Бидний бараг хүн бүр онлайн дэлгүүрийн үйлчилгээг ашигладаг бөгөөд энэ нь эрт орой хэзээ нэгэн цагт бид JavaScript-ийн нууцлагчдын хохирогч болох эрсдэлтэй гэсэн үг юм - халдагчид банкны картын мэдээлэл, хаяг, хэрэглэгчийн нэр, нууц үгийг хулгайлах зорилгоор вэбсайт руу оруулдаг тусгай код. .
British Airways компанийн вэб сайт болон гар утасны аппликейшний бараг 400 хэрэглэгч үнэртэн, мөн Британийн спортын аварга FILA вэб сайт болон АНУ-ын тасалбар борлуулагч Ticketmaster-ийн зочдод өртсөн байна. PayPal, Chase Paymenttech, USAePay, Moneris - эдгээр болон бусад олон төлбөрийн системүүд халдвар авсан.
Threat Intelligence Group-IB-ийн шинжээч Виктор Окороков үнэрчид вэб сайтын код руу хэрхэн нэвтэрч, төлбөрийн мэдээллийг хулгайлдаг, мөн ямар CRM-д халддаг талаар ярьж байна.
"Нуугдсан аюул"
JS-sniffers удаан хугацааны туршид вирусын эсрэг шинжээчдийн хараанаас хол байсан тул банкууд болон төлбөрийн системүүд тэднийг ноцтой аюул гэж үзээгүй. Мөн дэмий хоосон. Групп-IB мэргэжилтнүүд 2440 халдвар авсан онлайн дэлгүүр, тэдний зочдод буюу өдөрт нийт 1,5 сая орчим хүн буулт хийх эрсдэлтэй байв. Хохирогчдын дунд зөвхөн хэрэглэгчид төдийгүй цахим дэлгүүр, төлбөрийн систем, нууцлагдсан карт гаргасан банкууд ч байгаа юм.
Group-IB нь үнэртнүүдийн харанхуй сүлжээний зах зээл, тэдгээрийн дэд бүтэц, мөнгө олох арга замын анхны судалгаа болж, бүтээгчиддээ сая сая долларын ашиг авчирсан. Бид 38 үнэрчний гэр бүлийг тодорхойлсон бөгөөд үүнээс зөвхөн 12-ыг нь урьд өмнө нь судлаачид мэддэг байсан.
Судалгааны явцад судлагдсан үнэрчний дөрвөн гэр бүлийн талаар дэлгэрэнгүй авч үзье.
ReactGet гэр бүл
ReactGet гэр бүлийн үнэрчдийг онлайн худалдааны сайтууд дээр банкны картын мэдээллийг хулгайлахад ашигладаг. Үнэрлэгч нь сайтад ашиглагдаж буй олон тооны өөр өөр төлбөрийн системтэй ажиллах боломжтой: нэг параметрийн утга нь нэг төлбөрийн системтэй тохирч, илрүүлэгчийн бие даасан хувилбарууд нь итгэмжлэлийг хулгайлах, түүнчлэн банкны картын мэдээллийг хулгайлахад ашиглаж болно. нэгэн зэрэг хэд хэдэн төлбөрийн системийн төлбөрийн хэлбэрүүд, тухайлбал бүх нийтийн үнэрлэгч гэж нэрлэгддэг. Зарим тохиолдолд халдагчид сайтын админ самбарт нэвтрэхийн тулд онлайн дэлгүүрийн админууд руу фишинг халдлага үйлддэг нь тогтоогдсон.
Энэхүү үнэрчний гэр бүлийн кампанит ажил 2017 оны тавдугаар сард эхэлсэн. CMS болон Magento, Bigcommerce, Shopify платформуудыг ажиллуулдаг сайтууд халдлагад өртсөн.
ReactGet-ийг онлайн дэлгүүрийн кодонд хэрхэн суулгасан бэ
"Сонгодог" скриптийг холбоосоор оруулахаас гадна ReactGet гэр бүлийн үнэрлэгч операторууд тусгай арга хэрэглэдэг: JavaScript кодыг ашиглан хэрэглэгчийн байгаа одоогийн хаяг нь тодорхой шалгуурыг хангаж байгаа эсэхийг шалгадаг. Одоогийн URL нь дэд мөр агуулсан тохиолдолд л хортой код ажиллана Тооцоо хийх буюу нэг алхам тооцоо хийх, нэг хуудас/, гадагш/нэг хуудас, тооцоо/нэг, скаут/нэг. Тиймээс, хэрэглэгч худалдан авалтын төлбөрөө хийж, төлбөрийн мэдээллийг сайт дээрх маягт руу оруулах үед үнэрлэгч код яг хэрэгжих болно.
Энэ үнэрлэгч нь стандарт бус техникийг ашигладаг. Хохирогчийн төлбөр болон хувийн мэдээллийг хамтад нь цуглуулж, кодчилдог base64, дараа нь үүссэн мөрийг хортой сайт руу хүсэлт илгээх параметр болгон ашигладаг. Ихэнх тохиолдолд хаалга руу орох зам нь жишээлбэл JavaScript файлыг дуурайдаг resp.js, data.js гэх мэт, гэхдээ зургийн файлуудын холбоосыг бас ашигладаг. GIF и JPG. Онцлог нь үнэрлэгч нь 1-ээс 1 пикселийн хэмжээтэй зургийн объект үүсгэж, өмнө нь олж авсан холбоосыг параметр болгон ашигладаг. SRC Зураг. Өөрөөр хэлбэл, хэрэглэгчийн хувьд замын хөдөлгөөнд байгаа ийм хүсэлт нь ердийн зураг авах хүсэлт шиг харагдах болно. Үүнтэй төстэй аргыг ImageID гэр бүлийн үнэрчдэд ашигласан. Нэмж дурдахад 1x1 пикселийн дүрсний техникийг олон хууль ёсны онлайн аналитик скриптүүдэд ашигладаг бөгөөд энэ нь хэрэглэгчийг төөрөгдүүлж болзошгүй юм.
Хувилбарын шинжилгээ
ReactGet sniffer операторуудын ашигладаг идэвхтэй домэйнуудад дүн шинжилгээ хийхэд энэ гэр бүлийн олон янзын хувилбаруудыг илрүүлсэн. Хувилбарууд нь төөрөгдөл байгаа эсвэл байхгүй байгаагаараа ялгаатай бөгөөд үүнээс гадна sniffer бүр нь онлайн дэлгүүрүүдэд зориулсан банкны картын төлбөрийг боловсруулдаг тодорхой төлбөрийн системд зориулагдсан байдаг. Хувилбарын дугаарт харгалзах параметрийн утгыг эрэмбэлсэний дараа Group-IB мэргэжилтнүүд боломжтой sniffer хувилбаруудын бүрэн жагсаалтыг хүлээн авсан бөгөөд sniffer бүрийн хуудасны кодонд хайдаг маягтын талбаруудын нэрээр төлбөрийн системийг тодорхойлсон. гэж үнэрлэгч онилодог.
Үнэрлэгчийн жагсаалт ба тэдгээрийн холбогдох төлбөрийн систем
| Sniffer URL | Төлбөрийн систем |
|---|---|
| Authorize.Net | |
| Карт хадгалах | |
| Authorize.Net | |
| Authorize.Net | |
| eWAY Rapid | |
| Authorize.Net | |
| Аден | |
| USAePay | |
| Authorize.Net | |
| USAePay | |
| Authorize.Net | |
| Монерис | |
| USAePay | |
| PayPal | |
| SagePay | |
| VeriSign | |
| PayPal | |
| судал | |
| Реалекс | |
| PayPal | |
| LinkPoint | |
| PayPal | |
| PayPal | |
| дата касс | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| VeriSign | |
| Authorize.Net | |
| Монерис | |
| SagePay | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| Authorize.Net | |
| Монерис | |
| SagePay | |
| SagePay | |
| Chase Paymentech | |
| Authorize.Net | |
| Аден | |
| PsiGate | |
| Кибер эх сурвалж | |
| ANZ eGate | |
| Реалекс | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| Реалекс | |
| SagePay | |
| PayPal | |
| VeriSign | |
| Authorize.Net | |
| VeriSign | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Кибер эх сурвалж | |
| Authorize.Net | |
| SagePay | |
| Реалекс | |
| Кибер эх сурвалж | |
| PayPal | |
| PayPal | |
| PayPal | |
| VeriSign | |
| eWAY Rapid | |
| SagePay | |
| SagePay | |
| VeriSign | |
| Authorize.Net | |
| Authorize.Net | |
| Анхны мэдээллийн глобал гарц | |
| Authorize.Net | |
| Authorize.Net | |
| Монерис | |
| Authorize.Net | |
| PayPal | |
| VeriSign | |
| USAePay | |
| USAePay | |
| Authorize.Net | |
| VeriSign | |
| PayPal | |
| Authorize.Net | |
| судал | |
| Authorize.Net | |
| eWAY Rapid | |
| SagePay | |
| Authorize.Net | |
| Braintree | |
| Braintree | |
| PayPal | |
| SagePay | |
| SagePay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| VeriSign | |
| PayPal | |
| Authorize.Net | |
| судал | |
| Authorize.Net | |
| eWAY Rapid | |
| SagePay | |
| Authorize.Net | |
| Braintree | |
| PayPal | |
| SagePay | |
| SagePay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| VeriSign | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| SagePay | |
| Westpac PayWay | |
| төлбөр | |
| PayPal | |
| Authorize.Net | |
| судал | |
| Анхны мэдээллийн глобал гарц | |
| PsiGate | |
| Authorize.Net | |
| Authorize.Net | |
| Монерис | |
| Authorize.Net | |
| SagePay | |
| VeriSign | |
| Монерис | |
| PayPal | |
| LinkPoint | |
| Westpac PayWay | |
| Authorize.Net | |
| Монерис | |
| PayPal | |
| Аден | |
| PayPal | |
| Authorize.Net | |
| USAePay | |
| EBizCharge | |
| Authorize.Net | |
| VeriSign | |
| VeriSign | |
| Authorize.Net | |
| PayPal | |
| Монерис | |
| Authorize.Net | |
| PayPal | |
| PayPal | |
| Westpac PayWay | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| VeriSign | |
| Authorize.Net | |
| PayPal | |
| төлбөр | |
| Кибер эх сурвалж | |
| PayPal Payflow Pro | |
| Authorize.Net | |
| Authorize.Net | |
| VeriSign | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| судал | |
| Authorize.Net | |
| Authorize.Net | |
| VeriSign | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| Authorize.Net | |
| PayPal | |
| Цахиур чулуу | |
| PayPal | |
| SagePay | |
| VeriSign | |
| Authorize.Net | |
| Authorize.Net | |
| судал | |
| Тарган Зебра | |
| SagePay | |
| Authorize.Net | |
| Анхны мэдээллийн глобал гарц | |
| Authorize.Net | |
| eWAY Rapid | |
| Аден | |
| PayPal | |
| QuickBooks худалдаачдын үйлчилгээ | |
| VeriSign | |
| SagePay | |
| VeriSign | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| eWAY Rapid | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Кибер эх сурвалж | |
| Authorize.Net | |
| SagePay | |
| Реалекс | |
| Кибер эх сурвалж | |
| PayPal | |
| PayPal | |
| PayPal | |
| VeriSign | |
| eWAY Rapid | |
| SagePay | |
| SagePay | |
| VeriSign | |
| Authorize.Net | |
| Authorize.Net | |
| Анхны мэдээллийн глобал гарц | |
| Authorize.Net | |
| Authorize.Net | |
| Монерис | |
| Authorize.Net | |
| PayPal |
Нууц үг илрүүлэгч
Вэб сайтын үйлчлүүлэгч тал дээр ажилладаг JavaScript sniffer-ийн нэг давуу тал нь түүний олон талт байдал юм: вэб сайтад суулгасан хортой код нь төлбөрийн мэдээлэл, хэрэглэгчийн бүртгэлээс нэвтрэх нэр, нууц үг гэх мэт ямар ч төрлийн өгөгдлийг хулгайлж болно. Group-IB-ийн мэргэжилтнүүд сайтын хэрэглэгчдийн цахим шуудангийн хаяг, нууц үгийг хулгайлах зорилготой ReactGet гэр бүлд хамаарах үнэрлэгчийн дээжийг илрүүлжээ.
ImageID sniffer-тэй огтлолцсон
Халдвар авсан дэлгүүрүүдийн нэгийг шинжилж үзэхэд түүний вэб сайт хоёр удаа халдвар авсан нь тогтоогдсон: ReactGet гэр бүлийн үнэрлэгчийн хортой кодоос гадна ImageID гэр бүлийн нууцлагчийн код олдсон байна. Энэхүү давхцал нь хоёр үнэрлэгчийн ард байгаа операторууд хортой код оруулахын тулд ижил төстэй арга хэрэглэж байгаагийн нотолгоо байж болох юм.
Бүх нийтийн үнэрлэгч
ReactGet sniffer-ийн дэд бүтэцтэй холбоотой домэйн нэрүүдийн нэгд дүн шинжилгээ хийх явцад нэг хэрэглэгч өөр гурван домэйн нэрийг бүртгүүлсэн нь тогтоогджээ. Эдгээр гурван домэйн нь бодит амьдрал дээрх сайтуудын домэйныг дуурайсан бөгөөд өмнө нь үнэрлэгчдийг байрлуулахад ашиглагдаж байсан. Гурван хууль ёсны сайтын кодыг шинжлэхэд үл мэдэгдэх sniffer олдсон бөгөөд цаашдын шинжилгээгээр энэ нь ReactGet sniffer-ийн сайжруулсан хувилбар болохыг харуулсан. Энэ гэр бүлийн урьд нь хянагдаж байсан бүх хувилбарууд нь нэг төлбөрийн системд чиглэгддэг байсан, өөрөөр хэлбэл төлбөрийн систем бүрт sniffer-ийн тусгай хувилбар шаардлагатай байсан. Гэсэн хэдий ч энэ тохиолдолд 15 өөр төлбөрийн систем, онлайн төлбөр хийх цахим худалдааны сайтуудын модулиудтай холбоотой маягтаас мэдээлэл хулгайлах чадвартай sniffer-ийн бүх нийтийн хувилбарыг илрүүлсэн.
Тиймээс, ажлын эхэнд үнэрлэгч хохирогчийн хувийн мэдээллийг агуулсан үндсэн маягтын талбаруудыг хайсан: бүтэн нэр, хаяг, утасны дугаар.
Дараа нь үнэрлэгч онлайн төлбөрийн өөр өөр төлбөрийн систем, модулиудад тохирох 15 гаруй өөр угтварыг хайсан.
Дараа нь хохирогчийн хувийн мэдээлэл болон төлбөрийн мэдээллийг хамтад нь цуглуулж, халдагчийн хяналтанд байдаг сайт руу илгээсэн: энэ тохиолдолд ReactGet универсал үнэрлэгчийн хоёр хувилбарыг хакердсан хоёр өөр сайтаас олжээ. Гэсэн хэдий ч хоёр хувилбар нь хулгайлагдсан өгөгдлийг ижил хакердсан сайт руу илгээсэн. zoobashop.com.
Хохирогчийн төлбөрийн мэдээллийг агуулсан талбаруудыг олохын тулд шинчлэгчийн ашигласан угтваруудын дүн шинжилгээгээр энэхүү түүвэрлэгч нь дараах төлбөрийн системд чиглэгдсэн болохыг тогтоожээ.
- Authorize.Net
- VeriSign
- Эхний өгөгдөл
- USAePay
- судал
- PayPal
- ANZ eGate
- Braintree
- Дата бэлэн мөнгө (MasterCard)
- Realex төлбөр
- PsiGate
- Heartland төлбөрийн системүүд
Төлбөрийн мэдээллийг хулгайлахад ямар хэрэгсэл ашигладаг вэ
Халдагчдын дэд бүтцэд дүн шинжилгээ хийх явцад олж илрүүлсэн анхны хэрэгсэл нь банкны картыг хулгайлах үүрэгтэй хортой скриптүүдийг нуун дарагдуулдаг. Төслийн CLI-г ашигласан bash скрипт халдагчдын нэг хостоос олдсон. sniffer кодын нууцлах ажиллагааг автоматжуулах.
Хоёрдахь нээсэн хэрэгсэл нь үндсэн sniffer-ийг ачаалах үүрэгтэй код үүсгэх зорилготой юм. Энэ хэрэгсэл нь хэрэглэгчийн одоогийн хаягийг хайж олох замаар тухайн хэрэглэгчийн тооцооны хуудсанд байгаа эсэхийг шалгах JavaScript кодыг үүсгэдэг. Тооцоо хийх, Сагсанд гэх мэтээр үр дүн нь эерэг байвал код нь халдагчийн серверээс үндсэн sniffer-ийг ачаална. Хортой үйлдлийг нуухын тулд төлбөрийн хуудсыг тодорхойлох туршилтын мөрүүд, мөн үнэрлэгчийн холбоос зэрэг бүх мөрүүдийг кодчилдог. base64.
Фишинг халдлага
Халдагчдын сүлжээний дэд бүтцэд дүн шинжилгээ хийх явцад гэмт бүлэглэл нь зорилтот онлайн дэлгүүрийн удирдлагын самбарт нэвтрэхийн тулд фишинг ашигладаг болох нь тогтоогджээ. Халдагчид дэлгүүрийн домэйн шиг харагдах домэйныг бүртгэж, дараа нь түүн дээр хуурамч Magento админ нэвтрэх маягт байрлуулдаг. Амжилттай болвол халдагчид Magento CMS-ийн админ самбарт хандах боломжтой бөгөөд энэ нь тэдэнд сайтын бүрэлдэхүүн хэсгүүдийг засварлах, зээлийн картын мэдээллийг хулгайлах sniffer хэрэгжүүлэх боломжийг олгодог.
Дэд бүтэц
| Домэйн нэр | Илэрсэн / харагдах огноо |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagtracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trusttracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonssupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
G-Analytics гэр бүл
Энэхүү үнэрчний гэр бүл нь онлайн дэлгүүрүүдээс хэрэглэгчийн картыг хулгайлахад ашиглагддаг. Бүлгийн ашигласан хамгийн анхны домэйн нэрийг 2016 оны 2016-р сард бүртгэсэн бөгөөд энэ нь XNUMX оны дундуур бүлгийн үйл ажиллагаа эхэлснийг илтгэж магадгүй юм.
Одоогийн кампанит ажилд тус бүлэглэл нь Google Analytics, jQuery зэрэг бодит үйлчилгээг дуурайдаг домэйн нэрийг ашигладаг бөгөөд хууль ёсны скриптүүд болон хууль ёсны харагдах домэйн нэрээр sniffer үйл ажиллагааг далдалдаг. CMS Magento дор ажилладаг вэб сайтууд халдлагад өртсөн.
Онлайн дэлгүүрийн кодонд G-Analytics хэрхэн хэрэгждэг вэ
Энэ гэр бүлийн өвөрмөц онцлог нь хэрэглэгчийн төлбөрийн мэдээллийг хулгайлах янз бүрийн аргыг ашиглах явдал юм. Гэмт хэргийн бүлэглэл нь сайтын үйлчлүүлэгч тал руу сонгодог JavaScript тарилга хийхээс гадна сайтын сервер тал руу код оруулах арга техникийг, тухайлбал хэрэглэгчийн оруулсан мэдээллийг боловсруулдаг PHP скриптүүдийг ашигласан байна. Энэ техник нь гуравдагч талын судлаачдад хортой кодыг илрүүлэхэд хүндрэл учруулдагаараа аюултай. Group-IB-ийн мэргэжилтнүүд домайныг хаалга болгон ашиглаж, сайтын PHP кодонд суулгасан sniffer-ийн хувилбарыг олж илрүүлжээ. dittm.org.
Хулгайлагдсан мэдээллийг цуглуулахын тулд ижил домэйн ашигладаг үнэрлэгчийн анхны хувилбарыг мөн илрүүлсэн. dittm.org, гэхдээ энэ хувилбар нь аль хэдийн онлайн дэлгүүрийн үйлчлүүлэгч талд суулгахад зориулагдсан.
Хожим нь тус бүлэглэл тактикаа өөрчилж, хорлонтой үйлдлээ нуун дарагдуулах, өнгөлөн далдлах тал дээр илүү анхаарч эхэлсэн.
2017 оны эхээр тус групп домайныг ашиглаж эхэлсэн jquery-js.comjQuery-д зориулсан CDN-ээр хувиргах: хортой сайт руу орох үед хэрэглэгчийг хууль ёсны сайт руу чиглүүлдэг. jquery.com.
Мөн 2018 оны дундуур тус бүлэг домэйн нэрийг баталсан g-analytics.com мөн үнэрчний үйл ажиллагааг хууль ёсны Google Analytics үйлчилгээ гэж далдлаж эхлэв.
Хувилбарын шинжилгээ
Сниферийн кодыг хадгалахад ашигласан домэйнуудад дүн шинжилгээ хийх явцад тус сайт нь эргэлзээтэй байдлаар ялгаатай олон тооны хувилбаруудтай, түүнчлэн анхаарлыг сарниулахын тулд файлд нэвтрэх боломжгүй код нэмсэн эсвэл байхгүй болох нь тогтоогджээ. мөн хортой кодыг нуух.
Сайт дээрх нийт дүн jquery-js.com үнэрчний зургаан хувилбарыг тогтоосон. Эдгээр үнэрчид хулгайлагдсан өгөгдлийг үнэрлэгчтэй ижил сайтад байрлах хаяг руу илгээдэг. hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Дараа нь домэйн g-analytics.com2018 оны дунд үеэс эхлэн тус бүлэглэлийн халдлагад ашиглагдаж байсан бөгөөд энэ нь илүү олон үнэрчдэд зориулсан агуулах болж байна. Нийтдээ үнэрлэгчийн 16 өөр хувилбарыг илрүүлжээ. Энэ тохиолдолд хулгайлагдсан өгөгдлийг илгээх хаалгыг форматын зургийн холбоос болгон далдалсан болно. GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Хулгайлагдсан өгөгдлийг мөнгөжүүлэх
Гэмт хэргийн бүлэглэл нь хулгайлсан мэдээллээс мөнгө олж, картчинд үйлчилгээ үзүүлдэг тусгайлан байгуулсан газар доорх дэлгүүрээр дамжуулан карт зардаг. Халдагчдын ашигласан домэйнуудад дүн шинжилгээ хийснээр үүнийг тодорхойлох боломжтой болсон google-analytics.cm домэйнтэй ижил хэрэглэгч бүртгүүлсэн cardz.vc. Домэйн cardz.vc Энэ нь AlphaBay газар доорх зах зээлийн үед үнэртүүлэгч ашиглан хулгайлагдсан банкны картуудыг зардаг дэлгүүр гэдгээрээ алдартай болсон, хулгайлагдсан банкны карт зардаг дэлгүүрийг хэлдэг Cardsurfs (Flysurfs).
Домайнд дүн шинжилгээ хийж байна analytical.is, хулгайлагдсан мэдээллийг цуглуулахад нууцлагчдын ашигладаг домэйнуудтай нэг сервер дээр байрладаг, Group-IB-ийн мэргэжилтнүүд Cookie хулгайчдын бүртгэлийг агуулсан файлыг илрүүлсэн бөгөөд үүнийг хожим хөгжүүлэгч орхисон бололтой. Бүртгэлийн оруулгуудын нэг нь домэйн агуулсан байна iozoz.com, өмнө нь 2016 онд идэвхтэй үнэрлэгчийн нэгэнд ашиглагдаж байсан. Энэ домэйныг өмнө нь халдагчид үнэрлэгч ашиглан хулгайлсан картуудыг цуглуулахад ашигладаг байсан байх. Энэ домэйн имэйл хаягаар бүртгэгдсэн байна [имэйлээр хамгаалагдсан], энэ нь мөн домэйныг бүртгэхэд ашиглагдаж байсан cardz.su и cardz.vcCardsurfs картын дэлгүүртэй холбоотой.
Олж авсан мэдээллээс харахад G-Analytics үнэрчний гэр бүл болон газар доорх Cardsurfs банкны картын дэлгүүрийг нэг хүмүүс ажиллуулдаг бөгөөд тус дэлгүүрийг үнэрлэгч ашиглан хулгайлсан банкны картыг борлуулдаг гэж үзэж болно.
Дэд бүтэц
| Домэйн нэр | Илэрсэн / харагдах огноо |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| аналитик.to | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| analytical.is | 28.12.2018 |
| googlelc-analytics.cm | 17.01.2019 |
Иллум гэр бүл
Illum бол Magento CMS ажиллуулж буй онлайн дэлгүүрүүд рүү халдах зорилгоор ашигладаг үнэрчний гэр бүл юм. Хортой кодыг нэвтрүүлэхээс гадна энэ sniffer-ийн операторууд халдагчдын хяналтанд байдаг хаалга руу өгөгдөл илгээдэг бүрэн хэмжээний хуурамч төлбөрийн маягтуудыг ашигладаг.
Энэхүү sniffer-ийн операторуудын ашигладаг сүлжээний дэд бүтцэд дүн шинжилгээ хийхдээ олон тооны хортой скриптүүд, мөлжлөгүүд, хуурамч төлбөрийн маягтууд, түүнчлэн хорлонтой sniffer өрсөлдөгчидтэй жишээ цуглуулсан болохыг тэмдэглэжээ. Бүлгийн ашигладаг домэйн нэр гарч ирэх огнооны талаарх мэдээлэлд үндэслэн кампанит ажлын эхлэл нь 2016 оны сүүлээр тохиож байна гэж таамаглаж болно.
Онлайн дэлгүүрийн кодонд Illum хэрхэн хэрэгждэг вэ
Анхны илрүүлсэн sniffer хувилбаруудыг эвдэрсэн сайтын код руу шууд суулгасан. Хулгайлагдсан өгөгдлийг илгээсэн cdn.illum[.]pw/records.php, хаалгыг ашиглан кодлогдсон base64.
Хожим нь үнэрлэгчийн багцалсан хувилбарыг өөр хаалга ашиглан илрүүлсэн. records.nstatistics[.]com/records.php.
Дагуу Willem de Groot, ижил хост дээр хэрэгжиж байсан sniffer ашигласан , Германы улс төрийн намын CSU эзэмшдэг.
Довтолгооны сайтын шинжилгээ
Групп-IB-ийн мэргэжилтнүүд энэ гэмт бүлэглэлийн багаж хэрэгсэл хадгалах, хулгайлагдсан мэдээллийг цуглуулахад ашигладаг сайтыг илрүүлж, дүн шинжилгээ хийсэн.
Халдагчийн серверээс олдсон хэрэгслүүдийн дотроос Линукс үйлдлийн системд давуу эрх нэмэгдүүлэх скриптүүд болон мөлжлөгүүд олдсон: жишээлбэл, Майк Цзумакийн боловсруулсан Linux Privilege Escalation Check Script, мөн CVE-2009-1185-д зориулсан exploit.
Халдагчид онлайн дэлгүүрүүд рүү шууд халдахын тулд хоёр мөлжлөг ашигласан: хортой код оруулах чадвартай үндсэн_тохируулгын_өгөгдөл CVE-2016-4010-г ашигласнаар, Magento CMS залгаасуудын RCE эмзэг байдлыг ашиглаж, эмзэг вэб сервер дээр дурын кодыг ажиллуулах боломжийг олгодог.
Мөн серверт дүн шинжилгээ хийх явцад халдагчид хакердсан сайтуудаас төлбөрийн мэдээлэл цуглуулахад ашигладаг sniffers болон хуурамч төлбөрийн маягтуудын янз бүрийн дээж олдсон байна. Доорх жагсаалтаас харахад хакердсан сайт бүрт зарим скриптийг тус тусад нь үүсгэсэн бол зарим CMS болон төлбөрийн гарцуудад бүх нийтийн шийдлийг ашигласан байна. Жишээлбэл, скриптүүд segapay_standard.js и segapay_onpage.js Sage Pay төлбөрийн гарцыг ашиглан сайтууд дээр суулгахад зориулагдсан.
Төрөл бүрийн төлбөрийн гарцуудын скриптүүдийн жагсаалт
| Скрипт | Төлбөрийн гарц |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdirenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standard.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standard.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?төлбөр= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?төлбөр= |
| [.]pw/magento/payment_forminsite.js | //paymentnow[.]tk/?payment= |
Хөтлөгч төлбөрийг одоо[.]тк, скриптэд хаалга болгон ашигладаг payment_forminsite.js, гэж нээсэн SubjectAltName CloudFlare үйлчилгээтэй холбоотой хэд хэдэн гэрчилгээнд. Үүнээс гадна, скрипт нь хост дээр байрладаг байсан evil.js. Скриптийн нэрнээс харахад энэ нь CVE-2016-4010-ийг ашиглахад ашиглагдаж болох бөгөөд үүний ачаар Magento CMS ажиллуулж буй сайтын хөл хэсэгт хортой код оруулах боломжтой. Энэ скрипт нь хостыг хаалга болгон ашигласан request.requestnet[.]tk, хосттой ижил гэрчилгээг ашиглан төлбөрийг одоо[.]тк.
Хуурамч төлбөрийн маягтууд
Доорх зурагт картын өгөгдлийг оруулах маягтын жишээг харуулав. Энэ маягтыг онлайн дэлгүүрийн вэбсайт руу нэвтэрч, картын мэдээллийг хулгайлахад ашигласан.
Дараах зураг нь энэхүү төлбөрийн аргыг ашиглан сайт руу нэвтэрч халдагчид ашигласан хуурамч PayPal төлбөрийн маягтын жишээ юм.
Дэд бүтэц
| Домэйн нэр | Илэрсэн / харагдах огноо |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| хүсэлт.payrightnow.cf | 25/05/2018 |
| paymentnow.tk | 16/07/2017 |
| payment-line.tk | 01/03/2018 |
| paymentpal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
Кофе Моккогийн гэр бүл
Онлайн дэлгүүрийн хэрэглэгчдийн банкны картыг хулгайлах зорилготой CoffeMokko гэр бүлийн үнэрчдийг 2017 оны тавдугаар сараас хойш ашиглаж байна. RiskIQ-ийн шинжээчдийн 1 онд тодорхойлсон 2016-р бүлгийн гэмт хэргийн бүлэглэл нь энэ гэр бүлийн анхилуун үнэрчний оператор гэж таамаглаж байна. Magento, OpenCart, WordPress, osCommerce, Shopify зэрэг CMS ажиллуулдаг вэб сайтууд халдлагад өртсөн.
CoffeMokko-г онлайн дэлгүүрийн кодонд хэрхэн суулгасан бэ
Энэ гэр бүлийн операторууд халдвар бүрт өвөрмөц үнэрлэгчийг бий болгодог: sniffer файл нь лавлахад байрладаг. SRC буюу js халдагчийн сервер дээр. Сайтын кодыг нэвтрүүлэх нь үнэрлэгчтэй шууд холбоосоор хийгддэг.
Үнэрлэгч код нь таны өгөгдлийг хулгайлахыг хүсэж буй маягтын талбаруудын нэрийг хатуу кодлодог. Мөн үнэрлэгч нь хэрэглэгчийн одоогийн хаягтай түлхүүр үгсийн жагсаалтыг шалгах замаар тухайн хэрэглэгчийн тооцооны хуудсанд байгаа эсэхийг шалгадаг.
Сниферийн зарим нээсэн хувилбарууд нь бүдэг бадаг байсан бөгөөд үндсэн нөөцийг хадгалдаг шифрлэгдсэн мөрийг агуулсан: янз бүрийн төлбөрийн системд зориулсан маягтын талбаруудын нэрс, хулгайлагдсан өгөгдлийг илгээх хаалганы хаягийг агуулсан байв.
Хулгайлагдсан төлбөрийн мэдээллийг замдаа халдагчийн сервер дээрх скрипт рүү илгээсэн байна. /savePayment/index.php эсвэл /tr/index.php. Энэ скрипт нь бүх sniffers-ийн өгөгдлийг нэгтгэдэг гол сервер рүү өгөгдөл дамжуулахад хэрэглэгддэг. Дамжуулсан өгөгдлийг нуухын тулд хохирогчийн төлбөрийн бүх мэдээллийг ашиглан кодчилдог base64, дараа нь хэд хэдэн тэмдэгт солигдоно:
- "e" тэмдэгтийг ":" гэж сольсон.
- "w" тэмдгийг "+" тэмдэгээр сольсон
- "o" тэмдэгтийг "%" гэж сольсон
- "d" тэмдэгтийг "#" тэмдэгтээр сольсон
- "a" тэмдэгтийг "-" гэж сольсон
- "7" тэмдгийг "^" гэж сольсон.
- "h" тэмдэгтийг "_" тэмдэгтээр сольсон
- "T" тэмдгийг "@" -ээр сольсон
- "0" тэмдэгтийг "/" тэмдэгтээр сольсон
- "Y" тэмдэгтийг "*" гэж сольсон
-ээр кодлогдсон тэмдэгтийн орлуулалтын үр дүнд base64 урвуу хувиргалгүйгээр өгөгдлийг тайлах боломжгүй.
Сниферийн кодын бүдэгрүүлээгүй хэсэг нь дараах байдалтай байна.
Дэд бүтцийн шинжилгээ
Эрт кампанит ажлын үеэр халдагчид хууль ёсны онлайн худалдааны сайтуудтай төстэй домэйн нэрийг бүртгэсэн. Тэдний домэйн нь хууль ёсныхоос нэг тэмдэгтээр эсвэл өөр TLD-ээс ялгаатай байж болно. Бүртгэгдсэн домэйнүүдийг sniffer кодыг хадгалахад ашигласан бөгөөд линкийг нь дэлгүүрийн кодонд суулгасан.
Энэ бүлэг нь алдартай jQuery залгаасуудыг санагдуулам домэйн нэрийг ашигласан (slickjs[.]org залгаасыг ашигладаг сайтуудад зориулсан slick.js), төлбөрийн гарцууд (sagecdn[.]org Sage Pay төлбөрийн системийг ашигладаг сайтуудад).
Хожим нь тус групп нэр нь дэлгүүрийн домайн эсвэл дэлгүүрийн сэдэвтэй ямар ч холбоогүй домэйнүүдийг үүсгэж эхэлсэн.
Домэйн бүр нь лавлах үүсгэсэн сайттай тохирч байв /js буюу /src. Энэ санд үнэрлэгчийн скриптүүдийг хадгалсан: шинэ халдвар бүрт нэг үнэрлэгч. Шууд холбоосоор дамжуулан сайтын код руу шиншлэгчийг нэвтрүүлсэн боловч ховор тохиолдолд халдагчид сайтын аль нэг файлыг өөрчилж, түүнд хортой код нэмж оруулсан байна.
Кодын шинжилгээ
Анхны бүдүүлэг алгоритм
Энэ гэр бүлийн зарим үнэрлэгчийн дээжүүдэд код нь бүдэг бадаг байсан бөгөөд үнэрлэгчийн ажиллахад шаардлагатай шифрлэгдсэн өгөгдлийг агуулж байсан: тухайлбал, үнэрлэгчийн хаалганы хаяг, төлбөрийн маягтын талбаруудын жагсаалт, зарим тохиолдолд төлбөрийн маягтын хуурамч код. Функц доторх кодонд нөөцүүдийг шифрлэсэн XOR ижил функцэд аргумент болгон дамжуулсан түлхүүрээр.
Дээж тус бүрт өвөрмөц, харгалзах түлхүүрээр мөрийг тайлснаар та хязгаарлагч тэмдэгтээр тусгаарлагдсан sniffer кодын бүх мөрийг агуулсан мөрийг авах боломжтой.
Хоёр дахь бүдүүлэг алгоритм
Энэ гэр бүлийн сүүлийн үеийн дээжүүдэд өөр өөр төөрөгдүүлэх механизмыг ашигласан: энэ тохиолдолд өгөгдлийг өөрөө бичсэн алгоритм ашиглан шифрлэсэн. Шинжээчийг ажиллуулахад шаардлагатай шифрлэгдсэн өгөгдлийг агуулсан мөрийг шифрлэх функцэд аргумент болгон дамжуулсан.
Хөтөчийн консолыг ашигласнаар та шифрлэгдсэн өгөгдлийн шифрийг тайлж, sniffer нөөцийг агуулсан массивыг авах боломжтой.
MageCart-ын эрт үеийн халдлагуудтай холбох
Бүлгийн хулгайлагдсан мэдээллийг цуглуулах хаалга болгон ашигладаг домэйнуудын нэгд дүн шинжилгээ хийх явцад зээлийн карт хулгайлах дэд бүтэц нь эхний бүлгүүдийн нэг болох 1-р бүлгийн ашигладагтай ижилхэн энэ домайн дээр байрлуулсан болохыг тогтоожээ. RiskIQ мэргэжилтнүүд.
CoffeMokko үнэрчний гэр бүлийн эзэнээс хоёр файл олдсон:
- mage.js — хаалганы хаягтай 1-р бүлгийн үнэрлэгч кодыг агуулсан файл js-cdn.link
- mag.php - Сниферийн хулгайлсан өгөгдлийг цуглуулах үүрэгтэй PHP скрипт
mage.js файлын агуулга
Мөн CoffeMokko үнэрчний гэр бүлийн ард байсан бүлэглэлийн ашиглаж байсан хамгийн эртний домэйнууд 17 оны 2017-р сарын XNUMX-нд бүртгэгдсэн нь тогтоогджээ.
- холбоос-js[.]холбоос
- info-js[.]холбоос
- track-js[.]холбоос
- map-js[.]холбоос
- smart-js[.]холбоос
Эдгээр домэйн нэрийн формат нь 1 оны халдлагад ашигласан 2016-р бүлгийн домэйн нэртэй ижил байна.
Илрүүлсэн баримтад үндэслэн CoffeMokko-ийн үнэрчлэгч операторууд болон 1-р бүлгийн гэмт хэргийн бүлэглэлийн хооронд холбоо байгаа гэж үзэж болно. CoffeMokko операторууд өмнөхөөсөө карт хулгайлах хэрэгсэл, программ хангамж зээлсэн байж магадгүй юм. Гэхдээ КоффеМоккогийн гэр бүлийн үнэрчийг ашигласан гэмт бүлэглэл нь 1-р бүлгийн үйл ажиллагааны хүрээнд халдлага үйлдсэн хүмүүс байх магадлал өндөр байна.Гэмт хэргийн бүлэглэлийн үйл ажиллагааны талаарх анхны мэдээлэл нийтлэгдсэний дараа тэдний бүх домэйн нэрийг хааж, хэрэгслүүдийг нарийвчлан судалж, тайлбарласан. Бүлэг довтолгоогоо үргэлжлүүлж, анзаарагдахгүй байхын тулд завсарлага авч, дотоод хэрэглүүрээ нарийн тааруулж, үнэрлэгч кодыг дахин бичихээс өөр аргагүй болсон.
Дэд бүтэц
| Домэйн нэр | Илэрсэн / харагдах огноо |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| security-payment.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parks.su | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffetea.org | 31.01.2018 |
| Energycoffe.org | 31.01.2018 |
| Energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| authorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitness.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
Эх сурвалж: www.habr.com