Kważi kull wieħed minna juża s-servizzi tal-ħwienet online, li jfisser li llum jew għada nirriskjaw li nsiru vittma ta’ JavaScript sniffers – kodiċi speċjali li l-attakkanti jinjettaw f’websajt biex jisirqu data tal-kards tal-bank, indirizzi, usernames u passwords. .
Kważi 400 utent tal-websajt tal-British Airways u l-app tal-mowbajl diġà ġew affettwati minn sniffers, kif ukoll viżitaturi tal-websajt tal-ġgant sportiv Ingliż FILA u d-distributur tal-biljetti tal-Istati Uniti Ticketmaster. PayPal, Chase Paymenttech, USAePay, Moneris - dawn u ħafna sistemi oħra ta' ħlas ġew infettati.
L-analista ta’ Threat Intelligence Group-IB Viktor Okorokov jitkellem dwar kif sniffers jinfiltraw il-kodiċi tal-websajt u jisirqu l-informazzjoni tal-ħlas, kif ukoll liema CRMs jattakkaw.
"Theddid moħbija"
Ġara li għal żmien twil JS-sniffers baqgħu barra mill-vista tal-analisti kontra l-virus, u l-banek u s-sistemi ta 'ħlas ma rawhomx bħala theddida serja. U assolutament għalxejn. Esperti tal-Grupp-IB 2440 ħanut online infettat, li l-viżitaturi tagħhom - total ta 'madwar 1,5 miljun ruħ kuljum - kienu f'riskju ta' kompromess. Fost il-vittmi hemm mhux biss utenti, iżda wkoll ħwienet online, sistemi ta’ ħlas u banek li ħarġu kards kompromessi.
Group-IB sar l-ewwel studju tas-suq darknet ta 'sniffers, l-infrastruttura tagħhom u l-modi ta' monetizzazzjoni, li ġab miljuni ta 'dollari lill-ħallieqa tagħhom. Aħna identifikajna 38 familja sniffer, li minnhom 12 biss kienu magħrufa qabel mir-riċerkaturi.
Ejja noqogħdu fid-dettall fuq l-erba 'familji ta' sniffers studjati matul l-istudju.
ReactGet familja
Sniffers tal-familja ReactGet jintużaw biex jisirqu data tal-kards tal-bank fuq siti ta’ xiri onlajn. L-isniffer jista 'jaħdem ma' numru kbir ta 'sistemi ta' ħlas differenti użati fuq is-sit: valur ta 'parametru wieħed jikkorrispondi għal sistema waħda ta' ħlas, u verżjonijiet individwali misjuba ta 'l-sniffer jistgħu jintużaw biex jisirqu kredenzjali, kif ukoll biex jisirqu data tal-karta tal-bank mill- forom ta' ħlas ta' diversi sistemi ta' ħlas f'daqqa, bħall-hekk imsejjaħ sniffer universali. Instab li f'xi każijiet, l-attakkanti jwettqu attakki ta 'phishing fuq amministraturi tal-ħwienet online sabiex jiksbu aċċess għall-panel amministrattiv tas-sit.
Il-kampanja li tuża din il-familja ta 'sniffers bdiet f'Mejju 2017. Siti li jħaddmu CMS u pjattaformi Magento, Bigcommerce, Shopify ġew attakkati.
Kif ReactGet huwa inkorporat fil-kodiċi ta 'ħanut online
Minbarra l-injezzjoni ta 'skript "klassika" b'link, l-operaturi tal-familja ReactGet sniffer jużaw teknika speċjali: bl-użu tal-kodiċi JavaScript, jiċċekkja jekk l-indirizz attwali fejn jinsab l-utent jissodisfax ċerti kriterji. Il-kodiċi malizzjuż jaħdem biss jekk il-URL attwali jkun fih substring checkout jew checkout pass wieħed, paġna waħda/, barra/onepag, checkout/wieħed, ckout/one. Għalhekk, il-kodiċi sniffer se jiġi eżegwit eżattament fil-mument meta l-utent jipproċedi biex iħallas għax-xiri u jdaħħal l-informazzjoni tal-ħlas fil-formola fuq is-sit.
Dan ix-xamm juża teknika mhux standard. Il-ħlas u d-dejta personali tal-vittma jinġabru flimkien, kodifikati bl-użu bażi64, u mbagħad is-sekwenza li tirriżulta tintuża bħala parametru biex tibgħat talba lis-sit malizzjuż. Ħafna drabi, il-mogħdija għall-bieb timita fajl JavaScript, pereżempju resp.js, data.js u l-bqija, iżda jintużaw ukoll links għal fajls tal-immaġni, GIF и JPG. Il-partikolarità hija li l-sniffer joħloq oġġett immaġini b'daqs ta '1 pixel 1 u juża l-link miksuba qabel bħala parametru src Stampi. Jiġifieri, għall-utent, talba bħal din fit-traffiku tidher qisha talba għal stampa regolari. Teknika simili kienet użata fil-familja ImageID ta 'sniffers. Barra minn hekk, it-teknika tal-immaġni tal-pixel 1x1 tintuża f'ħafna skripts analitiċi online leġittimi, li jistgħu wkoll iqarrqu lill-utent.
Analiżi tal-Verżjoni
Analiżi tad-dominji attivi użati mill-operaturi ta 'l-isniffer ta' ReactGet żvelat ħafna verżjonijiet differenti ta 'din il-familja ta' sniffers. Il-verżjonijiet ivarjaw fil-preżenza jew in-nuqqas ta 'obfuscation, u barra minn hekk, kull sniffer huwa ddisinjat għal sistema ta' ħlas speċifika li tipproċessa ħlasijiet bil-kard tal-bank għal ħwienet onlajn. Wara li għażlu l-valur tal-parametru li jikkorrispondi man-numru tal-verżjoni, l-ispeċjalisti tal-Grupp-IB irċevew lista kompluta ta 'varjazzjonijiet ta' sniffer disponibbli, u bl-ismijiet tal-oqsma tal-formola li kull sniffer ifittex fil-kodiċi tal-paġna, iddeterminaw is-sistemi ta 'ħlas li l-miri sniffer.
Lista ta 'sniffers u s-sistemi ta' ħlas korrispondenti tagħhom
| URL tax-xamm | Sistema ta 'ħlas |
|---|---|
| Authorize.Net | |
| Cardsave | |
| Authorize.Net | |
| Authorize.Net | |
| eWAY Rapidu | |
| Authorize.Net | |
| Adyen | |
| USAePay | |
| Authorize.Net | |
| USAePay | |
| Authorize.Net | |
| Moneris | |
| USAePay | |
| PayPal | |
| SagePay | |
| Verisign | |
| PayPal | |
| Stripe | |
| Realex | |
| PayPal | |
| LinkPoint | |
| PayPal | |
| PayPal | |
| datacash | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Moneris | |
| SagePay | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| Authorize.Net | |
| Moneris | |
| SagePay | |
| SagePay | |
| Chase Paymentech | |
| Authorize.Net | |
| Adyen | |
| PsiGate | |
| Cyber Sors | |
| ANZ eGate | |
| Realex | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| Realex | |
| SagePay | |
| PayPal | |
| Verisign | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Cyber Sors | |
| Authorize.Net | |
| SagePay | |
| Realex | |
| Cyber Sors | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Rapidu | |
| SagePay | |
| SagePay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| L-Ewwel Data Global Gateway | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| PayPal | |
| Verisign | |
| USAePay | |
| USAePay | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| Stripe | |
| Authorize.Net | |
| eWAY Rapidu | |
| SagePay | |
| Authorize.Net | |
| Braintree | |
| Braintree | |
| PayPal | |
| SagePay | |
| SagePay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| Stripe | |
| Authorize.Net | |
| eWAY Rapidu | |
| SagePay | |
| Authorize.Net | |
| Braintree | |
| PayPal | |
| SagePay | |
| SagePay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| SagePay | |
| Westpac PayWay | |
| payfort | |
| PayPal | |
| Authorize.Net | |
| Stripe | |
| L-Ewwel Data Global Gateway | |
| PsiGate | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| SagePay | |
| Verisign | |
| Moneris | |
| PayPal | |
| LinkPoint | |
| Westpac PayWay | |
| Authorize.Net | |
| Moneris | |
| PayPal | |
| Adyen | |
| PayPal | |
| Authorize.Net | |
| USAePay | |
| EBizCharge | |
| Authorize.Net | |
| Verisign | |
| Verisign | |
| Authorize.Net | |
| PayPal | |
| Moneris | |
| Authorize.Net | |
| PayPal | |
| PayPal | |
| Westpac PayWay | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Verisign | |
| Authorize.Net | |
| PayPal | |
| payfort | |
| Cyber Sors | |
| PayPal PayflowPro | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| Stripe | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| Authorize.Net | |
| PayPal | |
| Flint | |
| PayPal | |
| SagePay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Stripe | |
| Żebra tax-Xaħam | |
| SagePay | |
| Authorize.Net | |
| L-Ewwel Data Global Gateway | |
| Authorize.Net | |
| eWAY Rapidu | |
| Adyen | |
| PayPal | |
| Servizzi ta 'Merkanti QuickBooks | |
| Verisign | |
| SagePay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| eWAY Rapidu | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Cyber Sors | |
| Authorize.Net | |
| SagePay | |
| Realex | |
| Cyber Sors | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Rapidu | |
| SagePay | |
| SagePay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| L-Ewwel Data Global Gateway | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| PayPal |
Xomm il-password
Wieħed mill-vantaġġi ta 'JavaScript sniffers li jaħdmu fuq in-naħa tal-klijent ta' websajt huwa l-versatilità tiegħu: kodiċi malizzjuż inkorporat fuq websajt jista 'sraq kwalunkwe tip ta' dejta, kemm jekk tkun informazzjoni ta 'ħlas jew login u password minn kont tal-utent. L-ispeċjalisti tal-Grupp-IB skoprew kampjun ta’ sniffer li jappartjeni għall-familja ReactGet, iddisinjat biex jisirqu l-indirizzi tal-email u l-passwords tal-utenti tas-sit.
Intersezzjoni ma 'ImageID sniffer
Matul l-analiżi ta 'wieħed mill-ħwienet infettati, instab li l-websajt tagħha kienet infettata darbtejn: minbarra l-kodiċi malizzjuż tal-familja ReactGet sniffer, instab il-kodiċi tal-familja ImageID sniffer. Din il-koinċidenza tista' tkun evidenza li l-operaturi wara ż-żewġ sniffers qed jużaw tekniki simili biex jinjettaw kodiċi malizzjuż.
Xomm universali
Waqt l-analiżi ta’ wieħed mill-ismijiet ta’ domain relatati mal-infrastruttura sniffer ReactGet, instab li l-istess utent irreġistra tliet ismijiet ta’ dominju oħra. Dawn it-tliet oqsma imitaw id-dominji ta 'siti tal-ħajja reali u qabel kienu użati biex jospitaw sniffers. Meta analizzat il-kodiċi ta 'tliet siti leġittimi, instab sniffer mhux magħruf, u analiżi ulterjuri wriet li din hija verżjoni mtejba tar-ReactGet sniffer. Il-verżjonijiet kollha sniffer preċedentement ta 'din il-familja ta' sniffers kienu mmirati lejn sistema ta 'ħlas waħda, jiġifieri, verżjoni speċjali tal-sniffer kienet meħtieġa għal kull sistema ta' ħlas. Madankollu, f'dan il-każ, ġiet skoperta verżjoni universali tal-sniffer, kapaċi tisraq informazzjoni minn formoli relatati ma '15-il sistema ta' ħlas differenti u moduli ta 'siti tal-kummerċ elettroniku għal ħlasijiet onlajn.
Għalhekk, fil-bidu tax-xogħol, ix-xamm fit-tfittxija għal oqsma bażiċi tal-formola li fihom l-informazzjoni personali tal-vittma: isem sħiħ, indirizz fiżiku, numru tat-telefon.
L-isniffer imbagħad fittex fuq 15-il prefiss differenti li jikkorrispondu għal sistemi ta’ ħlas u moduli differenti għal pagamenti onlajn.
Sussegwentement, id-dejta personali tal-vittma u l-informazzjoni dwar il-ħlas inġabru flimkien u ntbagħtu lil sit ikkontrollat mill-attakkant: f’dan il-każ partikolari, instabu żewġ verżjonijiet tar-reactGet universal sniffer li jinsabu fuq żewġ siti differenti hacked. Madankollu, iż-żewġ verżjonijiet bagħtu d-dejta misruqa lill-istess sit hacked. zoobashop.com.
Analiżi tal-prefissi użati mill-isniffer biex isib oqsma li fihom l-informazzjoni dwar il-ħlas tal-vittma ddeterminat li dan il-kampjun sniffer immira s-sistemi ta’ ħlas li ġejjin:
- Authorize.Net
- Verisign
- L-Ewwel Dejta
- USAePay
- Stripe
- PayPal
- ANZ eGate
- Braintree
- Flus tad-Data (MasterCard)
- Ħlasijiet Realex
- PsiGate
- Sistemi ta' Ħlas Heartland
Liema għodod jintużaw biex jisirqu l-informazzjoni tal-ħlas
L-ewwel għodda skoperta waqt l-analiżi tal-infrastruttura tal-attakkanti sservi biex tħaffef skripts malizzjużi responsabbli għas-serq tal-karti tal-bank. Instab script bash li juża l-CLI tal-proġett fuq wieħed mill-hosts tal-attakkanti. biex awtomat l-obfuscation tal-kodiċi sniffer.
It-tieni għodda skoperta hija mfassla biex tiġġenera l-kodiċi responsabbli għat-tagħbija tax-xamm prinċipali. Din l-għodda tiġġenera kodiċi JavaScript li jiċċekkja jekk l-utent hux fuq il-paġna tal-ħruġ billi tfittex l-indirizz attwali tal-utent għall-kordi checkout, cART u l-bqija, u jekk ir-riżultat huwa pożittiv, allura l-kodiċi jgħabbi l-sniffer prinċipali mis-server tal-attakkant. Biex taħbi l-attività malizzjuża, il-linji kollha, inklużi l-linji tat-test għad-determinazzjoni tal-paġna tal-ħlas, kif ukoll link għall-isniffer, huma kodifikati bl-użu bażi64.
Attakki ta' phishing
Matul l-analiżi tal-infrastruttura tan-netwerk tal-attakkanti, instab li l-grupp kriminali spiss juża phishing biex jikseb aċċess għall-panel amministrattiv tal-ħanut online fil-mira. L-attakkanti jirreġistraw dominju li jidher qisu dominju tal-maħżen u mbagħad jużaw formola tal-login tal-admin Magento falza fuqu. Jekk jirnexxu, l-attakkanti jiksbu aċċess għall-pannell tal-amministrazzjoni Magento CMS, li jagħtihom il-kapaċità li jeditjaw il-komponenti tas-sit u jimplimentaw sniffer biex jisirqu d-dejta tal-karta ta 'kreditu.
Infrastruttura
| Домен | Data tas-sejba/dehra |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagtracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trusttracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
Familja G-Analytics
Din il-familja ta’ sniffers tintuża biex tisraq il-karti tal-klijenti minn ħwienet onlajn. L-ewwel isem tad-dominju użat mill-grupp ġie rreġistrat f'April 2016, li jista' jindika l-bidu tal-attività tal-grupp f'nofs l-2016.
Fil-kampanja attwali, il-grupp juża ismijiet ta 'dominju li jimitaw servizzi tal-ħajja reali bħal Google Analytics u jQuery, li jaħbu l-attività ta' sniffer bi skripts leġittimi u ismijiet ta 'dominju li jidhru leġittimi. Websajts li jaħdmu taħt CMS Magento ġew attakkati.
Kif G-Analytics hija implimentata fil-kodiċi tal-ħanut online
Karatteristika distintiva ta 'din il-familja hija l-użu ta' diversi metodi ta 'serq ta' informazzjoni dwar il-ħlas tal-utent. Minbarra l-injezzjoni klassika tal-JavaScript fin-naħa tal-klijent tas-sit, il-grupp kriminali uża wkoll it-teknika tal-injezzjoni tal-kodiċi fin-naħa tas-server tas-sit, jiġifieri skripts PHP li jipproċessaw l-input tal-utent. Din it-teknika hija perikoluża peress li tagħmilha diffiċli għal riċerkaturi ta 'partijiet terzi biex jiskopru kodiċi malizzjuż. L-ispeċjalisti tal-Grupp-IB skoprew verżjoni tax-xamm inkorporata fil-kodiċi PHP tas-sit, billi tuża d-dominju bħala xatba dittm.org.
Ġiet skoperta wkoll verżjoni bikrija ta’ sniffer li tuża l-istess dominju biex tiġbor data misruqa. dittm.org, iżda din il-verżjoni hija diġà maħsuba għall-installazzjoni fuq in-naħa tal-klijent tal-ħanut online.
Aktar tard, il-grupp biddel it-tattiċi tiegħu u beda jagħti aktar attenzjoni għall-ħabi ta 'attività malizzjuża u l-kamuflaġġ.
Fil-bidu tal-2017, il-grupp beda juża d-dominju jquery-js.comMasquerading bħala CDN għal jQuery: jidderieġi mill-ġdid lill-utent lejn sit leġittimu meta jmur f'sit malizzjuż jquery.com.
U f'nofs l-2018, il-grupp adotta isem ta 'dominju g-analytics.com u beda jaħbi l-attività tal-sniffer bħala servizz leġittimu Google Analytics.
Analiżi tal-Verżjoni
Matul l-analiżi tad-dominji użati biex jaħżnu l-kodiċi sniffer, instab li s-sit għandu numru kbir ta 'verżjonijiet li huma differenti fil-preżenza ta' offuskazzjoni, kif ukoll il-preżenza jew in-nuqqas ta 'kodiċi li ma jintlaħaqx miżjud mal-fajl biex tfixkel l-attenzjoni u jaħbi kodiċi malizzjuż.
Total fuq is-sit jquery-js.com ġew identifikati sitt verżjonijiet ta’ sniffers. Dawn is-sniffers jibagħtu d-dejta misruqa f’indirizz li jinsab fuq l-istess sit bħall-isniffer innifsu: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Dominju aktar tard g-analytics.com, użat mill-grupp f'attakki minn nofs l-2018, iservi bħala repożitorju għal aktar sniffers. B'kollox, ġew skoperti 16-il verżjoni differenti tax-xamm. F'dan il-każ, il-bieb biex tintbagħat id-dejta misruqa kienet moħbija bħala link għal immaġni tal-format GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Monetizzazzjoni ta' data misruqa
Il-grupp kriminali monetizes id-dejta misruqa billi jbigħ kards permezz ta’ ħanut taħt l-art maħluq apposta li jipprovdi servizzi lil min ikardja. Analiżi tad-dominji użati mill-attakkanti għamlitha possibbli li jiġi ddeterminat dan google-analytics.cm kien irreġistrat mill-istess utent bħad-dominju cardz.vc. Dominju cardz.vc jirreferi għal Cardsurfs (Flysurfs), ħanut li jbigħ karti tal-bank misruqa, li kiseb popolarità matul is-suq taħt l-art AlphaBay bħala maħżen li jbiegħ karti tal-bank misruqa bl-użu ta 'sniffer.
L-analiżi tad-dominju analitiku.is, li jinsab fuq l-istess server bħall-dominji użati mill-sniffers biex jiġbru dejta misruqa, l-ispeċjalisti tal-Grupp-IB skoprew fajl li fih zkuk tal-cookie stealer, li, jidher, aktar tard ġie abbandunat mill-iżviluppatur. Waħda mill-entrati fil-log kien fiha dominju iozoz.com, li qabel kienet użata f'wieħed mill-sniffers attivi fl-2016. Preżumibbilment, dan id-dominju kien użat qabel minn attakkant biex jiġbor karti misruqa permezz ta 'sniffer. Dan id-dominju kien irreġistrat f'indirizz elettroniku [protett bl-email], li ntuża wkoll biex tirreġistra domains cardz.su и cardz.vcrelatati mal-ħanut tal-cardsurfs.
Ibbażat fuq id-dejta miksuba, jista 'jiġi preżunt li l-familja sniffer G-Analytics u l-maħżen tal-karti tal-bank Cardsurfs taħt l-art huma mmexxija mill-istess nies, u l-maħżen jintuża biex ibiegħ karti tal-bank misruqa bl-użu ta' sniffer.
Infrastruttura
| Домен | Data tas-sejba/dehra |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| analitiku.to | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| analitiku.is | 28.12.2018 |
| googlelc-analytics.cm | 17.01.2019 |
Familja Illum
Illum hija familja ta 'sniffers użati biex jattakkaw ħwienet online li jħaddmu Magento CMS. Minbarra l-introduzzjoni ta 'kodiċi malizzjuż, l-operaturi ta' dan is-sniffer jużaw ukoll l-introduzzjoni ta 'formoli ta' ħlas foloz sħaħ li jibagħtu data lil gradi kkontrollati minn attakkanti.
Meta ġiet analizzata l-infrastruttura tan-netwerk użata mill-operaturi ta 'dan is-sniffer, ġew innutati numru kbir ta' skripts malizzjużi, exploits, forom ta 'ħlas foloz, kif ukoll ġabra ta' eżempji ma 'kompetituri sniffer malizzjużi. Fuq il-bażi tal-informazzjoni dwar id-dati tad-dehra tal-ismijiet tad-dominju użati mill-grupp, wieħed jista’ jassumi li l-bidu tal-kampanja jaqa’ fl-aħħar tal-2016.
Kif Illum huwa implimentat fil-kodiċi ta 'ħanut online
L-ewwel verżjonijiet skoperti tax-xamm kienu inkorporati direttament fil-kodiċi tas-sit kompromess. Id-data misruqa ntbagħtet lil cdn.illum[.]pw/records.php, il-bieb kien kodifikat bl-użu bażi64.
Aktar tard, verżjoni ppakkjata tax-xamm kienet skoperta bl-użu ta 'bieb differenti - records.nstatistics[.]com/records.php.
Skond Willem de Groot, l-istess host kien użat fil-sniffer li kien implimentat fuq , proprjetà tal-partit politiku Ġermaniż CSU.
Analiżi tas-sit tal-attakk
L-ispeċjalisti tal-Grupp-IB skoprew u analizzaw is-sit użat minn dan il-grupp kriminali biex jaħżnu l-għodod u jiġbru informazzjoni misruqa.
Fost l-għodod misjuba fuq is-server tal-attakkant instabu skripts u jisfrutta għall-eskalazzjoni tal-privileġġ fil-Linux OS: pereżempju, Linux Privilege Escalation Check Script, żviluppat minn Mike Czumak, kif ukoll exploit għal CVE-2009-1185.
L-attakkanti użaw żewġ exploits direttament biex jattakkaw ħwienet online: kapaċi jinjetta kodiċi malizzjuż core_config_data billi tisfrutta CVE-2016-4010, jisfrutta vulnerabbiltà RCE fil-plugins Magento CMS, li jippermetti li kodiċi arbitrarju jiġi esegwit fuq server web vulnerabbli.
Ukoll, waqt l-analiżi tas-server, instabu diversi kampjuni ta 'sniffers u formoli ta' ħlas foloz, użati minn attakkanti biex jiġbru informazzjoni ta 'ħlas minn siti hacked. Kif tistgħu taraw mil-lista hawn taħt, xi skripts inħolqu individwalment għal kull sit hacked, filwaqt li ntużat soluzzjoni universali għal ċerti CMS u gateways tal-ħlas. Per eżempju, skripts segapay_standard.js и segapay_onpage.js iddisinjat biex jiġi inkorporat fuq siti li jużaw il-gateway tal-ħlas Sage Pay.
Lista ta 'skripts għal diversi gateways ta' ħlas
| Iskript | Bieb tal-Ħlas |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdirenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standard.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standard.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_forminsite.js | //paymentnow[.]tk/?payment= |
Ospitanti paymentnow[.]tk, użat bħala xatba fi skript payment_forminsite.js, ġiet skoperta bħala subjectAltName f'diversi ċertifikati relatati mas-servizz CloudFlare. Barra minn hekk, l-iskrittura kienet tinsab fuq il-host evil.js. Meta wieħed jiġġudika mill-isem tal-iskript, seta 'jintuża bħala parti mill-isfruttament ta' CVE-2016-4010, li grazzi għalih huwa possibbli li jinjetta kodiċi malizzjuż fil-footer ta 'sit li jħaddem is-CMS Magento. Dan l-iskrittura użat l-ospitanti bħala gate talba.requestnet[.]tk, billi tuża l-istess ċertifikat bħall-host paymentnow[.]tk.
Formoli ta' ħlas foloz
Il-figura t'hawn taħt turi eżempju ta' formola għad-dħul tad-dejta tal-kard. Din il-formola ntużat biex tinfiltra f'websajt ta' ħanut online u tisraq id-dejta tal-kards.
Il-figura li ġejja hija eżempju ta 'formola ta' ħlas PayPal falza li ntużat minn attakkanti biex jinfiltraw siti bl-użu ta 'dan il-metodu ta' ħlas.
Infrastruttura
| Домен | Data tas-sejba/dehra |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| talba.payrightnow.cf | 25/05/2018 |
| paymentnow.tk | 16/07/2017 |
| payment-line.tk | 01/03/2018 |
| paymentpal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
CoffeeMokko familja
Il-familja ta’ sniffers CoffeMokko maħsuba biex jisirqu karti tal-bank ta’ utenti tal-ħwienet online ilha tintuża mill-inqas minn Mejju 2017. Preżumibbilment, il-grupp kriminali tal-Grupp 1 deskritt mill-esperti RiskIQ fl-2016 huwa l-operatur ta 'din il-familja ta' sniffers. Ġew attakkati websajts li jħaddmu CMS bħal Magento, OpenCart, WordPress, osCommerce, Shopify.
Kif CoffeMokko huwa inkorporat fil-kodiċi ta 'ħanut online
Operaturi ta 'din il-familja joħolqu sniffers uniċi għal kull infezzjoni: il-fajl sniffer jinsab fid-direttorju src jew js fuq is-server tal-attakkant. L-implimentazzjoni fil-kodiċi tas-sit titwettaq b'rabta diretta mal-sniffer.
Il-kodiċi sniffer hard-codes l-ismijiet tal-oqsma tal-formola li minnhom trid tisraq id-dejta. L-isniffer jiċċekkja wkoll jekk l-utent hux fuq il-paġna ta 'checkout billi jiċċekkja l-lista ta' kliem prinċipali mal-indirizz attwali tal-utent.
Xi verżjonijiet skoperti ta 'l-sniffer kienu offuskati u kien fihom string kriptat li maħżuna l-firxa ewlenija ta' riżorsi: kien fih l-ismijiet ta 'oqsma ta' formola għal diversi sistemi ta 'ħlas, kif ukoll l-indirizz tal-bieb li fih id-data misruqa għandha tintbagħat.
L-informazzjoni tal-ħlas misruqa ntbagħtet lil script fuq is-server tal-attakkanti tul it-triq. /savePayment/index.php jew /tr/index.php. Preżumibbilment, din l-iskrittura tintuża biex tibgħat dejta mill-bieb għas-server prinċipali, li tikkonsolida d-dejta minn kull sniffers. Biex taħbi d-dejta trażmessa, l-informazzjoni kollha tal-ħlas tal-vittma hija kkodifikata bl-użu bażi64, u mbagħad iseħħu diversi sostituzzjonijiet ta' karattri:
- il-karattru "e" huwa mibdul bi ":"
- is-simbolu "w" huwa mibdul bi "+"
- il-karattru "o" huwa mibdul b'"%"
- il-karattru "d" huwa mibdul b'"#"
- il-karattru "a" huwa mibdul bi "-"
- is-simbolu "7" huwa mibdul bi "^"
- il-karattru "h" huwa mibdul bi "_"
- is-simbolu "T" huwa sostitwit b'"@"
- il-karattru "0" huwa mibdul bi "/"
- il-karattru "Y" huwa mibdul b'"*"
Bħala riżultat ta 'sostituzzjonijiet ta' karattri kodifikati bi bażi64 data ma tistax tiġi dekodifikata mingħajr trasformazzjoni inversa.
Hekk jidher framment tal-kodiċi sniffer li ma ġiex offuskat:
Analiżi tal-Infrastruttura
Fil-kampanji bikrija, l-attakkanti rreġistraw ismijiet ta 'dominju simili għal dawk ta' siti leġittimi ta 'xiri onlajn. Id-dominju tagħhom jista' jkun differenti minn dak leġittimu b'karattru wieħed jew TLD ieħor. Dominji reġistrati ntużaw biex jaħżnu l-kodiċi sniffer, li l-link li għalih kienet inkorporata fil-kodiċi tal-maħżen.
Dan il-grupp uża wkoll ismijiet ta' dominju li jfakkru fil-plugins popolari jQuery (slickjs[.]org għal siti li jużaw il-plugin roqgħa.js), gateways tal-ħlas (sagecdn[.]org għal siti li jużaw is-sistema ta’ ħlas Sage Pay).
Aktar tard, il-grupp beda joħloq domains li isimhom ma kellux x'jaqsam la mad-dominju tal-maħżen u lanqas mat-tema tal-maħżen.
Kull dominju kien jikkorrispondi għas-sit li fih inħoloq id-direttorju /js jew / src. Sniffer scripts kienu maħżuna f'dan id-direttorju: sniffer wieħed għal kull infezzjoni ġdida. L-isniffer ġie introdott fil-kodiċi tas-sit permezz ta 'rabta diretta, iżda f'każijiet rari, l-attakkanti mmodifikaw wieħed mill-fajls tas-sit u żiedu kodiċi malizzjuż miegħu.
Analiżi tal-kodiċi
L-Ewwel Algoritmu ta' Obfuscation
F'xi kampjuni sniffer ta 'din il-familja, il-kodiċi kien offuskat u kien fih dejta kriptata meħtieġa biex ix-xoqqu jaħdem: b'mod partikolari, l-indirizz tal-bieb tax-xamm, lista ta' oqsma tal-formola tal-ħlas, u f'xi każijiet, kodiċi tal-formola tal-ħlas falz. Fil-kodiċi ġewwa l-funzjoni, ir-riżorsi kienu encrypted XOR biċ-ċavetta li għaddiet bħala argument għall-istess funzjoni.
Billi tiddeċifra s-sekwenza biċ-ċavetta korrispondenti, unika għal kull kampjun, tista 'tikseb string li jkun fiha l-linji kollha mill-kodiċi sniffer separati b'karattru delimitatur.
It-tieni algoritmu ta' offuskazzjoni
F'kampjuni aktar tard ta 'din il-familja ta' sniffers, intuża mekkaniżmu ta 'obfuscation differenti: f'dan il-każ, id-dejta ġiet encrypted bl-użu ta' algoritmu miktub minnu nnifsu. Stiegħa li fiha dejta kriptata meħtieġa biex ix-xammra taħdem ġiet mgħoddija bħala argument għall-funzjoni tad-deċifrar.
Bl-użu tal-console tal-browser, tista 'tiddekriptaġġ id-dejta kodifikata u tikseb firxa li fiha r-riżorsi sniffer.
Link għal attakki bikrija tal-MageCart
F'analiżi ta' wieħed mid-dominji użati mill-grupp bħala gate biex tinġabar data misruqa, instab li l-infrastruttura għas-serq ta' karti ta' kreditu ġiet skjerata fuq dan id-dominju, identika għal dik użata minn Grupp 1, wieħed mill-ewwel gruppi, Speċjalisti RiskIQ.
Instabu żewġ fajls fuq l-ospitanti tal-familja tax-xamm CoffeMokko:
- mage.js — fajl li fih kodiċi sniffer tal-Grupp 1 bl-indirizz tal-bieb js-cdn.link
- mag.php - Skript PHP responsabbli għall-ġbir tad-dejta misruqa mill-jxomm
Il-kontenut tal-fajl mage.js
Ġie determinat ukoll li l-ewwel oqsma użati mill-grupp wara l-familja CoffeMokko sniffer ġew irreġistrati fis-17 ta’ Mejju, 2017:
- link-js[.]link
- info-js[.]link
- track-js[.]link
- map-js[.]link
- smart-js[.]link
Il-format ta’ dawn l-ismijiet tad-dominju huwa l-istess bħall-ismijiet tad-dominju tal-Grupp 1 li ntużaw fl-attakki tal-2016.
Fuq il-bażi tal-fatti skoperti, wieħed jista’ jassumi li hemm konnessjoni bejn l-operaturi tas-sniffer CoffeMokko u l-grupp kriminali tal-Grupp 1. Preżumibbilment, l-operaturi tal-CoffeMokko setgħu ssellfu għodda u softwer biex jisirqu l-karti mingħand il-predeċessuri tagħhom. Madankollu, huwa aktar probabbli li l-grupp kriminali wara l-użu ta 'sniffers tal-familja CoffeMokko huma l-istess nies li wettqu l-attakki bħala parti mill-attivitajiet tal-Grupp 1. Wara l-pubblikazzjoni tal-ewwel rapport dwar l-attivitajiet tal-grupp kriminali, kollha tagħhom l-ismijiet tad-dominju ġew imblukkati, u l-għodod ġew studjati fid-dettall u deskritti. Il-grupp kien sfurzat jieħu pawża, jirfina l-għodod interni tagħhom u jikteb mill-ġdid il-kodiċi sniffer sabiex ikompli bl-attakki tagħhom u jibqa’ inosservat.
Infrastruttura
| Домен | Data tas-sejba/dehra |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| security-payment.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| kollha-dwar-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimmaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parks.su | 09.01.2018 |
| pmtonline.com | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffetea.org | 31.01.2018 |
| energycoffe.org | 31.01.2018 |
| energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| authorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitness.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
Sors: www.habr.com