parādīšanās datums
saite-js.saite	17.05.2017
info-js.link	17.05.2017
track-js.link	17.05.2017
map-js.link	17.05.2017
smart-js.link	17.05.2017
adorebeauty.org	03.09.2017
security-payment.su	03.09.2017
braincdn.org	04.09.2017
sagecdn.org	04.09.2017
slickjs.org	04.09.2017
oakandfort.org	10.09.2017
citywlnery.org	15.09.2017
dobell.su	04.10.2017
childrensplayclothing.org	31.10.2017
jewsondirect.com	05.11.2017
shop-rnib.org	15.11.2017
closetlondon.org	16.11.2017
misshaus.org	28.11.2017
battery-force.org	01.12.2017
kik-vape.org	01.12.2017
Greatfurnituretradingco.org	02.12.2017
etradesupply.org	04.12.2017
aizstājietmyremote.org	04.12.2017
all-about-sneakers.org	05.12.2017
mage-checkout.org	05.12.2017
nililotan.org	07.12.2017
lamoodbighat.net	08.12.2017
walletgear.org	10.12.2017
dahlie.org	12.12.2017
davidsfootwear.org	20.12.2017
blackriverimaging.org	23.12.2017
exrpesso.org	02.01.2018
parks.su	09.01.2018
pmtonline.su	12.01.2018
otocap.org	15.01.2018
christohperward.org	27.01.2018
coffetea.org	31.01.2018
energycoffe.org	31.01.2018
energytea.org	31.01.2018
teacoffe.net	31.01.2018
adaptivecss.org	01.03.2018
coffemokko.com	01.03.2018
londontea.net	01.03.2018
ukcoffe.com	01.03.2018
labbe.biz	20.03.2018
batterynart.com	03.04.2018
btosports.net	09.04.2018
chicksaddlery.net	16.04.2018
paypaypay.org	11.05.2018
ar500arnor.com	26.05.2018
Authorizecdn.com	28.05.2018
slickmin.com	28.05.2018
bannerbuzz.info	03.06.2018
kandypens.net	08.06.2018
mylrendyphone.com	15.06.2018
freshchat.info	01.07.2018
3lift.org	02.07.2018
abtasty.net	02.07.2018
mechat.info	02.07.2018
zoplm.com	02.07.2018
zapaljs.com	02.09.2018
foodandcot.com	15.09.2018
freshdepor.com	15.09.2018
swappastore.com	15.09.2018
verywellfitnesse.com	15.09.2018
elegrina.com	18.11.2018
Majsurplus.com	19.11.2018
top5value.com	19.11.2018

Avots: www.habr.com

Četri JavaScript snifferi, kas jūs gaida tiešsaistes veikalos

"Slēptie draudi"

ReactGet ģimene

Kā ReactGet tiek ieviests tiešsaistes veikala kodā

Versiju analīze

Paroles sniferis

Krustojums ar ImageID sniffer

Universāls sniferis

Kādi rīki tiek izmantoti maksājumu informācijas nozagšanai?

Pikšķerēšanas uzbrukumi

G-Analytics ģimene

Kā G-Analytics tiek ieviests tiešsaistes veikala kodā

Versiju analīze

Nozagto datu monetizācija

Illu ģimene

Kā Illum tiek ieviests tiešsaistes veikala kodā

Uzbrucēju vietnes analīze

Viltus maksājumu veidlapas

CoffeeMokko ģimene

Kā CoffeMokko tiek ieviests tiešsaistes veikala kodā

Infrastruktūras analīze

Koda analīze

Pirmais apmulsināšanas algoritms

Otrais apmulsināšanas algoritms

Savienojums ar agrīniem MageCart uzbrukumiem

Pievieno komentāru Atcelt atbildi