Saika isika rehetra dia mampiasa ny serivisy amin'ny fivarotana an-tserasera, izay midika fa na ho ela na ho haingana dia mety ho tratran'ny sniffers JavaScript - kaody manokana izay ampiharin'ny mpanafika amin'ny tranokala iray hangalarana ny angon-drakitra amin'ny karatra banky, adiresy, fidirana ary tenimiafina mpampiasa. .
Efa ho 400 ireo mpampiasa ny tranokalan'ny British Airways sy ny fampiharana finday no efa tratran'ny sniffers, ary koa ireo mpitsidika ny tranokala britanika an'ny FILA goavambe ara-panatanjahantena sy ny Ticketmaster, mpaninjara tapakila amerikana. PayPal, Chase Paymenttech, USAePay, Moneris - ireo sy ny rafitra fandoavam-bola maro hafa dia voan'ny aretina.
Viktor Okorokov, mpanadihady momba ny Threat Intelligence Group-IB, dia miresaka momba ny fomba nidiran'ny sniffers ny kaody tranonkala sy ny fangalarana ny mombamomba ny fandoavam-bola, ary koa ny CRM tafihan'izy ireo.
"Fandrahonana miafina"
Nitranga izany fa nandritra ny fotoana ela ny sniffers JS dia nijanona tsy hitan'ny mpandinika anti-virus, ary ny banky sy ny rafitra fandoavam-bola dia tsy nahita azy ireo ho loza mitatao. Ary very maina tanteraka. Group-IB manam-pahaizana
Andeha hodinihintsika aminβny an-tsipiriany ny momba ireo fianakaviana sniffer efatra nodinihina nandritra ilay fianarana.
ReactGet Family
Ny sniffers an'ny fianakaviana ReactGet dia ampiasaina hangalatra ny angon-drakitra karatra amin'ny banky amin'ny tranokala fivarotana an-tserasera. Ny sniffer dia afaka miasa amin'ny rafitra fandoavam-bola maro samihafa ampiasaina amin'ny tranokala: ny sandan'ny parameter iray dia mifanitsy amin'ny rafitra fandoavam-bola iray, ary ny dikan-teny sniffer hitan'ny tsirairay dia azo ampiasaina hangalarana ny fahazoan-dΓ lana, ary koa hangalatra ny angon-drakitra amin'ny karatra banky amin'ny fandoavam-bola. endrika rafitra fandoavam-bola maromaro indray mandeha, toy ilay antsoina hoe sniffer universal. Hita fa amin'ny toe-javatra sasany, ny mpanafika dia manao fanafihana phishing amin'ny mpitantana fivarotana an-tserasera mba hahazoana fidirana amin'ny tontonana fitantanana ny tranokala.
Nanomboka tamin'ny Mey 2017 ny fampielezan-kevitra nampiasa an'io fianakavian'ny sniffers io; nisy nanafika ny tranokalan'ny CMS sy Magento, Bigcommerce, ary Shopify.
Ahoana ny fampiharana ny ReactGet amin'ny kaody fivarotana an-tserasera
Ho fanampin'ny fampiharana "classic" amin'ny script amin'ny alΓ lan'ny rohy, ny mpandraharaha ao amin'ny fianakavian'ny sniffers ReactGet dia mampiasa teknika manokana: amin'ny fampiasana kaody JavaScript, manamarina raha mahafeno fepetra sasany ny adiresy ankehitriny misy ny mpampiasa. Ny kaody ratsy dia hotanterahina raha tsy ao amin'ny URL ankehitriny ny zana-tsipika Zahao hoe na famandrihana dingana iray, pejy iray/, out/onepag, checkout/iray, ckout / iray. Noho izany, ny kaody sniffer dia hotanterahina amin'ny fotoana izay ahafahan'ny mpampiasa mandoa vola amin'ny fividianana ary mampiditra ny fampahalalana momba ny fandoavam-bola amin'ny endrika ao amin'ny tranokala.
Ity sniffer ity dia mampiasa teknika tsy manara-penitra. Ny fandoavana ny volan'ilay niharam-boina sy ny angon-drakitra manokana dia angonina miaraka ary ampiasaina amin'ny kaody base64, ary avy eo dia ampiasaina ho mari-pamantarana handefasana fangatahana any amin'ny tranokalan'ny mpanafika ny tady vokatr'izany. Matetika, ny lalana mankany amin'ny vavahady dia maka tahaka ny rakitra JavaScript, ohatra resp.js, data.js sy ny sisa, fa ny rohy mankany amin'ny rakitra sary dia ampiasaina koa, GIF ΠΈ JPG. Ny mampiavaka azy dia ny sniffer dia mamorona zavatra sary mirefy 1 amin'ny 1 pixel ary mampiasa ny rohy voaray teo aloha ho marika. src Sary. Izany hoe, ho an'ny mpampiasa ny fangatahana toy izany amin'ny fifamoivoizana dia ho toy ny fangatahana sary mahazatra. Teknika mitovy amin'izany no nampiasaina tao amin'ny fianakavian'ny sniffers ImageID. Fanampin'izany, ny teknikan'ny fampiasana sary 1 amin'ny 1 piksel dia ampiasaina amin'ny sora-baventy famakafakana an-tserasera ara-dalΓ na maro, izay mety hamitaka ny mpampiasa ihany koa.
Famakafakana version
Ny famakafakana ireo sehatra mavitrika ampiasain'ny ReactGet sniffer operators dia nanambara dikan-teny maro samihafa amin'ity fianakavian'ny sniffers ity. Ny dikan-teny dia tsy mitovy amin'ny fisiana na tsy fisian'ny obfuscation, ary ankoatra izany, ny sniffer tsirairay dia natao ho an'ny rafitra fandoavam-bola manokana izay manodina ny fandoavam-bola amin'ny banky amin'ny fivarotana an-tserasera. Rehefa avy nandamina ny sandan'ny mari-pamantarana mifanandrify amin'ny laharan'ny dikan-teny, ny manam-pahaizana manokana ao amin'ny Group-IB dia nahazo lisitra feno amin'ny fiovaovan'ny sniffer misy, ary amin'ny anaran'ny saha endrika izay tadiavin'ny sniffer tsirairay ao amin'ny kaody pejy, dia fantatr'izy ireo ny rafitra fandoavam-bola. izay kendren'ny sniffer.
Lisitry ny sniffer sy ny rafitra fandoavam-bola mifanaraka aminy
URL Sniffer | Rafitra fandoavam-bola |
---|---|
|
Manomeza.Net |
Cardsave | |
|
Manomeza.Net |
Manomeza.Net | |
|
eWAY Rapid |
Manomeza.Net | |
Adyen | |
|
USAePay |
Manomeza.Net | |
USAePay | |
|
Manomeza.Net |
Moneris | |
USAePay | |
PayPal | |
Sage Pay | |
Verisign | |
PayPal | |
mivatra | |
|
Realex |
PayPal | |
LinkPoint | |
PayPal | |
PayPal | |
DataCash | |
|
PayPal |
|
Manomeza.Net |
|
Manomeza.Net |
Manomeza.Net | |
Manomeza.Net | |
|
Verisign |
|
Manomeza.Net |
Moneris | |
|
Sage Pay |
|
USAePay |
|
Manomeza.Net |
|
Manomeza.Net |
|
ANZ eGate |
|
Manomeza.Net |
|
Moneris |
|
Sage Pay |
Sage Pay | |
|
Manenjika Paymentech |
|
Manomeza.Net |
|
Adyen |
PsiGate | |
Cyber ββββSource | |
ANZ eGate | |
Realex | |
|
USAePay |
|
Manomeza.Net |
|
Manomeza.Net |
|
ANZ eGate |
|
PayPal |
|
PayPal |
Realex | |
|
Sage Pay |
|
PayPal |
|
Verisign |
Manomeza.Net | |
|
Verisign |
Manomeza.Net | |
|
ANZ eGate |
PayPal | |
Cyber ββββSource | |
|
Manomeza.Net |
|
Sage Pay |
Realex | |
|
Cyber ββββSource |
PayPal | |
PayPal | |
|
PayPal |
|
Verisign |
|
eWAY Rapid |
|
Sage Pay |
Sage Pay | |
|
Verisign |
Manomeza.Net | |
Manomeza.Net | |
|
First Data Global Gateway |
Manomeza.Net | |
Manomeza.Net | |
Moneris | |
|
Manomeza.Net |
|
PayPal |
|
Verisign |
|
USAePay |
USAePay | |
Manomeza.Net | |
Verisign | |
PayPal | |
|
Manomeza.Net |
mivatra | |
|
Manomeza.Net |
eWAY Rapid | |
|
Sage Pay |
Manomeza.Net | |
|
Ambatondrazaka |
|
Ambatondrazaka |
|
PayPal |
|
Sage Pay |
|
Sage Pay |
|
Manomeza.Net |
|
PayPal |
|
Manomeza.Net |
Verisign | |
|
PayPal |
|
Manomeza.Net |
|
mivatra |
|
Manomeza.Net |
eWAY Rapid | |
Sage Pay | |
|
Manomeza.Net |
Ambatondrazaka | |
|
PayPal |
|
Sage Pay |
Sage Pay | |
|
Manomeza.Net |
PayPal | |
Manomeza.Net | |
|
Verisign |
|
Manomeza.Net |
|
Manomeza.Net |
|
Manomeza.Net |
|
Manomeza.Net |
|
Sage Pay |
Sage Pay | |
|
Westpac PayWay |
|
PayFort |
|
PayPal |
|
Manomeza.Net |
|
mivatra |
|
First Data Global Gateway |
|
PsiGate |
Manomeza.Net | |
Manomeza.Net | |
|
Moneris |
|
Manomeza.Net |
Sage Pay | |
|
Verisign |
Moneris | |
PayPal | |
|
LinkPoint |
|
Westpac PayWay |
Manomeza.Net | |
|
Moneris |
|
PayPal |
Adyen | |
PayPal | |
Manomeza.Net | |
USAePay | |
EBizCharge | |
|
Manomeza.Net |
|
Verisign |
Verisign | |
Manomeza.Net | |
|
PayPal |
|
Moneris |
Manomeza.Net | |
|
PayPal |
PayPal | |
Westpac PayWay | |
Manomeza.Net | |
|
Manomeza.Net |
Sage Pay | |
|
Verisign |
|
Manomeza.Net |
|
PayPal |
|
PayFort |
Cyber ββββSource | |
PayPal Payflow Pro | |
|
Manomeza.Net |
|
Manomeza.Net |
Verisign | |
|
Manomeza.Net |
|
Manomeza.Net |
Sage Pay | |
Manomeza.Net | |
|
mivatra |
|
Manomeza.Net |
Manomeza.Net | |
Verisign | |
|
PayPal |
Manomeza.Net | |
|
Manomeza.Net |
Sage Pay | |
|
Manomeza.Net |
|
Manomeza.Net |
|
PayPal |
|
Flint |
|
PayPal |
Sage Pay | |
Verisign | |
|
Manomeza.Net |
|
Manomeza.Net |
|
mivatra |
|
Zebra matavy |
Sage Pay | |
|
Manomeza.Net |
First Data Global Gateway | |
|
Manomeza.Net |
|
eWAY Rapid |
Adyen | |
|
PayPal |
Serivisy mpivarotra QuickBooks | |
Verisign | |
|
Sage Pay |
Verisign | |
|
Manomeza.Net |
|
Manomeza.Net |
Sage Pay | |
|
Manomeza.Net |
|
eWAY Rapid |
Manomeza.Net | |
|
ANZ eGate |
|
PayPal |
Cyber ββββSource | |
|
Manomeza.Net |
Sage Pay | |
|
Realex |
Cyber ββββSource | |
|
PayPal |
|
PayPal |
|
PayPal |
|
Verisign |
eWAY Rapid | |
|
Sage Pay |
|
Sage Pay |
|
Verisign |
Manomeza.Net | |
|
Manomeza.Net |
|
First Data Global Gateway |
Manomeza.Net | |
Manomeza.Net | |
|
Moneris |
|
Manomeza.Net |
|
PayPal |
Mpitsikilo tenimiafina
Ny iray amin'ireo tombony amin'ny JavaScript sniffers miasa amin'ny lafiny mpanjifa amin'ny tranokala iray dia ny fahaiza-manaony: kaody ratsy tafiditra ao amin'ny tranokala iray dia afaka mangalatra karazana data, na angon-drakitra fandoavam-bola na ny fidirana sy ny tenimiafina amin'ny kaonty mpampiasa. Ny manam-pahaizana manokana ao amin'ny Group-IB dia nahita santionan'ny sniffer an'ny fianakaviana ReactGet, natao hangalatra ny adiresy mailaka sy ny tenimiafin'ny mpampiasa tranonkala.
Fifandraisana amin'ny sniffer ImageID
Nandritra ny famakafakana ny fivarotana iray voan'ny aretina, dia hita fa voan'ny aretina indroa ny tranokalany: ankoatry ny kaody ratsy an'ny fianakaviana ReactGet sniffer, dia hita koa ny code an'ny family sniffer ImageID. Ity fifaninihana ity dia mety ho porofo fa mampiasa teknika mitovy amin'izany ny mpandraharaha ao ambadiky ny sniffers mba hampidirana kaody ratsy.
Universal sniffer
Ny famakafakana ny iray amin'ireo anaran-tsehatra mifandraika amin'ny fotodrafitrasa sniffer ReactGet dia nanambara fa io mpampiasa io ihany no nanoratra anarana sehatra telo hafa. Ireo sehatra telo ireo dia naka tahaka ny sahan'ny tranokala tena misy ary nampiasaina taloha hampiantranoana sniffers. Rehefa namakafaka ny kaody amin'ny tranokala telo ara-dalΓ na dia nisy sniffer tsy fantatra hita, ary ny fanadihadiana fanampiny dia nampiseho fa dikan-teny nohatsaraina ny ReactGet sniffer. Ny dikan-teny rehetra nojerena teo aloha an'ity fianakavian'ny sniffers ity dia natao ho an'ny rafitra fandoavam-bola tokana, izany hoe ny rafitra fandoavam-bola tsirairay dia mitaky dikan-teny manokana amin'ny sniffer. Na izany aza, amin'ity tranga ity dia hita ny dikan-teny manerantany amin'ny sniffer izay afaka mangalatra fampahalalana amin'ny endrika mifandraika amin'ny rafitra fandoavam-bola 15 samihafa sy ny maody amin'ny tranokala e-varotra amin'ny fanaovana fandoavam-bola amin'ny Internet.
Noho izany, tany am-piandohan'ny asa, ny sniffer dia nikaroka ireo sahan'ny endrika fototra misy ny mombamomba an'ilay niharam-boina: anarana feno, adiresy ara-batana, nomeraon-telefaona.
Avy eo ilay sniffer dia nikaroka prefix 15 samihafa mifandraika amin'ny rafitra fandoavam-bola samihafa sy ny maody fandoavam-bola an-tserasera.
Avy eo, ny angon-drakitra manokana sy ny fampahalalana momba ny fandoavam-bola dia nangonina ary nalefa tany amin'ny tranokala iray fehezin'ny mpanafika: amin'ity tranga manokana ity, dia hita ny dikan-teny roa an'ny ReactGet sniffer manerantany, hita ao amin'ny tranonkala roa voajirika. Na izany aza, ireo dikan-teny roa ireo dia nandefa angona nangalarina tany amin'ny tranokala voajirika iray ihany zoobashop.com.
Ny famakafakana ny prefix izay nampiasain'ny sniffer hikaroka ireo saha misy ny mombamomba ny fandoavana ny volan'ilay niharam-boina dia nahafahan'ny anay hamantatra fa ity santionany sniffer ity dia natao ho an'ireto rafitra fandoavam-bola manaraka ireto:
- Manomeza.Net
- Verisign
- Data voalohany
- USAePay
- mivatra
- PayPal
- ANZ eGate
- Ambatondrazaka
- DataCash (MasterCard)
- Realex Payments
- PsiGate
- Heartland Payment Systems
Inona no fitaovana ampiasaina hangalarana ny mombamomba ny fandoavam-bola?
Ny fitaovana voalohany, hita nandritra ny famakafakana ny fotodrafitrasan'ireo mpanafika, dia ampiasaina hanakanana ireo sora-baventy ratsy tompon'andraikitra amin'ny fangalarana karatra banky. Nisy script bash nampiasa ny CLI an'ny tetikasa hita tao amin'ny iray amin'ireo mpampiantrano mpanafika
Ny fitaovana faharoa hita dia natao hamoronana kaody tompon'andraikitra amin'ny fametahana ny sniffer lehibe. Ity fitaovana ity dia mamorona kaody JavaScript izay manamarina raha eo amin'ny pejy fandoavam-bola ny mpampiasa amin'ny fikarohana ny adiresin'ny mpampiasa amin'izao fotoana izao mba hahitana tady. Zahao hoe, ny hovidiana sy ny sisa, ary raha tsara ny vokatra, dia ny kaody dia mitondra ny sniffer lehibe avy amin'ny mpizara mpanafika. Mba hanafenana ny asa ratsy, ny andalana rehetra, anisan'izany ny andalana fitsapana hamaritana ny pejy fandoavam-bola, ary koa ny rohy mankany amin'ny sniffer, dia voasivana amin'ny fampiasana base64.
Fanafihana phishing
Ny famakafakana ny fotodrafitrasa tambajotran'ireo mpanafika dia nahatsikaritra fa matetika ny vondrona mpanao heloka bevava dia mampiasa phishing mba hahazoana fidirana amin'ny tontolon'ny fitantanan'ny fivarotana an-tserasera kendrena. Ny mpanafika dia manoratra sehatra iray izay mitovitovy amin'ny sahan'ny fivarotana iray, ary avy eo dia mametraka takelaka fidirana amin'ny tontolon'ny fitantanana Magento sandoka eo aminy. Raha mahomby dia hahazo fidirana amin'ny tontolon'ny administratif an'ny Magento CMS ireo mpanafika, izay manome azy ireo fahafahana hanitsy ireo singa ao amin'ny tranokala ary hampihatra sniffer hangalatra ny angon-drakitra momba ny carte de crΓ©dit.
foto-drafitr'asa
ΠΠΎΠΌΠ΅Π½ | Daty nahitana/fisehoana |
---|---|
mediapack.info | 04.05.2017 |
adsgetapi.com | 15.06.2017 |
simcounter.com | 14.08.2017 |
mageanalytics.com | 22.12.2017 |
maxstatics.com | 16.01.2018 |
reactjsapi.com | 19.01.2018 |
mxcounter.com | 02.02.2018 |
apitstatus.com | 01.03.2018 |
orderracker.com | 20.04.2018 |
tagtracking.com | 25.06.2018 |
adsapigate.com | 12.07.2018 |
trust-tracker.com | 15.07.2018 |
fbstatspartner.com | 02.10.2018 |
billgetstatus.com | 12.10.2018 |
www.aldenmlilhouse.com | 20.10.2018 |
balletbeautlful.com | 20.10.2018 |
bargaljunkie.com | 20.10.2018 |
payselector.com | 21.10.2018 |
tagsmediaget.com | 02.11.2018 |
hs-payments.com | 16.11.2018 |
ordercheckpays.com | 19.11.2018 |
geisseie.com | 24.11.2018 |
gtmproc.com | 29.11.2018 |
livegetpay.com | 18.12.2018 |
sydneysalonsupplies.com | 18.12.2018 |
newrelicnet.com | 19.12.2018 |
nr-public.com | 03.01.2019 |
cloudodesc.com | 04.01.2019 |
ajaxstatic.com | 11.01.2019 |
livecheckpay.com | 21.01.2019 |
asianfoodgracer.com | 25.01.2019 |
Fianakaviana G-Analytics
Ity fianakavian'ny sniffers ity dia ampiasaina hangalatra karatra mpanjifa amin'ny fivarotana an-tserasera. Ny anaran-tsehatra voalohany nampiasain'ny vondrona dia voasoratra tamin'ny Aprily 2016, izay mety manondro fa nanomboka niasa ny vondrona tamin'ny tapaky ny taona 2016.
Amin'ny fampielezan-kevitra amin'izao fotoana izao, ny vondrona dia mampiasa anaran-tsehatra izay maka tahaka ny tolotra tena misy, toy ny Google Analytics sy jQuery, manafina ny asan'ny sniffers miaraka amin'ny script ara-dalΓ na sy anarana sehatra mitovy amin'ny ara-dalΓ na. Voatafika ireo tranokalan'ny Magento CMS.
Ahoana ny fampiharana ny G-Analytics amin'ny kaody fivarotana an-tserasera
Ny mampiavaka an'ity fianakaviana ity dia ny fampiasana fomba isan-karazany hangalarana ny mombamomba ny mpampiasa vola. Ho fanampin'ny fampidirana kaody JavaScript mahazatra amin'ny lafiny mpanjifa amin'ny tranokala, ny vondrona mpanao heloka bevava dia nampiasa teknika fanindronana kaody ho any amin'ny sisin'ny lohamilina, izany hoe ny script PHP izay manodina ny angona nampidirin'ny mpampiasa. Mampidi-doza ity teknika ity satria manasarotra ny mpikaroka amin'ny antoko fahatelo ny mamantatra ny kaody ratsy. Ny manam-pahaizana manokana ao amin'ny vondrona-IB dia nahita dikan-tsarimihetsika iray tafiditra ao amin'ny code PHP an'ny tranokala, mampiasa sehatra iray ho vavahady. dittm.org.
Hita ihany koa ny dikan-teny voalohany momba ny sniffer izay mampiasa sehatra iray ihany mba hanangonana angona halatra dittm.org, fa ity dikan-teny ity dia natao hametrahana eo amin'ny lafiny mpanjifa amin'ny fivarotana an-tserasera.
Nanova ny paikadiny ny vondrona taty aoriana ary nanomboka nifantoka bebe kokoa tamin'ny fanafenana ny asa ratsy sy ny saron-tava.
Tamin'ny fiandohan'ny taona 2017, nanomboka nampiasa ny sehatra ny vondrona jquery-js.com, misandoka ho CDN ho an'ny jQuery: rehefa mandeha any amin'ny tranokalan'ny mpanafika, dia alefa any amin'ny tranonkala ara-dalΓ na ny mpampiasa jquery.com.
Ary tamin'ny tapaky ny taona 2018, ny vondrona dia nandray ny anaran-tsehatra g-analytics.com ary nanomboka nanafina ny asan'ny sniffer ho serivisy Google Analytics ara-dalΓ na.
Famakafakana version
Nandritra ny famakafakana ireo sehatra ampiasaina amin'ny fitahirizana kaody sniffer dia hita fa misy dikan-teny maro be ny tranokala, izay tsy mitovy amin'ny fisian'ny obfuscation, ary koa ny fisiana na tsy fisian'ny kaody tsy azo tratrarina ampiana amin'ny rakitra mba hanelingelina ny saina. ary afeno ny kaody ratsy.
Total amin'ny tranokala jquery-js.com Dikan-teny enina momba ny sniffers no fantatra. Ireo sniffer ireo dia mandefa ny angona nangalarina any amin'ny adiresy hita ao amin'ny tranokala mitovy amin'ilay sniffer mihitsy: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Domain taty aoriana g-analytics.com, ampiasain'ny vondrona amin'ny fanafihana nanomboka tamin'ny tapaky ny taona 2018, dia toy ny fitehirizana ireo sniffers bebe kokoa. Amin'ny fitambarany, 16 karazana sniffer no hita. Amin'ity tranga ity, ny vavahady handefasana angona halatra dia nosoloina ho rohy mankany amin'ny endrika sary GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560Γ1440&vp=2145Γ371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Monetization ny angona nangalarina
Ny vondrona mpanao heloka bevava dia mamatsy vola ny angon-drakitra nangalarina amin'ny alΓ lan'ny fivarotana karatra amin'ny alΓ lan'ny fivarotana ambanin'ny tany noforonina manokana izay manome serivisy ho an'ny mpanao karatra. Ny famakafakana ireo sehatra ampiasain'ireo mpanafika dia nahafahanay namaritra izany google-analytics.cm dia nosoratan'ny mpampiasa mitovy amin'ny sehatra cardz.vc. Domain cardz.vc dia manondro fivarotana iray mivarotra karatra banky nangalarina Cardsurfs (Flysurfs), izay nalaza tamin'ny andron'ny asan'ny sehatra ara-barotra ambanin'ny tany AlphaBay ho fivarotana karatra banky nangalarina tamin'ny fampiasana sniffer.
Famakafakana ny sehatra analytical.is, hita ao amin'ny lohamilina mitovy amin'ny sehatra ampiasain'ny sniffers hanangonana angona halatra, ny manam-pahaizana manokana ao amin'ny Group-IB dia nahita rakitra misy logs mpangalatra cookie, izay toa navelan'ny mpamorona taty aoriana. Ny iray amin'ireo fidirana ao amin'ny diary dia misy sehatra iray iozoz.com, izay nampiasaina taloha tao amin'ny iray amin'ireo sniffers mavitrika tamin'ny taona 2016. Azo inoana fa ity sehatra ity dia nampiasain'ny mpanafika taloha mba hanangonana karatra nangalarina tamin'ny fampiasana sniffer. Ity sehatra ity dia nisoratra anarana tamina adiresy mailaka [email voaaro], izay nampiasaina hanoratana sehatra ihany koa cardz.su ΠΈ cardz.vc, mifandraika amin'ny fivarotana karatra Cardsurfs.
Raha ny angon-drakitra azo dia azo heverina fa ny fianakavian'ny G-Analytics sniffers sy ny tranombarotra ambanin'ny tany mivarotra karatra banky Cardsurfs dia olona iray ihany no mitantana, ary ny fivarotana dia ampiasaina amin'ny fivarotana karatra banky nangalarina tamin'ny fampiasana ny sniffer.
foto-drafitr'asa
ΠΠΎΠΌΠ΅Π½ | Daty nahitana/fisehoana |
---|---|
iozoz.com | 08.04.2016 |
dittm.org | 10.09.2016 |
jquery-js.com | 02.01.2017 |
g-analytics.com | 31.05.2018 |
google-analytics.is | 21.11.2018 |
analytique.to | 04.12.2018 |
google-analytics.to | 06.12.2018 |
google-analytics.cm | 28.12.2018 |
analytical.is | 28.12.2018 |
googlc-analytics.cm | 17.01.2019 |
Fianakaviana Illum
Illum dia fianakavian'ny sniffer ampiasaina amin'ny fanafihana fivarotana an-tserasera mitantana ny Magento CMS. Ho fanampin'ny fampidirana kaody ratsy, ny mpandraharaha amin'ity sniffer ity dia mampiasa ny fampidirana ireo endrika fandoavam-bola sandoka feno izay mandefa angona any amin'ny vavahady fehezin'ny mpanafika.
Rehefa nandinika ny fotodrafitrasa tambajotra ampiasain'ireo mpandraharaha amin'ity sniffer ity dia voamarika ny sora-baventy ratsy maro, ny fanararaotana, ny fandoavana vola sandoka, ary koa ny fanangonana ohatra miaraka amin'ny sniffer ratsy avy amin'ny mpifaninana. Miorina amin'ny fampahalalana momba ny datin'ny fisehoan'ny anaran-tsehatra ampiasain'ny vondrona, dia azo heverina fa nanomboka tamin'ny faran'ny taona 2016 ny fanentanana.
Ahoana ny fampiharana ny Illum amin'ny kaody fivarotana an-tserasera
Ny dikan-teny voalohany amin'ny sniffer hita dia natsofoka mivantana tao amin'ny kaody an'ilay tranokala simba. Nalefa tany amin'ny cdn.illum[.]pw/records.php, ny vavahady dia nasiana kaody mampiasa base64.
Taty aoriana dia hita ny dikan-teny feno sniffer izay mampiasa vavahady hafa - records.nstatistics[.]com/records.php.
Araka ny
Famakafakana ny tranokalan'ireo mpanafika
Ny manam-pahaizana manokana ao amin'ny Group-IB dia nahita sy nandinika tranonkala iray ampiasain'ity vondrona mpanao heloka bevava ity hitahiry fitaovana sy hanangonana vaovao halatra.
Anisan'ny fitaovana hita tao amin'ny lohamilin'ny mpanafika ny soratra sy ny fanararaotana mba hampitomboana ny tombontsoa amin'ny Linux OS: ohatra, ny Linux Privilege Escalation Check Script novolavolain'i Mike Czumak, ary koa fanararaotana ho an'ny CVE-2009-1185.
Nampiasa fanararaotana roa mivantana ireo mpanafika mba hanafika fivarotana an-tserasera:
Ary koa, nandritra ny famakafakana ny lohamilina, santionany isan-karazany amin'ny sniffers sy ny taratasy fandoavam-bola sandoka dia hita, nampiasain'ny mpanafika mba hanangonana vaovao momba ny fandoavam-bola amin'ny tranokala voajirika. Araka ny hitanao avy amin'ny lisitra etsy ambany, ny script sasany dia noforonina tsirairay ho an'ny tranokala voajirika tsirairay, raha ny vahaolana manerantany dia nampiasaina ho an'ny CMS sasany sy ny vavahadin'ny fandoavam-bola. Ohatra, scripts segapay_standart.js ΠΈ segapay_onpage.js natao ho fampiharana amin'ny tranokala mampiasa ny vavahadin'ny fandoavam-bola Sage Pay.
Lisitry ny script ho an'ny vavahady fandoavam-bola isan-karazany
teny | Vavahady fandoavam-bola |
---|---|
|
//request.payrightnow[.]cf/checkpayment.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
//request.payrightnow[.]cf/checkpayment.php | |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//cdn.illum[.]pw/records.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
//request.payrightnow[.]cf/checkpayment.php | |
|
//cdn.illum[.]pw/records.php |
//payrightnow[.]cf/?payment= | |
|
//payrightnow[.]cf/?payment= |
|
//paymentnow[.]tk/?payment= |
miaramila fandoavam-bola izao[.]tk, ampiasaina ho vavahady amin'ny script payment_forminsite.js, dia hita ho subjectAltName amin'ny fanamarinana maromaro mifandraika amin'ny serivisy CloudFlare. Ankoatra izany, nisy script ny mpampiantrano ratsy.js. Raha tsaraina amin'ny anaran'ny script, dia azo ampiasaina ho ampahany amin'ny fitrandrahana ny CVE-2016-4010, noho izany dia azo atao ny manindrona kaody ratsy ao amin'ny tongotry ny tranokala iray mihazakazaka CMS Magento. Nampiasa ity script ity ho vavahady ny mpampiantrano request.requestnet[.]tkmampiasa ny taratasy fanamarinana mitovy amin'ny mpampiantrano fandoavam-bola izao[.]tk.
Taratasy fandoavam-bola sandoka
Ny sary etsy ambany dia mampiseho ohatra iray amin'ny endrika fampidirana angona karatra. Ity endrika ity dia nampiasaina mba hidirana fivarotana an-tserasera sy hangalarana angona momba ny karatra.
Ity sary manaraka ity dia mampiseho ohatra amin'ny endrika fandoavam-bola sandoka PayPal izay nampiasain'ny mpanafika mba hidiran'ny tranokala amin'ity fomba fandoavam-bola ity.
foto-drafitr'asa
ΠΠΎΠΌΠ΅Π½ | Daty nahitana/fisehoana |
---|---|
cdn.illum.pw | 27/11/2016 |
records.nstatistics.com | 06/09/2018 |
request.payrightnow.cf | 25/05/2018 |
paymentnow.tk | 16/07/2017 |
payment-line.tk | 01/03/2018 |
paymentpal.cf | 04/09/2017 |
requestnet.tk | 28/06/2017 |
CoffeeMokko fianakaviana
Ny fianakavian'ny sniffers CoffeMokko, natao hangalarana karatra banky amin'ireo mpampiasa fivarotana an-tserasera, dia efa nampiasaina hatramin'ny volana Mey 2017 farafaharatsiny. Azo inoana fa ny mpandraharaha amin'ity fianakavian'ny sniffer ity dia ny vondrona mpanao heloka bevava 1, izay nofaritan'ny manam-pahaizana momba ny RiskIQ tamin'ny taona 2016. Ny tranokalan'ny CMS toy ny Magento, OpenCart, WordPress, osCommerce, ary Shopify dia voatafika.
Ahoana no ampiharana ny CoffeMokko amin'ny kaody fivarotana an-tserasera
Ny mpandraharaha amin'ity fianakaviana ity dia mamorona sniffer tokana ho an'ny otrikaretina tsirairay: ny rakitra sniffer dia hita ao amin'ny lahatahiry src na js amin'ny lohamilin'ny mpanafika. Ny fampidirana ao amin'ny code code dia atao amin'ny alΓ lan'ny rohy mivantana mankany amin'ny sniffer.
Ny kaody sniffer dia mamaritra ny anaran'ny sahan'ny endrika tokony hangalarana ny angona. Ny sniffer koa dia manamarina raha ao amin'ny pejy fandoavam-bola ny mpampiasa amin'ny alΓ lan'ny fanamarinana ny lisitry ny teny fanalahidy miaraka amin'ny adiresin'ny mpampiasa ankehitriny.
Ny dikan-teny sasany amin'ny sniffer dia nofaritana ary nisy tady voatahiry izay nitehirizana ny loharanon-karena lehibe indrindra: misy ny anaran'ny sahan'ny endrika ho an'ny rafitra fandoavam-bola isan-karazany, ary koa ny adiresin'ny vavahady handefasana ny angona nangalarina.
Nalefa tany amin'ny script iray teo amin'ny lohamilin'ireo mpanafika teny an-dalana ny fampahalalana momba ny fandoavam-bola nangalarina /savePayment/index.php na /tr/index.php. Azo inoana fa ity script ity dia ampiasaina handefasana angona avy amin'ny vavahady mankany amin'ny lohamilina lehibe, izay manambatra ny angona avy amin'ny sniffers rehetra. Mba hanafenana ny angon-drakitra nampitaina, ny fampahalalana rehetra momba ny fandoavam-bola an'ilay niharam-boina dia ampiasaina amin'ny alΓ lan'ny encryption base64, ary avy eo dia misy fanoloana tarehintsoratra maromaro:
- ny tarehin-tsoratra "e" dia nosoloina ":"
- ny marika "w" dia nosoloina "+"
- ny tarehin-tsoratra "o" dia nosoloina "%"
- ny tarehin-tsoratra "d" dia nosoloina "#"
- ny tarehin-tsoratra "a" dia nosoloina "-"
- ny marika "7" dia nosoloina "^"
- ny tarehintsoratra "h" dia nosoloina "_"
- ny marika "T" dia soloina "@"
- ny tarehintsoratra "0" dia nosoloina "/"
- ny tarehin-tsoratra "Y" dia nosoloina "*"
Vokatry ny fanoloana tarehintsoratra voakodia mampiasa base64 Ny angona dia tsy azo decode raha tsy misy fiovam-po mivadika.
Toy izao ny ampahany amin'ny kaody sniffer izay tsy nofafana:
Famakafakana fotodrafitrasa
Tamin'ny fampielezan-kevitra tany am-boalohany, nanoratra anarana sehatra mitovy amin'ny an'ny tranokala fivarotana an-tserasera ara-dalΓ na ireo mpanafika. Ny sahan'izy ireo dia mety tsy mitovy amin'ny iray ara-dalΓ na amin'ny marika iray na TLD hafa. Ireo sehatra voasoratra anarana dia nampiasaina hitahirizana kaody sniffer, rohy iray izay nampidirina tao amin'ny kaody fivarotana.
Ity vondrona ity koa dia nampiasa anaran-tsehatra mampahatsiahy ireo plugins jQuery malaza (slickjs[.]org ho an'ny tranokala mampiasa ny plugin malama.js), vavahady fandoavam-bola (sagecdn[.]org ho an'ny tranokala mampiasa ny rafitra fandoavam-bola Sage Pay).
Taty aoriana dia nanomboka namorona sehatra izay tsy misy ifandraisany amin'ny sehatry ny fivarotana na ny lohahevitry ny fivarotana ny anarany.
Ny sehatra tsirairay dia nifandraika tamin'ny tranokala iray nanaovana ny lahatahiry /js na / src. Ny script sniffer dia voatahiry ao amin'ity lahatahiry ity: sniffer iray isaky ny aretina vaovao. Ny sniffer dia nampidirina tao amin'ny kaody vohikala tamin'ny alΓ lan'ny rohy mivantana, saingy amin'ny tranga tsy fahita firy, ireo mpanafika dia nanova ny iray amin'ireo rakitra tranonkala ary nanampy kaody ratsy ho azy.
Famakafakana kaody
Algorithm obfuscation voalohany
Ao amin'ny santionany sasany hita amin'ny sniffers amin'ity fianakaviana ity, ny kaody dia nosamborina ary misy angon-drakitra voatahiry ilaina amin'ny fiasan'ny sniffer: indrindra indrindra, ny adiresy vavahadin'ny sniffer, ny lisitry ny sahan'ny fandoavam-bola, ary amin'ny tranga sasany, ny kaody sandoka. taratasy fandoavam-bola. Ao amin'ny kaody ao anatin'ny fiasa, ny loharanon-karena dia nofonosina tamin'ny fampiasana XOR amin'ny alalan'ny fanalahidy izay navela ho tohan-kevitra amin'ny asa mitovy.
Amin'ny alΓ lan'ny famongorana ny tady miaraka amin'ny fanalahidy mifanaraka amin'izany, tokana ho an'ny santionany tsirairay, azonao atao ny mahazo tady misy ny tady rehetra avy amin'ny code sniffer misaraka amin'ny toetran'ny mpizara.
Algorithm obfuscation faharoa
Tamin'ny santionan'ny sniffers an'ity fianakaviana ity taty aoriana, dia nisy mekanika fanakorontanana hafa nampiasaina: tamin'ity tranga ity, ny angon-drakitra dia nofonosina tamin'ny alΓ lan'ny algorithm nosoratan'ny tena. Tady misy angon-drakitra voatahiry ilaina amin'ny fiasan'ny sniffer dia nalefa ho tohan-kevitra ho an'ny asa decryption.
Amin'ny alΓ lan'ny console navigateur dia azonao atao ny mamadika ny angon-drakitra voatahiry ary mahazo andiana misy loharano sniffer.
Fifandraisana amin'ny fanafihana MageCart tany am-boalohany
Nandritra ny famakafakana ny iray amin'ireo sehatra ampiasain'ny vondrona ho vavahadin'ny fanangonana angon-drakitra halatra dia hita fa ity sehatra ity dia nampiantrano fotodrafitrasa ho an'ny fangalarana carte de crΓ©dit, mitovy amin'ny ampiasain'ny vondrona 1, iray amin'ireo vondrona voalohany,
Nisy rakitra roa hita tao amin'ny mpampiantrano ny fianakavian'ny sniffers CoffeMokko:
- mage.js β rakitra misy kaody sniffer Vondrona 1 misy adiresy vavahady js-cdn.link
- mag.php β script PHP tompon'andraikitra amin'ny fanangonana angon-drakitra nangalarin'ny sniffer
Ny votoatin'ny rakitra mage.js
Tapaka ihany koa fa ny sehatra voalohany indrindra nampiasain'ny vondrona ao ambadiky ny fianakavian'ny sniffer CoffeMokko dia voasoratra anarana tamin'ny 17 May 2017:
- rohy-js[.]rohy
- info-js[.]rohy
- track-js[.]rohy
- map-js[.]rohy
- smart-js[.]rohy
Ny endrik'ireo anaran-tsehatra ireo dia mifanandrify amin'ny anaran-tsehatra vondrona 1 izay nampiasaina tamin'ny fanafihana tamin'ny taona 2016.
Raha ny zava-misy hita dia azo heverina fa misy ifandraisany amin'ireo mpandraharaha ny CoffeMokko sniffers sy ny vondrona jiolahy 1. Azo inoana fa afaka nindrana fitaovana sy lozisialy tamin'ireo teo alohany ireo mpandraharaha CoffeMokko mba hangalatra karatra. Na izany aza, azo inoana kokoa fa ny vondrona mpanao heloka bevava ao ambadiky ny fampiasana ny fianakavian'ny sniffer CoffeMokko dia ireo olona nanao ny fanafihana vondrona 1. Taorian'ny famoahana ny tatitra voalohany momba ny asan'ny vondrona mpanao heloka bevava dia ny anaran'ny sehatra rehetra misy azy ireo. nosakanana ary nodinihina taminβny antsipiriany sy nofaritana ny fitaovana. Voatery niala sasatra ny vondrona, nanadio ny fitaovany anatiny ary nanoratra indray ny kaody sniffer mba hanohizana ny fanafihany ary tsy ho hita.
foto-drafitr'asa
ΠΠΎΠΌΠ΅Π½ | Daty nahitana/fisehoana |
---|---|
rohy-js.link | 17.05.2017 |
info-js.link | 17.05.2017 |
track-js.link | 17.05.2017 |
map-js.link | 17.05.2017 |
smart-js.link | 17.05.2017 |
adorebeauty.org | 03.09.2017 |
security-payment.su | 03.09.2017 |
braincdn.org | 04.09.2017 |
sagecdn.org | 04.09.2017 |
slickjs.org | 04.09.2017 |
oakandfort.org | 10.09.2017 |
citywlnery.org | 15.09.2017 |
dobell.su | 04.10.2017 |
childrensplayclothing.org | 31.10.2017 |
jewsondirect.com | 05.11.2017 |
shop-rnib.org | 15.11.2017 |
closetlondon.org | 16.11.2017 |
misshaus.org | 28.11.2017 |
battery-force.org | 01.12.2017 |
kik-vape.org | 01.12.2017 |
greatfurnituretradingco.org | 02.12.2017 |
etradesupply.org | 04.12.2017 |
replacemyremote.org | 04.12.2017 |
all-about-sneakers.org | 05.12.2017 |
mage-checkout.org | 05.12.2017 |
nililotan.org | 07.12.2017 |
lamoodbighat.net | 08.12.2017 |
walletgear.org | 10.12.2017 |
dahlie.org | 12.12.2017 |
davidsfootwear.org | 20.12.2017 |
blackriverimaging.org | 23.12.2017 |
exrpesso.org | 02.01.2018 |
parks.su | 09.01.2018 |
pmtonline.su | 12.01.2018 |
otocap.org | 15.01.2018 |
christohperward.org | 27.01.2018 |
coffeetea.org | 31.01.2018 |
energycoffe.org | 31.01.2018 |
energytea.org | 31.01.2018 |
teacoffe.net | 31.01.2018 |
adaptivecss.org | 01.03.2018 |
coffeemokko.com | 01.03.2018 |
londontea.net | 01.03.2018 |
ukcoffe.com | 01.03.2018 |
labbe.biz | 20.03.2018 |
batterynart.com | 03.04.2018 |
btosports.net | 09.04.2018 |
chicksaddlery.net | 16.04.2018 |
shoulderpay.org | 11.05.2018 |
ar500arnor.com | 26.05.2018 |
authorizecdn.com | 28.05.2018 |
slickmin.com | 28.05.2018 |
bannerbuzz.info | 03.06.2018 |
kandypens.net | 08.06.2018 |
mylrendyphone.com | 15.06.2018 |
freshchat.info | 01.07.2018 |
3lift.org | 02.07.2018 |
abtasty.net | 02.07.2018 |
mechat.info | 02.07.2018 |
zoplm.com | 02.07.2018 |
zapaljs.com | 02.09.2018 |
foodandcot.com | 15.09.2018 |
freshdepor.com | 15.09.2018 |
swapastore.com | 15.09.2018 |
verywellfitnesse.com | 15.09.2018 |
elegrina.com | 18.11.2018 |
majsurplus.com | 19.11.2018 |
top5value.com | 19.11.2018 |
Source: www.habr.com