ProHoster > Блог > rongo ipurangi > Ka taea e nga kaikawe: pehea te whanau FakeSecurity i pangia nga toa ipurangi

Ka taea e nga kaikawe: pehea te whanau FakeSecurity i pangia nga toa ipurangi

Ka taea e nga kaikawe: pehea te whanau FakeSecurity i pangia nga toa ipurangi

I te Hakihea 2018, i kitea e nga tohunga o te Roopu-IB he whanau hou o nga hongi, e kiia ana Haumaru rūpahuI whakamahia ēnei e tētahi rōpū taihara i pangia ngā paetukutuku e whakahaere ana i te CMS. MagentoI whakaatuhia e te tātaritanga i roto i tētahi pakanga tata nei, i whakamahia e ngā kaiwhakaeke te pūmanawa kino hei tahae i ngā kupuhipa. Ko ngā patunga he rangatira o ngā toa ipurangi kua pangia e te JavaScript sniffer. I whakatūpato te CERT a Group-IB i ngā pae kua pāngia, ā, i whakatūpato te kaitātari Group-IB Threat Intelligence Victor Okorokov I whakatau ahau ki te korero mo te pehea i taea ai e matou te tautuhi i nga mahi taihara.

Kia maumahara tatou i te Maehe 2019 Group-IB i whakaputaina pūrongo "Ko te hara kaore he whiu: he tātaritanga o nga whanau hongi JS," i tātarihia nga whanau 15 o nga hongi JS rereke i whakamahia ki te pangia i te neke atu i te rua mano nga waahi hokohoko ipurangi.

Wāhitau kotahi

I te wa o te mate, ka whakauruhia e te hunga whakaeke he hononga ki te tuhi kino ki roto i te waehere pae i utaina tenei tuhinga, a, i te wa o te utu mo nga taonga, ka haukotia nga raraunga utu a te manuhiri toa ipurangi, ka tukuna atu ki nga kaiwhaiwhai; 'tūmau. I nga waahanga tuatahi o nga whakaeke ma te whakamahi i te FakeSecurity, ko nga tuhinga kino me nga hongi kuaha kei runga i te rohe magento-security [.]org.

Ka taea e nga kaikawe: pehea te whanau FakeSecurity i pangia nga toa ipurangi
Ā muri ake nei ētahi Magento-i kitea kua pangia ngā pae e te whānau sniffer kotahi, engari i tēnei wā i whakamahia e ngā kaiwhakaeke ngā ingoa rohe hou hei manaaki i te waehere kino:

  • fiswedbesign[.]com
  • alloaypparel[.]com

I rehitatia enei ingoa rohe e rua ki te wahitau imeera kotahi greenstreethunter@india[.]com. Ko te wahitau ano i tohua i te rehitatanga o te ingoa rohe tuatoru firstofbanks[.]com.Ka taea e nga kaikawe: pehea te whanau FakeSecurity i pangia nga toa ipurangi

Ka tono pai matou

Ko te tātaritanga o nga waahi hou e toru i whakamahia e te roopu taihara FakeSecurity i whakaatu ko etahi o ratou i uru ki tetahi kaupapa tohatoha kino i timata i te Maehe 2019. I tohaina e nga kaiwhaiwhai nga hononga ki nga wharangi e kii ana me whakauru te kaiwhakamahi i tetahi mono e ngaro ana hei whakaatu tika i te tuhinga. Mena i timata te kaiwhakamahi ki te tango i te tono, kua pangia to rorohiko e te malware tahae kupuhipa.

Ka taea e nga kaikawe: pehea te whanau FakeSecurity i pangia nga toa ipurangi
He 11 nga hononga ahurei i kitea i puta ki nga wharangi rūpahu e akiaki ana i te kaiwhakamahi ki te whakauru i te kino.

  • hxxps://www.etodoors.com/uploads/Statement00534521[.]html
  • hxxps://www.healthcare4all.co.uk/manuals/Statement00534521[.]html
  • hxxps://www.healthcare4all.co.uk/lib/Statement001845[.]html
  • hxxps://www.healthcare4all.co.uk/doc/BankStatement001489232[.]html
  • hxxp://verticalinsider.com/bookmarks/Bank_Statement0052890[.]html
  • hxxp://thepinetree.net/n/docs/Statement00159701[.]html
  • hxxps://www.readicut.co.uk/media/pdf/Bank_Statement00334891[.]html
  • hxxp://www.e-cig.com/doc/pdf/eStmt[.]html
  • hxxps://www.genstattu.com/doc/PoliceStatement001854[.]html
  • hxxps://www.tokyoflash.com/pdf/statment001854[.]html
  • hxxps://www.readicut.co.uk/media/pdf/statment00789[.]html

Ko te tangata i mate i te pakanga kino i whiwhi i te imeera mokowhiti kei roto he hononga ki te wharangi taumata tuatahi. He tuhinga HTML iti tenei wharangi me te iframe, ka utaina te ihirangi mai i te wharangi taumata tuarua. Ko te wharangi taumata tuarua he wharangi taunga me nga ihirangi e akiaki ana i te kaiwhiwhi ki te whakauru i tetahi konae ka taea te kawe. I roto i te take o tenei pakanga kino, i whakamahia e te hunga whakaeke he wharangi taunga me te kaupapa o te whakauru i tetahi mono ngaro mo Adobe Reader, na te wharangi taumata tuatahi i whai hononga ki tetahi konae PDF i whakatuwherahia i te aratau tirohanga ipurangi i roto i te tirotiro. Kei roto i te wharangi taumata tuarua he hono ki tetahi konae kino kua tohatohahia hei waahanga o te pakanga kino, ka tangohia ina paatohia te paatene Tikiake mono.

Ko te tātaritanga o nga wharangi i whakamahia i roto i tenei pakanga i whakaatu ko te nuinga o nga wharangi taumata tuarua kei runga i nga rohe o te hunga whakaeke, ko te wharangi taumata tuatahi me te konae kino kei te nuinga o te waa kei runga i nga waahi e-hokohoko taumanutia.

He tauira hanganga wharangi mo te tohatoha malware

Na roto i te mokowhiti, ka whiwhi te tangata kaipahua he hononga ki tetahi konae HTML, hei tauira, hxxps://www.healthcare4all[.]co[.]uk/manuals/Statement00534521[.]html. Kei roto i te konae HTML kei te hono he huānga iframe me te hono ki te ihirangi matua o te wharangi; i roto i tenei tauira, ko te ihirangi wharangi kei te hxxps://alloaypparel[.]com/view/public/Statement00534521/PDF/Statement001854[.]pdf. Ka taea e tatou te kite mai i tenei tauira, i tenei keehi ka whakamahia e te hunga whakaeke he rohe kua rehitatia, ehara i te paetukutuku taumanutia, ki te tuku i nga ihirangi wharangi. I roto i te atanga e whakaatuhia ana i tenei hononga, he paatene Tikiake mono. Ki te paohia e te tangata kua pa ki tenei paatene, ka tangohia te konae kawe mai i te hono kua tohua ki te waehere wharangi; i tenei tauira, ka tangohia te konae kawe mai i te hono hxxps://www.healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe, ara, ko te konae kino ano kei te rongoa i runga i te pae taumanutia.

"Mephistopheles" o to tatou wa

Tātari Rohe alloaypparel[.]com i whakaatu mai i whakamahia te kete hītinihanga Mephistophilus ki te tohatoha i te kino, e taea ai e koe te hanga me te tohatoha i nga wharangi hītinihanga hei tohatoha kino: Ka whakamahia e Mephistophilus etahi momo wharangi taunga e akiaki ana i te kaiwhakamahi ki te whakauru i tetahi mono e kiia ana kua ngaro e tika ana kia mahi te tono. Inaa, ka whakauruhia e te kaiwhakamahi te malware, he hononga ka taapirihia e te kaiwhakahaere ma te roopu whakahaere a Mephistophilus.

I hokona te punaha whakaeke hītinihanga a Mephistophilus ki nga huihuinga o raro i te marama o Akuhata 2016. He mahi tinihanga hītinihanga paerewa tenei ma te whakamahi i nga rūpahu paetukutuku e tuku ana i te tango kino i raro i te ahua o te whakahou i te mono (MS Word, MS Excel, PDF, YouTube) hei tiro i nga ihirangi o tetahi tuhinga, wharangi ranei. I whakawhanakehia a Mephistophilus, i tukuna e te kaiwhakamahi o te huinga o raro o te whenua a Kokain. Kia pai te pangia e te whakamahi i te kete hītinihanga, me akiaki te kaitukino i te kaiwhakamahi ki te paato i te hono ki te wharangi i hangaia e Mephistophilus. Ahakoa te kaupapa o te wharangi hītinihanga, ka puta he karere e tohu ana me whakauru koe i te mono e ngaro ana hei whakaatu tika i tetahi tuhinga ipurangi, ataata YouTube ranei. Hei mahi i tenei, he maha nga momo wharangi hītinihanga a Mephistophilus e whai ana i nga ratonga tika:

  • Kaitiro tuhinga tuihono mo Microsoft Office365 Word, Excel ranei
  • Kaitirotiro PDF ipurangi
  • Ko te wharangi kati ratonga YouTube

Ka taea e nga kaikawe: pehea te whanau FakeSecurity i pangia nga toa ipurangi

Nga patunga

Hei waahanga o te pakanga kino, kaore te roopu taihara i whakawhäiti i a ia ano ki te whakamahi i nga ingoa rohe kua rehitatia ake: ki te penapena i nga tauira o nga konae kino kua tohatohahia, ka whakamahia ano e nga kaiwhaiwhai etahi waahi hokohoko ipurangi kua pangia e te hongi a FakeSecurity.

E rima ngā hononga ahurei katoa i kitea ki ngā tauira pūmanawa kino ahurei e rima, e whā o ēnei i rongoatia ki ngā paetukutuku i taumanutia e whakahaere ana i te CMS. Magento:

  • hxxps://www.healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe
  • hxxps://www.genstattu[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
  • hxxps://firstofbanks[.]com/file_d/Adobe-Reader-PDF-Plugin-2.35.8.exe
  • hxxp://e-cig[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
  • hxxp://thepinetree[.]net/docs/msw070619.exe

Ko nga tauira kino i tohatohahia i roto i tenei kaupapa he tauira o te tahae Vidar, i hangaia hei tahae i nga kupuhipa mai i nga kaitirotiro me etahi tono. Ka taea hoki e ia te kohikohi i nga konae kia rite ki nga tawhā kua tohua, ka whakawhiti ki te roopu whakahaere, he maamaa ake, hei tauira, ki te tahae i nga konae mai i nga putea cryptocurrency. Ka whakaatu a Vidar i te malware-as-a-service: ka whakawhitia nga raraunga kua kohia katoa ki te kuaha, ka tukuna ki te roopu whakahaere matua, ka taea e ia kaihoko tahae te tiro i nga raarangi i ahu mai i nga rorohiko pangia.

Tahae kaha

I puta te tahae Vidar i te marama o Noema 2018. I whakawhanakehia, i tukuna mo te hoko ki runga i nga huihuinga o raro e tetahi kaiwhakamahi i raro i te ingoa pseudonym Loadbaks. E ai ki te whakaahuatanga a te kaiwhakawhanake, ka taea e Vidar te tahae i nga kupuhipa mai i nga kaitirotiro, nga konae ma te whakamahi i etahi huarahi me nga kanohi kanohi, nga raraunga kaari putea, nga konae putea makariri, Telegram me te Skype reta, me te paetukutuku tirotiro hitori mai i nga kaitirotiro. Ko te utu reti mo te tangata tahae mai i te $250 ki te $300 ia marama. Ko te roopu whakahaere o te tahae me nga rohe e whakamahia ana hei keeti kei runga i nga kaitoro o nga kaituhi a Vidar, e whakaiti ana i nga utu hanganga mo nga kaihoko.

Ka taea e nga kaikawe: pehea te whanau FakeSecurity i pangia nga toa ipurangi
Mena he konae kino msw070619.exe, i tua atu i te tohatoha ma te whakamahi i te wharangi taunga Mephistophilus, i kitea ano he konae DOC kino. Tauākī Peeke0040918404.doc (MD5: 1b8a824074b414419ac10f5ded847ef1), i tuku i tenei konae kawe ki te kōpae ma te whakamahi tonotono. Kōnae DOC Tauākī Peeke0040918404.doc i pirihia hei taapiri ki nga imeera kino i tukuna hei waahanga o te kaupapa kino.

Ka taea e nga kaikawe: pehea te whanau FakeSecurity i pangia nga toa ipurangi

Te wehewehe i te whakaeke

Reta kitea (MD5: 53554192ca888cccbb5747e71825facd) i tukuna ki te wāhitau whakapā o te pae e whakahaere ana i te CMS Magento, mai i konei ka taea e tātou te whakatau ko tētahi o ngā whāinga o te kaupapa kino ko ngā kaiwhakahaere o ngā toa ipurangi, ā, ko te whāinga o te pangia ko te urunga atu ki te papa whakahaere. Magento me ētahi atu papaaho hokohoko ipurangi mō te tāutanga o tētahi taputapu hongi me te tahae i ngā raraunga kiritaki mai i ngā toa kua pangia.

Ka taea e nga kaikawe: pehea te whanau FakeSecurity i pangia nga toa ipurangi

Na, ko te kaupapa mate i te katoa ko nga waahanga e whai ake nei:

  1. I tukuna e nga kaiwhaiwhai te roopu whakahaere Mephistophilus Phishing Kit ki runga i te ope alloaypparel[.]com.
  2. I tukuna e te hunga whakaeke he malware tahae-kupuhipa ki runga i nga waahi tika kua taumanutia me o raatau ake pae.
  3. Ma te whakamahi i te kete hītinihanga, ka tukuna e te hunga whakaeke etahi wharangi taunga ki te tohatoha i te kino, me te hanga tuhinga kino me te tonotono e tango ana i te kino ki te rorohiko a te kaiwhakamahi.
  4. I whakahaerehia e nga kaiwhaiwhai he kaupapa mokowhiti ki te tuku i nga imeera me nga taapiri kino, me nga hononga ki nga wharangi taunga mo te whakauru i te kino. Ko etahi o nga whaainga a te hunga whakaeke he kaiwhakahaere o nga waahi hokohoko tuihono.
  5. I te wa i tutuki pai ai te rorohiko a te kaiwhakahaere toa ipurangi, ka whakamahia nga tohu tahae ki te uru atu ki te pae whakahaere o te toa me te whakauru i te hongi JS ki te tahae i nga kaari peeke a nga kaiwhakamahi e utu ana i runga i te waahi kua pangia.

Te hononga ki etahi atu whakaeke

I tukuna nga hanganga o nga kaiwhaiwhai ki runga i te tūmau me te wāhitau IP 200.63.40.2, no te ratonga riihi tūmau. Panamaservers[.]com. I mua i te pakanga FakeSecurity, i whakamahia tenei tūmau mo te hītinihanga, me te manaaki i nga panui whakahaere o nga momo kaupapa kino ki te tahae i nga kupuhipa.

I runga i nga korero motuhake o te kaupapa FakeSecurity, ka taea te whakaaro ko nga panui whakahaere o nga tahae a Lokibot me AZORULT, kei runga i tenei tūmau, i taea te whakamahi i nga whakaeke o mua e te roopu kotahi i te Hanuere 2019. E ai ki tenei tuhinga, I te Hanuere 14, 2019, ka tohatohahia e nga kaiwhaiwhai kore mohio te Lokibot malware ma te whakamahi i nga mēra papatipu me te konae DOC kino hei taapiri. Ko Hanuere 18, 2019 ano i mahia te tohatoha o nga tuhinga kino i whakauru i te AZORULT malware. I kitea e te tātaritanga o tenei pakanga ko nga panui whakahaere e whai ake nei kei runga i te tūmau whai wāhitau IP 200.63.40.2:

  • http[:]//chuxagama[.]com/web-obtain/Panel/five/PvqDq929BSx_A_D_M1n_a.php (Lokibot)
  • http[:]//umbra-diego[.]com/wp/Panel/five/PvqDq929BSx_A_D_M1n_a.php (Lokibot)
  • http[:]//chuxagama[.]com/web-obtain/Panel/five/index.php (AZORUlt)

I rēhitatia ngā ingoa rohe chuxagama[.]com me umbra-diego[.]com e te kaiwhakamahi kotahi me te wāhitau īmēra dicksonfletcher@gmail.com. I whakamahia tēnei wāhitau īmēra anō hei rēhita i te ingoa rohe worldcourrierservices[.]com i te marama o Mei 2016, ā, i whakamahia hei paetukutuku mā te kamupene tinihanga World Courier Service.

I runga i te meka ko te waahanga o te kaupapa kino kino a FakeSecurity, i whakamahia e nga kaiwhaiwhai te malware ki te tahae i nga kupuhipa me te tohatoha ma te imeera imeera, me te whakamahi ano hoki i tetahi tūmau me te IP IP 200.63.40.2, ka taea te whakaaro ko te pakanga kino o Hanuere. 2019 i whakahaerea te taua roopu taihara.

Ngā tohu

Ingoa kōnae Adobe-Reader-PDF-Plugin-2.37.2.exe

  • MD5 3ec1ac0be981ce6d3f83f4a776e37622
  • SHA-1 346d580ecb4ace858d71213808f4c75341a945c1
  • SHA-256 6ec8b7ce6c9858755964f94acdf618773275589024e2b66583e3634127b7e32c
  • Rahi 615984

Ingoa kōnae Adobe-Reader-PDF-Plugin-2.31.4.exe

  • MD5 58476e1923de46cd4b8bee4cdeed0911
  • SHA-1 aafa9885b8b686092b003ebbd9aaf8e604eea3a6
  • SHA-256 15abc3f55703b89ff381880a10138591c6214dee7cc978b7040dd8b1e6f96297
  • Rahi 578048

Ingoa kōnae Adobe-Reader-PDF-Plugin-2.35.8.exe

  • MD5 286096c7e3452aad4acdc9baf897fd0c
  • SHA-1 26d71553098b5c92b55e49db85c719f5bb366513
  • SHA-256 af04334369878408898a223e63ec50e1434c512bc21d919769c97964492fee19
  • Rahi 1069056

Ingoa kōnae Adobe-Reader-PDF-Plugin-2.31.4.exe

  • MD5 fd0e11372a4931b262f0dd21cdc69c01
  • SHA-1 54d34b6a6c4dc78e62ad03713041891b6e7eb90f
  • SHA-256 4587da5dca2374fd824a15e434dae6630b24d6be6916418cee48589aa6145ef6
  • Rahi 856576

Ingoa kōnae msw070619.exe

  • MD5 772db176ff61e9addbffbb7e08d8b613
  • SHA-1 6ee62834ab3aa4294eebe4a9aebb77922429cb45
  • SHA-256 0660059f3e2fb2ab0349242b4dde6bf9e37305dacc2da870935f4bede78aed34
  • Rahi 934448
  • fiswedbesign[.]com
  • alloaypparel[.]com
  • firstofbanks[.]com
  • magento-security[.]org
  • mage-security[.]org
  • https[:]//www[.]healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe
  • https[:]//www[.]genstattu[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
  • https[:]//firstofbanks[.]com/file_d/Adobe-Reader-PDF-Plugin-2.35.8.exe
  • http[:]//e-cig[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
  • http[:]//thepinetree[.]net/docs/msw070619.exe

Source: will.com

Hokona te manaaki pono mo nga waahi me te tiaki DDoS, nga kaiwhakarato VPS VDS 🔥 Hokona he manaaki paetukutuku pono me te tiakitanga DDoS, ngā tūmau VPS VDS | ProHoster