အွန်လိုင်းစတိုးများတွင် သင့်အား စောင့်ကြိုနေသော JavaScript အနံ့ဆိုးလေးခု

ကျွန်ုပ်တို့အားလုံးနီးပါးသည် အွန်လိုင်းစတိုးများ၏ ဝန်ဆောင်မှုများကို အသုံးပြုကြပြီး၊ ဆိုလိုသည်မှာ မကြာမီ သို့မဟုတ် နောက်ပိုင်းတွင် ကျွန်ုပ်တို့သည် JavaScript sniffers များ၏ သားကောင်ဖြစ်လာနိုင်ခြေရှိသည် - တိုက်ခိုက်သူများသည် ဘဏ်ကတ်ဒေတာ၊ လိပ်စာများ၊ လော့ဂ်အင်များနှင့် အသုံးပြုသူများ၏ စကားဝှက်များကို ခိုးယူရန် ဝဘ်ဆိုက်တစ်ခုပေါ်တွင် တိုက်ခိုက်သူများအသုံးပြုသည့် အထူးကုဒ်များကို လုပ်ဆောင်ပါသည်။ .

British Airways ဝဘ်ဆိုဒ်နှင့် မိုဘိုင်းအက်ပလီကေးရှင်း၏ အသုံးပြုသူ 400 နီးပါးသည် sniffers များအပြင် အားကစားကုမ္ပဏီကြီး FILA နှင့် အမေရိကန် လက်မှတ်ဖြန့်ဖြူးသူ Ticketmaster တို့၏ ဗြိတိန်ဝဘ်ဆိုဒ်သို့ လာရောက်လည်ပတ်သူများလည်း ထိခိုက်နေပြီဖြစ်သည်။ PayPal၊ Chase Paymenttech၊ USAePay၊ Moneris - ဤနှင့် အခြားငွေပေးချေမှုစနစ်များစွာ ကူးစက်ခံခဲ့ရသည်။

Threat Intelligence Group-IB မှ ခွဲခြမ်းစိတ်ဖြာသူ Viktor Okorokov သည် ဝဘ်ဆိုဒ်ကုဒ်ကို စိမ့်ဝင်အောင် မည်ကဲ့သို့ စိမ့်ဝင်ကာ ငွေပေးချေမှု အချက်အလက်ကို ခိုးယူပုံနှင့် CRMs များကို ၎င်းတို့ တိုက်ခိုက်သည့်အရာများအကြောင်း ဆွေးနွေးထားသည်။

"လျှို့ဝှက်ခြိမ်းခြောက်မှု"

JS sniffers များသည် anti-virus ဆန်းစစ်သူများ၏ မျက်မှောက်တွင် အချိန်အတော်ကြာအောင် တည်ရှိနေခဲ့ပြီး ဘဏ်များနှင့် ငွေပေးချေမှုစနစ်များသည် ၎င်းတို့အား ပြင်းထန်သော ခြိမ်းခြောက်မှုတစ်ခုအဖြစ် မမြင်ခဲ့ပေ။ လုံးဝအလကားပဲ။ Group-IB ကျွမ်းကျင်သူများ ခွဲခြမ်းစိတ်ဖြာ ကူးစက်ခံရသော အွန်လိုင်းစတိုး ၂,၄၄၀ သည် တစ်နေ့လျှင် စုစုပေါင်းလူ ၁.၅ သန်းခန့် လာရောက်လည်ပတ်သူများ၏ အပေးအယူလုပ်ရန် အန္တရာယ်ရှိသည်။ ထိခိုက်ခံရသူများထဲတွင် သုံးစွဲသူများသာမက အွန်လိုင်းစတိုးများ၊ ငွေပေးချေမှုစနစ်များနှင့် အန္တရာယ်ရှိသော ကတ်များကို ထုတ်ပေးသည့် ဘဏ်များလည်း ပါဝင်သည်။

အစီရင်ခံစာ Group-IB သည် ၎င်းတို့၏ ဖန်တီးရှင်များကို ဒေါ်လာသန်းပေါင်းများစွာ ယူဆောင်လာပေးသည့် sniffers များအတွက် darknet စျေးကွက်၊ ၎င်းတို့၏ အခြေခံအဆောက်အဦနှင့် ငွေရှာနည်းများကို ပထမဆုံး လေ့လာမှု ဖြစ်လာခဲ့သည်။ ကျွန်ုပ်တို့သည် ရှူရှိုက်သူမိသားစု ၃၈ စုကို ရှာဖွေတွေ့ရှိခဲ့ပြီး ၎င်းတို့အနက် ၁၂ ဦးသာ ယခင်က သုတေသီများဖြစ်ကြောင်း သိရှိခဲ့သည်။

လေ့လာမှုအတွင်း လေ့လာခဲ့သော အနံ့ခံမိသားစုလေးခုကို အသေးစိတ်လေ့လာကြည့်ကြပါစို့။

ReactGet မိသားစု

ReactGet မိသားစု၏ Sniffers များသည် အွန်လိုင်းစျေးဝယ်ဆိုက်များတွင် ဘဏ်ကတ်ဒေတာကို ခိုးယူရန် အသုံးပြုသည်။ sniffer သည် ဝဘ်ဆိုက်ပေါ်တွင်အသုံးပြုသည့် မတူညီသောငွေပေးချေမှုစနစ်များစွာဖြင့် လုပ်ဆောင်နိုင်သည်- ကန့်သတ်ချက်တန်ဖိုးတစ်ခုသည် ငွေပေးချေမှုစနစ်တစ်ခုနှင့် သက်ဆိုင်ပြီး sniffer ၏တစ်ဦးချင်းစီကို အထောက်အထားများခိုးယူရန်အပြင် ငွေပေးချေမှုမှ ဘဏ်ကတ်ဒေတာကို ခိုးယူရန် အသုံးပြုနိုင်သည်။ universal sniffer ဟုခေါ်သည့် ငွေပေးချေမှုစနစ်များစွာကို တစ်ချိန်တည်းတွင် ပုံစံအမျိုးမျိုးဖြင့် ပြုလုပ်နိုင်သည်။ အချို့သောကိစ္စများတွင်၊ တိုက်ခိုက်သူများသည် ဆိုက်၏စီမံခန့်ခွဲရေးအဖွဲ့သို့ဝင်ရောက်ခွင့်ရရှိစေရန်အလို့ငှာ အွန်လိုင်းစတိုးစီမံခန့်ခွဲသူများထံ ဖြားယောင်းသောတိုက်ခိုက်မှုများပြုလုပ်သည်ကို တွေ့ရှိရသည်။

ဤ sniffers မိသားစုကို အသုံးပြုသည့် ကမ်ပိန်းတစ်ခုကို မေလ 2017 ခုနှစ်တွင် စတင်ခဲ့ပြီး CMS နှင့် Magento၊ Bigcommerce နှင့် Shopify ပလပ်ဖောင်းများ အသုံးပြုသည့် ဆိုက်များကို တိုက်ခိုက်ခံခဲ့ရသည်။

ReactGet ကို အွန်လိုင်းစတိုးတစ်ခု၏ ကုဒ်တွင် အကောင်အထည်ဖော်ပုံ

လင့်ခ်တစ်ခုမှတစ်ဆင့် script တစ်ခု၏ "ဂန္ထဝင်" အကောင်အထည်ဖော်မှုအပြင်၊ ReactGet အနံ့ခံမိသားစု၏ အော်ပရေတာများသည် အထူးနည်းစနစ်ကို အသုံးပြုသည်- JavaScript ကုဒ်ကို အသုံးပြုကာ၊ အသုံးပြုသူတည်ရှိသည့် လက်ရှိလိပ်စာသည် အချို့သောသတ်မှတ်ချက်များနှင့် ကိုက်ညီမှုရှိမရှိ စစ်ဆေးပါသည်။ လက်ရှိ URL တွင် စာတန်းခွဲများရှိနေမှသာ အန္တရာယ်ရှိသောကုဒ်ကို လုပ်ဆောင်မည်ဖြစ်သည်။ ထွက်ခွာသည် သို့မဟုတ် ခြေတစ်လှမ်း ငွေရှင်းပါ။, တစ်မျက်နှာ/, out/onepag, ငွေရှင်း/တစ်ခု, ckout/one. ထို့ကြောင့်၊ အသုံးပြုသူသည် ဝယ်ယူမှုများအတွက် ငွေပေးချေရန်နှင့် ဝဘ်ဆိုက်ပေါ်ရှိ ဖောင်တွင် ငွေပေးချေမှုအချက်အလက်ကို ထည့်သွင်းသည့်အခါတွင် sniffer ကုဒ်ကို အတိအကျ လုပ်ဆောင်မည်ဖြစ်သည်။

ဤ sniffer သည် ပုံမှန်မဟုတ်သော နည်းပညာကို အသုံးပြုသည်။ သားကောင်၏ငွေပေးချေမှုနှင့် ကိုယ်ရေးကိုယ်တာအချက်အလက်များကို စုစည်းပြီး အသုံးပြု၍ ကုဒ်လုပ်ထားသည်။ အခြေခံ ၃၄၄၃ထို့နောက် တိုက်ခိုက်သူများ၏ဝဘ်ဆိုဒ်သို့ တောင်းဆိုချက်တစ်ခုပေးပို့ရန် ရလဒ်စာကြောင်းကို ကန့်သတ်ချက်တစ်ခုအဖြစ် အသုံးပြုသည်။ အများစုမှာ၊ ဂိတ်သို့သွားသောလမ်းကြောင်းသည် ဥပမာ JavaScript ဖိုင်ကိုတုပသည်။ resp.js, data.js စသည်ဖြင့်၊ သို့သော် ပုံဖိုင်များသို့ လင့်ခ်များကိုလည်း သုံးသည်၊ GIF ကို и JPG. ထူးခြားချက်မှာ sniffer သည် 1 pixel ကို 1 ဖြင့် တိုင်းတာသည့် ရုပ်ပုံအရာဝတ္ထုတစ်ခုကို ဖန်တီးပြီး ယခင်ရရှိထားသောလင့်ခ်ကို ကန့်သတ်ဘောင်တစ်ခုအဖြစ် အသုံးပြုခြင်းကြောင့်ဖြစ်သည်။ src ပုံများ။ ဆိုလိုသည်မှာ၊ အသုံးပြုသူအတွက် ထိုကဲ့သို့သော တောင်းဆိုချက်သည် အသွားအလာတွင် သာမန်ရုပ်ပုံတစ်ပုံအတွက် တောင်းဆိုချက်တစ်ခုကဲ့သို့ ဖြစ်နေလိမ့်မည်။ sniffers များ၏ ImageID မိသားစုတွင် အလားတူနည်းပညာကို အသုံးပြုခဲ့သည်။ ထို့အပြင်၊ 1 နှင့် 1 pixel ပုံတစ်ပုံကို အသုံးပြုခြင်းနည်းပညာကို တရားဝင်အွန်လိုင်းခွဲခြမ်းစိတ်ဖြာမှု script အများအပြားတွင် အသုံးပြုထားပြီး သုံးစွဲသူကို အထင်မှားစေနိုင်သည်။

ဗားရှင်းခွဲခြမ်းစိတ်ဖြာခြင်း။

ReactGet sniffer အော်ပရေတာများအသုံးပြုသည့် တက်ကြွသောဒိုမိန်းများကို ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့် ဤ sniffers မိသားစု၏ မတူညီသောဗားရှင်းများစွာကို ဖော်ထုတ်ပြသခဲ့သည်။ ဗားရှင်းများသည် ရှိနေခြင်း သို့မဟုတ် ရှုပ်ထွေးမှုမရှိခြင်းတို့တွင် ကွဲပြားပြီး ထို့အပြင်၊ sniffer တစ်ခုစီသည် အွန်လိုင်းစတိုးများအတွက် ဘဏ်ကတ်ငွေပေးချေမှုများကို လုပ်ဆောင်သည့် သီးခြားငွေပေးချေမှုစနစ်အတွက် ဒီဇိုင်းထုတ်ထားသည်။ ဗားရှင်းနံပါတ်နှင့် သက်ဆိုင်သည့် ပါရာမီတာ၏တန်ဖိုးကို စီစစ်ပြီး၊ Group-IB ကျွမ်းကျင်သူများသည် ရရှိနိုင်သော sniffer ပုံစံကွဲများစာရင်း အပြည့်အစုံကို လက်ခံရရှိပြီး စာမျက်နှာကုဒ်တွင် ရှာဖွေသော sniffer တစ်ဦးစီ၏ ဖောင်ပုံစံအကွက်များ၏ အမည်များဖြင့် ၎င်းတို့သည် ငွေပေးချေမှုစနစ်များကို ဖော်ထုတ်ခဲ့သည် sniffer က ရည်ရွယ်ပါတယ်။

sniffers များစာရင်းနှင့် ၎င်းတို့၏ သက်ဆိုင်ရာ ငွေပေးချေမှုစနစ်များ

Sniffer URL	ငွေပေးချေမှုစနစ်
reactjsapi.com/react.js	Authorize.Net
ajaxstatic.com/api.js?v=2.1.1	ကတ်သိမ်းပါ။
ajaxstatic.com/api.js?v=2.1.2	Authorize.Net
ajaxstatic.com/api.js?v=2.1.3	Authorize.Net
ajaxstatic.com/api.js?v=2.1.4	eWAY မြန်သည်။
ajaxstatic.com/api.js?v=2.1.5	Authorize.Net
ajaxstatic.com/api.js?v=2.1.6	Adyen
ajaxstatic.com/api.js?v=2.1.7	USAePay
ajaxstatic.com/api.js?v=2.1.9	Authorize.Net
apitstatus.com/api.js?v=2.1.1	USAePay
apitstatus.com/api.js?v=2.1.2	Authorize.Net
apitstatus.com/api.js?v=2.1.3	Moneris
apitstatus.com/api.js?v=2.1.5	USAePay
apitstatus.com/api.js?v=2.1.6	PayPal
apitstatus.com/api.js?v=2.1.7	SagePay
apitstatus.com/api.js?v=2.1.8	သည် Verisign
apitstatus.com/api.js?v=2.1.9	PayPal
apitstatus.com/api.js?v=2.3.0	အစင်း
apitstatus.com/api.js?v=3.0.2	Realex
apitstatus.com/api.js?v=3.0.3	PayPal
apitstatus.com/api.js?v=3.0.4	LinkPoint
apitstatus.com/api.js?v=3.0.5	PayPal
apitstatus.com/api.js?v=3.0.7	PayPal
apitstatus.com/api.js?v=3.0.8	DataCash
apitstatus.com/api.js?v=3.0.9	PayPal
asianfoodgracer.com/footer.js	Authorize.Net
billgetstatus.com/api.js?v=1.2	Authorize.Net
billgetstatus.com/api.js?v=1.3	Authorize.Net
billgetstatus.com/api.js?v=1.4	Authorize.Net
billgetstatus.com/api.js?v=1.5	သည် Verisign
billgetstatus.com/api.js?v=1.6	Authorize.Net
billgetstatus.com/api.js?v=1.7	Moneris
billgetstatus.com/api.js?v=1.8	SagePay
billgetstatus.com/api.js?v=2.0	USAePay
billgetstatus.com/react.js	Authorize.Net
cloudodesc.com/gtm.js?v=1.2	Authorize.Net
cloudodesc.com/gtm.js?v=1.3	ANZ eGate
cloudodesc.com/gtm.js?v=2.3	Authorize.Net
cloudodesc.com/gtm.js?v=2.4	Moneris
cloudodesc.com/gtm.js?v=2.6	SagePay
cloudodesc.com/gtm.js?v=2.7	SagePay
cloudodesc.com/gtm.js?v=2.8	ငွေပေးချေမှုကိုလိုက်ဖမ်းပါ
cloudodesc.com/gtm.js?v=2.9	Authorize.Net
cloudodesc.com/gtm.js?v=2.91	Adyen
cloudodesc.com/gtm.js?v=2.92	PsiGate
cloudodesc.com/gtm.js?v=2.93	ဆိုက်ဘာအရင်းအမြစ်
cloudodesc.com/gtm.js?v=2.95	ANZ eGate
cloudodesc.com/gtm.js?v=2.97	Realex
geisseie.com/gs.js	USAePay
gtmproc.com/age.js	Authorize.Net
gtmproc.com/gtm.js?v=1.2	Authorize.Net
gtmproc.com/gtm.js?v=1.3	ANZ eGate
gtmproc.com/gtm.js?v=1.5	PayPal
gtmproc.com/gtm.js?v=1.6	PayPal
gtmproc.com/gtm.js?v=1.7	Realex
livecheckpay.com/api.js?v=2.0	SagePay
livecheckpay.com/api.js?v=2.1	PayPal
livecheckpay.com/api.js?v=2.2	သည် Verisign
livecheckpay.com/api.js?v=2.3	Authorize.Net
livecheckpay.com/api.js?v=2.4	သည် Verisign
livecheckpay.com/react.js	Authorize.Net
livegetpay.com/pay.js?v=2.1.2	ANZ eGate
livegetpay.com/pay.js?v=2.1.3	PayPal
livegetpay.com/pay.js?v=2.1.5	ဆိုက်ဘာအရင်းအမြစ်
livegetpay.com/pay.js?v=2.1.7	Authorize.Net
livegetpay.com/pay.js?v=2.1.8	SagePay
livegetpay.com/pay.js?v=2.1.9	Realex
livegetpay.com/pay.js?v=2.2.0	ဆိုက်ဘာအရင်းအမြစ်
livegetpay.com/pay.js?v=2.2.1	PayPal
livegetpay.com/pay.js?v=2.2.2	PayPal
livegetpay.com/pay.js?v=2.2.3	PayPal
livegetpay.com/pay.js?v=2.2.4	သည် Verisign
livegetpay.com/pay.js?v=2.2.5	eWAY မြန်သည်။
livegetpay.com/pay.js?v=2.2.7	SagePay
livegetpay.com/pay.js?v=2.2.8	SagePay
livegetpay.com/pay.js?v=2.2.9	သည် Verisign
livegetpay.com/pay.js?v=2.3.0	Authorize.Net
livegetpay.com/pay.js?v=2.3.1	Authorize.Net
livegetpay.com/pay.js?v=2.3.2	ပထမဆုံး Data Global Gateway
livegetpay.com/pay.js?v=2.3.3	Authorize.Net
livegetpay.com/pay.js?v=2.3.4	Authorize.Net
livegetpay.com/pay.js?v=2.3.5	Moneris
livegetpay.com/pay.js?v=2.3.6	Authorize.Net
livegetpay.com/pay.js?v=2.3.8	PayPal
livegetpay.com/pay.js?v=2.4.0	သည် Verisign
maxstatics.com/site.js	USAePay
mediapack.info/track.js?d=funlove.com	USAePay
mediapack.info/track.js?d=qbedding.com	Authorize.Net
mediapack.info/track.js?d=vseyewear.com	သည် Verisign
mxcounter.com/c.js?v=1.2	PayPal
mxcounter.com/c.js?v=1.3	Authorize.Net
mxcounter.com/c.js?v=1.4	အစင်း
mxcounter.com/c.js?v=1.6	Authorize.Net
mxcounter.com/c.js?v=1.7	eWAY မြန်သည်။
mxcounter.com/c.js?v=1.8	SagePay
mxcounter.com/c.js?v=2.0	Authorize.Net
mxcounter.com/c.js?v=2.1	Braintree
mxcounter.com/c.js?v=2.10	Braintree
mxcounter.com/c.js?v=2.2	PayPal
mxcounter.com/c.js?v=2.3	SagePay
mxcounter.com/c.js?v=2.31	SagePay
mxcounter.com/c.js?v=2.32	Authorize.Net
mxcounter.com/c.js?v=2.33	PayPal
mxcounter.com/c.js?v=2.34	Authorize.Net
mxcounter.com/c.js?v=2.35	သည် Verisign
mxcounter.com/click.js?v=1.2	PayPal
mxcounter.com/click.js?v=1.3	Authorize.Net
mxcounter.com/click.js?v=1.4	အစင်း
mxcounter.com/click.js?v=1.6	Authorize.Net
mxcounter.com/click.js?v=1.7	eWAY မြန်သည်။
mxcounter.com/click.js?v=1.8	SagePay
mxcounter.com/click.js?v=2.0	Authorize.Net
mxcounter.com/click.js?v=2.1	Braintree
mxcounter.com/click.js?v=2.2	PayPal
mxcounter.com/click.js?v=2.3	SagePay
mxcounter.com/click.js?v=2.31	SagePay
mxcounter.com/click.js?v=2.32	Authorize.Net
mxcounter.com/click.js?v=2.33	PayPal
mxcounter.com/click.js?v=2.34	Authorize.Net
mxcounter.com/click.js?v=2.35	သည် Verisign
mxcounter.com/cnt.js	Authorize.Net
mxcounter.com/j.js	Authorize.Net
newrelicnet.com/api.js?v=1.2	Authorize.Net
newrelicnet.com/api.js?v=1.4	Authorize.Net
newrelicnet.com/api.js?v=1.8	SagePay
newrelicnet.com/api.js?v=4.5	SagePay
newrelicnet.com/api.js?v=4.6	Westpac PayWay
nr-public.com/api.js?v=2.0	PayFort
nr-public.com/api.js?v=2.1	PayPal
nr-public.com/api.js?v=2.2	Authorize.Net
nr-public.com/api.js?v=2.3	အစင်း
nr-public.com/api.js?v=2.4	ပထမဆုံး Data Global Gateway
nr-public.com/api.js?v=2.5	PsiGate
nr-public.com/api.js?v=2.6	Authorize.Net
nr-public.com/api.js?v=2.7	Authorize.Net
nr-public.com/api.js?v=2.8	Moneris
nr-public.com/api.js?v=2.9	Authorize.Net
nr-public.com/api.js?v=3.1	SagePay
nr-public.com/api.js?v=3.2	သည် Verisign
nr-public.com/api.js?v=3.3	Moneris
nr-public.com/api.js?v=3.5	PayPal
nr-public.com/api.js?v=3.6	LinkPoint
nr-public.com/api.js?v=3.7	Westpac PayWay
nr-public.com/api.js?v=3.8	Authorize.Net
nr-public.com/api.js?v=4.0	Moneris
nr-public.com/api.js?v=4.0.2	PayPal
nr-public.com/api.js?v=4.0.3	Adyen
nr-public.com/api.js?v=4.0.4	PayPal
nr-public.com/api.js?v=4.0.5	Authorize.Net
nr-public.com/api.js?v=4.0.6	USAePay
nr-public.com/api.js?v=4.0.7	EBizCharge
nr-public.com/api.js?v=4.0.8	Authorize.Net
nr-public.com/api.js?v=4.0.9	သည် Verisign
nr-public.com/api.js?v=4.1.2	သည် Verisign
ordercheckpays.com/api.js?v=2.11	Authorize.Net
ordercheckpays.com/api.js?v=2.12	PayPal
ordercheckpays.com/api.js?v=2.13	Moneris
ordercheckpays.com/api.js?v=2.14	Authorize.Net
ordercheckpays.com/api.js?v=2.15	PayPal
ordercheckpays.com/api.js?v=2.16	PayPal
ordercheckpays.com/api.js?v=2.17	Westpac PayWay
ordercheckpays.com/api.js?v=2.18	Authorize.Net
ordercheckpays.com/api.js?v=2.19	Authorize.Net
ordercheckpays.com/api.js?v=2.21	SagePay
ordercheckpays.com/api.js?v=2.22	သည် Verisign
ordercheckpays.com/api.js?v=2.23	Authorize.Net
ordercheckpays.com/api.js?v=2.24	PayPal
ordercheckpays.com/api.js?v=2.25	PayFort
ordercheckpays.com/api.js?v=2.29	ဆိုက်ဘာအရင်းအမြစ်
ordercheckpays.com/api.js?v=2.4	PayPal Payflow Pro
ordercheckpays.com/api.js?v=2.7	Authorize.Net
ordercheckpays.com/api.js?v=2.8	Authorize.Net
ordercheckpays.com/api.js?v=2.9	သည် Verisign
ordercheckpays.com/api.js?v=3.1	Authorize.Net
ordercheckpays.com/api.js?v=3.2	Authorize.Net
ordercheckpays.com/api.js?v=3.3	SagePay
ordercheckpays.com/api.js?v=3.4	Authorize.Net
ordercheckpays.com/api.js?v=3.5	အစင်း
ordercheckpays.com/api.js?v=3.6	Authorize.Net
ordercheckpays.com/api.js?v=3.7	Authorize.Net
ordercheckpays.com/api.js?v=3.8	သည် Verisign
ordercheckpays.com/api.js?v=3.9	PayPal
ordercheckpays.com/api.js?v=4.0	Authorize.Net
ordercheckpays.com/api.js?v=4.1	Authorize.Net
ordercheckpays.com/api.js?v=4.2	SagePay
ordercheckpays.com/api.js?v=4.3	Authorize.Net
reactjsapi.com/api.js?v=0.1.0	Authorize.Net
reactjsapi.com/api.js?v=0.1.1	PayPal
reactjsapi.com/api.js?v=4.1.2	မီးကျောက်
reactjsapi.com/api.js?v=4.1.4	PayPal
reactjsapi.com/api.js?v=4.1.5	SagePay
reactjsapi.com/api.js?v=4.1.51	သည် Verisign
reactjsapi.com/api.js?v=4.1.6	Authorize.Net
reactjsapi.com/api.js?v=4.1.7	Authorize.Net
reactjsapi.com/api.js?v=4.1.8	အစင်း
reactjsapi.com/api.js?v=4.1.9	အဆီမြင်းကျား
reactjsapi.com/api.js?v=4.2.0	SagePay
reactjsapi.com/api.js?v=4.2.1	Authorize.Net
reactjsapi.com/api.js?v=4.2.2	ပထမဆုံး Data Global Gateway
reactjsapi.com/api.js?v=4.2.3	Authorize.Net
reactjsapi.com/api.js?v=4.2.4	eWAY မြန်သည်။
reactjsapi.com/api.js?v=4.2.5	Adyen
reactjsapi.com/api.js?v=4.2.7	PayPal
reactjsapi.com/api.js?v=4.2.8	QuickBooks ကုန်သည်ဝန်ဆောင်မှုများ
reactjsapi.com/api.js?v=4.2.9	သည် Verisign
reactjsapi.com/api.js?v=4.2.91	SagePay
reactjsapi.com/api.js?v=4.2.92	သည် Verisign
reactjsapi.com/api.js?v=4.2.94	Authorize.Net
reactjsapi.com/api.js?v=4.3.97	Authorize.Net
reactjsapi.com/api.js?v=4.5	SagePay
reactjsapi.com/react.js	Authorize.Net
sydneysalonsupplies.com/gtm.js	eWAY မြန်သည်။
tagsmediaget.com/react.js	Authorize.Net
tagstracking.com/tag.js?v=2.1.2	ANZ eGate
tagstracking.com/tag.js?v=2.1.3	PayPal
tagstracking.com/tag.js?v=2.1.5	ဆိုက်ဘာအရင်းအမြစ်
tagstracking.com/tag.js?v=2.1.7	Authorize.Net
tagstracking.com/tag.js?v=2.1.8	SagePay
tagstracking.com/tag.js?v=2.1.9	Realex
tagstracking.com/tag.js?v=2.2.0	ဆိုက်ဘာအရင်းအမြစ်
tagstracking.com/tag.js?v=2.2.1	PayPal
tagstracking.com/tag.js?v=2.2.2	PayPal
tagstracking.com/tag.js?v=2.2.3	PayPal
tagstracking.com/tag.js?v=2.2.4	သည် Verisign
tagstracking.com/tag.js?v=2.2.5	eWAY မြန်သည်။
tagstracking.com/tag.js?v=2.2.7	SagePay
tagstracking.com/tag.js?v=2.2.8	SagePay
tagstracking.com/tag.js?v=2.2.9	သည် Verisign
tagstracking.com/tag.js?v=2.3.0	Authorize.Net
tagstracking.com/tag.js?v=2.3.1	Authorize.Net
tagstracking.com/tag.js?v=2.3.2	ပထမဆုံး Data Global Gateway
tagstracking.com/tag.js?v=2.3.3	Authorize.Net
tagstracking.com/tag.js?v=2.3.4	Authorize.Net
tagstracking.com/tag.js?v=2.3.5	Moneris
tagstracking.com/tag.js?v=2.3.6	Authorize.Net
tagstracking.com/tag.js?v=2.3.8	PayPal

စကားဝှက် sniffer

ဆိုက်တစ်ခု၏ client ဘက်ခြမ်းတွင် အလုပ်လုပ်သော JavaScript sniffers ၏ အားသာချက်များထဲမှတစ်ခုမှာ ၎င်းတို့၏ ဘက်စုံစွမ်းဆောင်နိုင်မှုမှာ ဖြစ်သည်- ဆိုက်တစ်ခုပေါ်တွင် ထည့်သွင်းထားသော အန္တရာယ်ရှိသော ကုဒ်သည် မည်သည့်ဒေတာအမျိုးအစားကိုမဆို ခိုးယူနိုင်သည်၊ ငွေပေးချေမှုဒေတာ သို့မဟုတ် အသုံးပြုသူအကောင့်၏ အကောင့်ဝင်ခြင်းနှင့် စကားဝှက်ကို ခိုးယူနိုင်သည်။ Group-IB ကျွမ်းကျင်သူများသည် ဆိုက်အသုံးပြုသူများ၏ အီးမေးလ်လိပ်စာများနှင့် စကားဝှက်များကို ခိုးယူရန် ဒီဇိုင်းထုတ်ထားသည့် ReactGet မိသားစုပိုင် sniffer နမူနာကို ရှာဖွေတွေ့ရှိခဲ့သည်။

ImageID sniffer နှင့်လမ်းဆုံ

ကူးစက်ခံထားရသောစတိုးဆိုင်များထဲမှ တစ်ခုကို ခွဲခြမ်းစိတ်ဖြာမှုအတွင်း ၎င်း၏ဆိုက်သည် နှစ်ကြိမ်ကူးစက်ခံရကြောင်း တွေ့ရှိခဲ့သည်- ReactGet မိသားစု sniffer ၏ အန္တရာယ်ရှိသောကုဒ်အပြင် ImageID မိသားစု sniffer ၏ကုဒ်ကို တွေ့ရှိခဲ့သည်။ ဤထပ်နေမှုသည် sniffers နှစ်ခုလုံး၏ နောက်ကွယ်မှ အော်ပရေတာများသည် အန္တရာယ်ရှိသောကုဒ်ကို ထိုးသွင်းရန် အလားတူနည်းပညာများကို အသုံးပြုကြောင်း သက်သေပြနိုင်သည် ။

တစ်လောကလုံး sniffer

ReactGet sniffer အခြေခံအဆောက်အအုံနှင့် ဆက်စပ်နေသော ဒိုမိန်းအမည်များထဲမှ တစ်ခုကို ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့် တူညီသောအသုံးပြုသူသည် အခြားဒိုမိန်းအမည် သုံးခုကို မှတ်ပုံတင်ထားကြောင်း ဖော်ပြခဲ့သည်။ ဤဒိုမိန်းသုံးခုသည် လက်တွေ့ဘဝရှိ ဝဘ်ဆိုဒ်များ၏ ဒိုမိန်းများကို အတုယူကာ ယခင်က sniffers များကို လက်ခံကျင်းပရန် အသုံးပြုခဲ့ကြသည်။ တရားဝင်ဆိုက် သုံးခု၏ ကုဒ်ကို ပိုင်းခြားစိတ်ဖြာသည့်အခါ အမည်မသိ sniffer တစ်ခုကို တွေ့ရှိခဲ့ပြီး နောက်ထပ် ခွဲခြမ်းစိတ်ဖြာမှုတွင် ၎င်းသည် ReactGet sniffer ၏ ပိုမိုကောင်းမွန်သော ဗားရှင်းဖြစ်ကြောင်း ပြသခဲ့သည်။ ဤ sniffers မိသားစု၏ ယခင်က စောင့်ကြည့်ထားသော ဗားရှင်းအားလုံးသည် ငွေပေးချေမှုစနစ်တစ်ခုတည်းအတွက် ရည်ရွယ်ထားခြင်းဖြစ်သည်၊ ဆိုလိုသည်မှာ ငွေပေးချေမှုစနစ်တစ်ခုစီတွင် sniffer ၏ အထူးဗားရှင်းတစ်ခု လိုအပ်ပါသည်။ သို့သော်လည်း ဤကိစ္စတွင်၊ အွန်လိုင်းငွေပေးချေမှုပြုလုပ်ရန်အတွက် e-commerce sites များ၏ မတူညီသောငွေပေးချေမှုစနစ် 15 ခုနှင့် ဆက်စပ်ပုံစံများမှ အချက်အလက်များကို ခိုးယူနိုင်သည့် sniffer ၏ universal version ကို ရှာဖွေတွေ့ရှိခဲ့သည်။

ထို့ကြောင့်၊ အလုပ်အစတွင်၊ sniffer သည် သေဆုံးသူ၏ကိုယ်ရေးကိုယ်တာအချက်အလက်များပါရှိသော အခြေခံဖောင်ကွက်များ- အမည်အပြည့်အစုံ၊ ရုပ်ပိုင်းဆိုင်ရာလိပ်စာ၊ ဖုန်းနံပါတ်တို့ကို ရှာဖွေခဲ့သည်။

ထို့နောက် sniffer သည် မတူညီသောငွေပေးချေမှုစနစ်များနှင့် အွန်လိုင်းငွေပေးချေမှု modules များနှင့်သက်ဆိုင်သည့် မတူညီသောရှေ့ဆက် 15 ကျော်ကို ရှာဖွေခဲ့သည်။

ထို့နောက်၊ သားကောင်၏ကိုယ်ရေးကိုယ်တာဒေတာနှင့် ငွေပေးချေမှုအချက်အလက်များကို အတူတကွစုစည်းပြီး တိုက်ခိုက်သူထိန်းချုပ်ထားသည့်ဆိုက်တစ်ခုသို့ ပို့လိုက်သည်- ဤအခြေအနေတွင်၊ မတူညီသော ဟက်ကာဆိုက်နှစ်ခုတွင် တည်ရှိသော universal ReactGet sniffer ဗားရှင်းနှစ်ခုကို ရှာဖွေတွေ့ရှိခဲ့သည်။ သို့သော်၊ ဗားရှင်းနှစ်မျိုးစလုံးသည် ခိုးယူထားသော ဒေတာများကို ဟက်ခ်ခံရသည့် ဆိုက်တစ်ခုတည်းသို့ ပေးပို့ခဲ့သည်။ zoobashop.com.

အသတ်ခံရသူ၏ ငွေပေးချေမှုအချက်အလက်ပါရှိသော အကွက်များကို ရှာဖွေရာတွင် sniffer မှအသုံးပြုသည့် ရှေ့နောက်ဆက်တွဲများကို ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့် ဤ sniffer နမူနာသည် အောက်ပါငွေပေးချေမှုစနစ်များအတွက် ရည်ရွယ်ထားကြောင်း ဆုံးဖြတ်နိုင်သည်-

• Authorize.Net
• သည် Verisign
• ပထမ ဦး ဆုံးဒေတာ
• USAePay
• အစင်း
• PayPal
• ANZ eGate
• Braintree
• DataCash (မာစတာကတ်)
• Realex ငွေပေးချေမှုများ
• PsiGate
• Heartland ငွေပေးချေမှုစနစ်များ

ငွေပေးချေမှုအချက်အလက်ကို ခိုးယူရန် မည်သည့်ကိရိယာများကို အသုံးပြုသနည်း။

တိုက်ခိုက်သူများ၏ အခြေခံအဆောက်အအုံဆိုင်ရာ ခွဲခြမ်းစိတ်ဖြာမှုအတွင်း ရှာဖွေတွေ့ရှိခဲ့သည့် ပထမဆုံးတူးလ်ကို ဘဏ်ကတ်များခိုးယူခြင်းအတွက် တာဝန်ရှိသော အန္တရာယ်ရှိသော script များကို ရှုပ်ထွေးစေရန် အသုံးပြုပါသည်။ ပရောဂျက်၏ CLI ကိုအသုံးပြုသည့် bash script ကို တိုက်ခိုက်သူ၏ host တစ်ခုတွင် ရှာဖွေတွေ့ရှိခဲ့သည်။ javascript-obfuscator sniffer code ၏ ရှုပ်ယှက်ခတ်မှုကို အလိုအလျောက်လုပ်ဆောင်ရန်။

ဒုတိယရှာဖွေတွေ့ရှိသည့် tool သည် main sniffer ကို loading တွင်တာဝန်ရှိသော code ကိုထုတ်လုပ်ရန်ဒီဇိုင်းပြုလုပ်ထားသည်။ ဤကိရိယာသည် အသုံးပြုသူ၏လက်ရှိလိပ်စာကို strings များရှာဖွေခြင်းဖြင့် ငွေပေးချေမှုစာမျက်နှာတွင်ရှိမရှိစစ်ဆေးသော JavaScript ကုဒ်ကိုထုတ်ပေးသည် ထွက်ခွာသည်, လှည်း စသည်တို့နှင့် ရလဒ်သည် အပြုသဘောဆောင်ပါက၊ ကုဒ်သည် တိုက်ခိုက်သူများ၏ဆာဗာမှ ပင်မ sniffer ကို load လုပ်ပါသည်။ အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်ကို ဖုံးကွယ်ရန်၊ ငွေပေးချေမှုစာမျက်နှာကို ဆုံးဖြတ်ရန်အတွက် စမ်းသပ်လိုင်းများအပါအဝင် လိုင်းအားလုံးကို အသုံးပြုပြီး sniffer သို့ လင့်ခ်တစ်ခုအား ကုဒ်နံပါတ်ဖြင့် ကုဒ်လုပ်ထားပါသည်။ အခြေခံ ၃၄၄၃.

ဖြားယောင်းတိုက်ခိုက်မှုများ

တိုက်ခိုက်သူများ၏ ကွန်ရက်အခြေခံအဆောက်အအုံဆိုင်ရာ ခွဲခြမ်းစိတ်ဖြာချက်တွင် ရာဇ၀တ်ဂိုဏ်းသည် ပစ်မှတ်အွန်လိုင်းစတိုး၏ စီမံခန့်ခွဲရေးအဖွဲ့သို့ ဝင်ရောက်ခွင့်ရရန် မကြာခဏ ဖြားယောင်းခြင်းကို အသုံးပြုကြောင်း ဖော်ထုတ်တွေ့ရှိခဲ့သည်။ တိုက်ခိုက်သူများသည် စတိုးဆိုင်၏ ဒိုမိန်းနှင့် အမြင်ဆင်တူသည့် ဒိုမိန်းတစ်ခုကို မှတ်ပုံတင်ပြီး Magento စီမံခန့်ခွဲရေးအဖွဲ့၏ အကောင့်ဝင်ပုံစံအတုကို ၎င်းတွင် အသုံးပြုသည်။ အောင်မြင်ပါက၊ တိုက်ခိုက်သူများသည် ၎င်းတို့အား ဝဘ်ဆိုဒ်အစိတ်အပိုင်းများကို တည်းဖြတ်ရန်နှင့် ခရက်ဒစ်ကတ်ဒေတာခိုးယူရန် sniffer ကို အကောင်အထည်ဖော်ရန် အခွင့်အရေးပေးသည့် Magento CMS ၏ စီမံခန့်ခွဲရေးအကန့်သို့ ဝင်ရောက်ခွင့်ရရှိမည်ဖြစ်သည်။

အခြေခံအဆောက်အဦများ

Домен	ရှာဖွေတွေ့ရှိမှု/ထင်ရှားသည့်ရက်စွဲ
mediapack.info	04.05.2017
adsgetapi.com	15.06.2017
simcounter.com	14.08.2017
mageanalytics.com	22.12.2017
maxstatics.com	16.01.2018
reactjsapi.com	19.01.2018
mxcounter.com	02.02.2018
apitstatus.com	01.03.2018
orderracker.com	20.04.2018
tagstracking.com	25.06.2018
adsapigate.com	12.07.2018
trust-tracker.com	15.07.2018
fbstatspartner.com	02.10.2018
billgetstatus.com	12.10.2018
www.aldenmlilhouse.com	20.10.2018
balletbeautlful.com	20.10.2018
bargalnjunkie.com	20.10.2018
payselector.com	21.10.2018
tagsmediaget.com	02.11.2018
hs-payments.com	16.11.2018
ordercheckpays.com	19.11.2018
geisseie.com	24.11.2018
gtmproc.com	29.11.2018
livegetpay.com	18.12.2018
sydneysalonsupplies.com	18.12.2018
newrelicnet.com	19.12.2018
nr-public.com	03.01.2019
cloudodesc.com	04.01.2019
ajaxstatic.com	11.01.2019
livecheckpay.com	21.01.2019
asianfoodgracer.com	25.01.2019

G-Analytics မိသားစု

ဤ sniffers မိသားစုသည် အွန်လိုင်းစတိုးများမှ ဖောက်သည်ကတ်များကို ခိုးယူရန် အသုံးပြုသည်။ အဖွဲ့မှအသုံးပြုသော ပထမဆုံး ဒိုမိန်းအမည်ကို 2016 ခုနှစ် ဧပြီလတွင် မှတ်ပုံတင်ခဲ့ပြီး၊ ၎င်းသည် အဖွဲ့သည် 2016 နှစ်လယ်ပိုင်းတွင် စတင်လုပ်ဆောင်ခဲ့ကြောင်း ညွှန်ပြနိုင်သည်။

လက်ရှိ ကမ်ပိန်းတွင်၊ အဖွဲ့သည် Google Analytics နှင့် jQuery ကဲ့သို့သော လက်တွေ့ဘဝဝန်ဆောင်မှုများကို အတုယူသည့် ဒိုမိန်းအမည်များကို အသုံးပြုကာ၊ တရားဝင်သော script များနှင့် တရားဝင်သော ဒိုမိန်းအမည်များဖြင့် sniffers များ၏ လုပ်ဆောင်ချက်ကို ဖုံးကွယ်ထားသည်။ Magento CMS လည်ပတ်သည့်ဆိုက်များကို တိုက်ခိုက်ခံခဲ့ရသည်။

G-Analytics ကို အွန်လိုင်းစတိုးတစ်ခု၏ ကုဒ်တွင် အကောင်အထည်ဖော်ပုံ

ဤမိသားစု၏ထူးခြားချက်မှာ သုံးစွဲသူ၏ငွေပေးချေမှုအချက်အလက်ကို ခိုးယူရန် နည်းလမ်းအမျိုးမျိုးကို အသုံးပြုခြင်းဖြစ်သည်။ ဆိုက်၏ client ဘက်ခြမ်းသို့ JavaScript ကုဒ်ကို ဂန္ထဝင်ထိုးသွင်းခြင်းအပြင်၊ ရာဇ၀တ်မှုအုပ်စုသည် ဆိုက်၏ဆာဗာဘက်ခြမ်းသို့ ကုဒ်ထိုးခြင်းနည်းပညာများကို အသုံးပြုသူထည့်သွင်းထားသောဒေတာကို လုပ်ဆောင်သည့် PHP scripts များဟုလည်း အသုံးပြုခဲ့သည်။ ဤနည်းပညာသည် ပြင်ပမှ သုတေသီများအတွက် အန္တရာယ်ရှိသောကုဒ်ကို ရှာဖွေရန် ခက်ခဲစေသောကြောင့် ဤနည်းပညာသည် အန္တရာယ်ရှိသည်။ Group-IB ကျွမ်းကျင်သူများသည် ဂိတ်တစ်ခုအဖြစ် ဒိုမိန်းကို အသုံးပြု၍ ဝဘ်ဆိုက်၏ PHP ကုဒ်တွင် ထည့်သွင်းထားသော sniffer ဗားရှင်းကို ရှာဖွေတွေ့ရှိခဲ့သည် dittm.org.

ခိုးယူထားသောဒေတာကိုစုဆောင်းရန် တူညီသောဒိုမိန်းကိုအသုံးပြုသည့် sniffer ၏အစောပိုင်းဗားရှင်းကိုလည်း ရှာဖွေတွေ့ရှိခဲ့သည်။ dittm.orgသို့သော် ဤဗားရှင်းသည် အွန်လိုင်းစတိုး၏ ကလိုင်းယင့်ဘက်မှ တပ်ဆင်ရန်အတွက် ရည်ရွယ်ပါသည်။

နောက်ပိုင်းတွင် အဖွဲ့သည် ၎င်း၏ နည်းဗျူဟာများကို ပြောင်းလဲခဲ့ပြီး အန္တရာယ်ရှိသော လှုပ်ရှားမှုများကို ဖုံးကွယ်ရန်နှင့် ဖုံးကွယ်ရန် ပိုမိုအာရုံစိုက်လာခဲ့သည်။

2017 ခုနှစ်အစတွင်၊ အဖွဲ့သည် domain ကိုစတင်အသုံးပြုခဲ့သည်။ jquery-js.comjQuery အတွက် CDN အဖြစ် ဟန်ဆောင်ခြင်း- တိုက်ခိုက်သူများ၏ ဆိုက်သို့ သွားသောအခါ၊ အသုံးပြုသူကို တရားဝင်ဆိုက်သို့ ပြန်ညွှန်းသည် jquery.com.

ပြီးတော့ 2018 နှစ်လယ်ပိုင်းမှာတော့ အဖွဲ့ဟာ domain name ကို လက်ခံကျင့်သုံးခဲ့ပါတယ်။ g-analytics.com နှင့် sniffer ၏လှုပ်ရှားမှုများကိုတရားဝင် Google Analytics ဝန်ဆောင်မှုအဖြစ်အသွင်ပြောင်းခဲ့သည်။

ဗားရှင်းခွဲခြမ်းစိတ်ဖြာခြင်း။

sniffer ကုဒ်ကို သိမ်းဆည်းရန် အသုံးပြုသည့် ဒိုမိန်းများကို ခွဲခြမ်းစိတ်ဖြာမှုအတွင်း၊ ဝဘ်ဆိုက်တွင် ရှုပ်ထွေးမှုများ ရှိနေခြင်းတွင် ကွဲပြားသည့် ဗားရှင်းအများအပြား ပါဝင်နေသည့်အပြင် ဖိုင်တွင် ချိတ်ဆက်၍မရသော ကုဒ်များ ရှိနေခြင်း သို့မဟုတ် မရှိခြင်းတို့ကို အာရုံပျံ့လွင့်စေမည့် ကုဒ်များ ရှိနေခြင်း သို့မဟုတ် မရှိခြင်းတို့ကို တွေ့ရှိခဲ့သည်။ အန္တရာယ်ရှိသောကုဒ်ကို ဝှက်ထားပါ။

site ပေါ်တွင်စုစုပေါင်း jquery-js.com sniffers ဗားရှင်းခြောက်ခုကို ဖော်ထုတ်ခဲ့သည်။ ဤ sniffer များသည် ခိုးယူထားသော ဒေတာများကို sniffer ကိုယ်တိုင်ကဲ့သို့ တူညီသော ဝဘ်ဆိုက်တွင်ရှိသော လိပ်စာသို့ ပေးပို့သည်- hxxps://jquery-js[.]com/latest/jquery.min.js:

• hxxps://jquery-js[.]com/jquery.min.js
• hxxps://jquery-js[.]com/jquery.2.2.4.min.js
• hxxps://jquery-js[.]com/jquery.1.8.3.min.js
• hxxps://jquery-js[.]com/jquery.1.6.4.min.js
• hxxps://jquery-js[.]com/jquery.1.4.4.min.js
• hxxps://jquery-js[.]com/jquery.1.12.4.min.js

နောက်တော့ ဒိုမိန်း g-analytics.com2018 နှစ်လယ်ကတည်းက တိုက်ခိုက်မှုများတွင် အဖွဲ့မှအသုံးပြုခဲ့သော၊ သည် နောက်ထပ် sniffers များအတွက် သိုလှောင်ရာတစ်ခုအဖြစ် ဆောင်ရွက်ပါသည်။ စုစုပေါင်း sniffer အမျိုးအစား 16 ခုကို ရှာဖွေတွေ့ရှိခဲ့သည်။ ဤကိစ္စတွင်၊ ခိုးယူထားသောဒေတာကို ပေးပို့ရန်အတွက် ဂိတ်ပေါက်သည် ပုံဖော်မတ်သို့ လင့်ခ်တစ်ခုအဖြစ် အသွင်ပြောင်းထားသည်။ GIF ကို: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:

• hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
• hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
• hxxps://g-analytics[.]com/libs/analytics.js

ခိုးယူထားသောဒေတာကို ငွေရှာခြင်း။

ရာဇ၀တ်ဂိုဏ်းသည် ကတ်ပြားများကို ဝန်ဆောင်မှုပေးသည့် အထူးဖန်တီးထားသော မြေအောက်စတိုးတစ်ခုမှတစ်ဆင့် ကတ်များရောင်းချခြင်းဖြင့် ခိုးယူဒေတာများကို ငွေရှာသည်။ တိုက်ခိုက်သူများအသုံးပြုသော ဒိုမိန်းများကို ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့် ကျွန်ုပ်တို့အား ဆုံးဖြတ်နိုင်စေပါသည်။ google-analytics.cm ဒိုမိန်းနှင့်တူညီသောအသုံးပြုသူမှမှတ်ပုံတင်ခဲ့သည်။ cardz.vc. ဒိုမိန်း cardz.vc ခိုးယူခံရသော ဘဏ်ကတ်များ ရောင်းချသည့် စတိုးဆိုင်ကို ရည်ညွှန်းပြီး sniffer ဖြင့် ခိုးယူခံရသော ဘဏ်ကတ်များကို AlphaBay ၏ မြေအောက်ကုန်သွယ်ပလပ်ဖောင်း လက်ထက်တွင် ပြန်လည်ကျော်ကြားခဲ့သော Cardsurfs (Flysurfs) ကို ရည်ညွှန်းသည်။

ဒိုမိန်းကိုခွဲခြမ်းစိတ်ဖြာခြင်း။ analytical.isခိုးယူထားသောဒေတာကို စုဆောင်းရန် sniffers အသုံးပြုသော ဒိုမိန်းများနှင့် တူညီသောဆာဗာပေါ်တွင် တည်ရှိပြီး Group-IB ကျွမ်းကျင်သူများသည် ဆော့ဖ်ဝဲရေးသားသူမှ စွန့်ပစ်ထားပုံရပြီး cookie ခိုးယူသည့်မှတ်တမ်းများပါရှိသော ဖိုင်တစ်ခုကို ရှာဖွေတွေ့ရှိခဲ့သည်။ မှတ်တမ်းရှိ ထည့်သွင်းမှုများတွင် ဒိုမိန်းတစ်ခုပါရှိသည်။ iozoz.com2016 တွင်အသုံးပြုခဲ့သော sniffers တစ်ခုတွင် ယခင်ကအသုံးပြုခဲ့သည်။ sniffer သုံးပြီး ခိုးယူထားသော ကတ်များကို စုဆောင်းရန် ဤဒိုမိန်းကို ယခင်က အသုံးပြုခဲ့သည်။ ဤဒိုမိန်းကို အီးမေးလ်လိပ်စာသို့ မှတ်ပုံတင်ထားသည်။ [အီးမေးလ်ကိုကာကွယ်ထားသည်]ဒိုမိန်းများကို မှတ်ပုံတင်ရန်လည်း အသုံးပြုခဲ့သည်။ cardz.su и cardz.vccarding store နှင့်ဆက်စပ်သော Cardsurfs။

ရရှိသောအချက်အလက်များအပေါ်အခြေခံ၍ G-Analytics sniffers မိသားစုနှင့် ဘဏ်ကတ်များရောင်းချသော မြေအောက်စတိုးဆိုင် Cardsurfs များကို တူညီသောလူများက စီမံခန့်ခွဲပြီး စတိုးဆိုင်ကို sniffer ဖြင့်ခိုးယူထားသော ဘဏ်ကတ်များကို ရောင်းချရန်အတွက် အသုံးပြုသည်ဟု ယူဆနိုင်ပါသည်။

အခြေခံအဆောက်အဦများ

Домен	ရှာဖွေတွေ့ရှိမှု/ထင်ရှားသည့်ရက်စွဲ
iozoz.com	08.04.2016
dittm.org	10.09.2016
jquery-js.com	02.01.2017
g-analytics.com	31.05.2018
google-analytics.is	21.11.2018
analytical.to	04.12.2018
google-analytics.to	06.12.2018
google-analytics.cm	28.12.2018
analytical.is	28.12.2018
googlc-analytics.cm	17.01.2019

Illum မိသားစု

Illum သည် Magento CMS လည်ပတ်သည့် အွန်လိုင်းစတိုးများကို တိုက်ခိုက်ရာတွင် အသုံးပြုသည့် အနံ့အသက်ရှူစက်မိသားစုတစ်ခုဖြစ်သည်။ အန္တရာယ်ရှိသောကုဒ်ကို မိတ်ဆက်ခြင်းအပြင်၊ ဤ sniffer ၏ အော်ပရေတာများသည် တိုက်ခိုက်သူများ ထိန်းချုပ်ထားသော ဂိတ်များသို့ ဒေတာပေးပို့သည့် ပြည့်စုံပြီးပြည့်စုံသော ငွေပေးချေမှုပုံစံအတုများကို မိတ်ဆက်ခြင်းကိုလည်း အသုံးပြုပါသည်။

ဤ sniffer ၏အော်ပရေတာများအသုံးပြုသည့် ကွန်ရက်အခြေခံအဆောက်အအုံကို ပိုင်းခြားစိတ်ဖြာသည့်အခါတွင် အန္တရာယ်ရှိသော script အများအပြား၊ အမြတ်ထုတ်မှုများ၊ ငွေပေးချေမှုပုံစံအတုများ၊ ပြိုင်ဘက်များထံမှ အန္တရာယ်ရှိသော အနံ့အသက်ဆိုးများပါသည့် နမူနာအစုအဝေးများကို မှတ်သားထားသည်။ အဖွဲ့အသုံးပြုသော ဒိုမိန်းအမည်များ၏ ထင်ရှားသည့်ရက်စွဲများဆိုင်ရာ အချက်အလက်များအပေါ် အခြေခံ၍ ကမ်ပိန်းကို 2016 နှစ်ကုန်တွင် စတင်ခဲ့သည်ဟု ယူဆနိုင်ပါသည်။

Illum ကို အွန်လိုင်းစတိုးတစ်ခု၏ ကုဒ်တွင် အကောင်အထည်ဖော်ပုံ

ရှာဖွေတွေ့ရှိသည့် sniffer ၏ ပထမဆုံးဗားရှင်းများကို အပေးအယူခံရသည့်ဆိုက်၏ ကုဒ်ထဲသို့ တိုက်ရိုက်ထည့်သွင်းထားသည်။ ခိုးယူခံရသော ဒေတာများကို ပေးပို့ခဲ့သည်။ cdn.illum[.]pw/records.phpတံခါးကို အသုံးပြု၍ ကုဒ်နံပါတ်တပ်ထားသည်။ အခြေခံ ၃၄၄၃.

နောက်ပိုင်းတွင်၊ မတူညီသောတံခါးကိုအသုံးပြုသည့် sniffer ၏ထုပ်ပိုးထားသောဗားရှင်းကိုတွေ့ရှိခဲ့သည် - records.nstatistics[.]com/records.php.

အတိုင်း အစီရင်ခံစာ Willem de Groot၊ တူညီသောအိမ်ရှင်ကို စတင်အကောင်အထည်ဖော်ခဲ့သည့် sniffer တွင်အသုံးပြုခဲ့သည်။ စတိုးဆိုင်ဝက်ဘ်ဆိုက်ဂျာမန်နိုင်ငံရေးပါတီ CSU က ပိုင်ဆိုင်ပါတယ်။

တိုက်ခိုက်သူများ၏ ဝဘ်ဆိုဒ်ကို လေ့လာခြင်း။

Group-IB ကျွမ်းကျင်သူများသည် ကိရိယာများကို သိမ်းဆည်းရန်နှင့် ခိုးယူထားသော အချက်အလက်များကို စုဆောင်းရန်အတွက် ဤရာဇ၀တ်ဂိုဏ်းမှ အသုံးပြုသည့် ဝဘ်ဆိုက်တစ်ခုကို ရှာဖွေတွေ့ရှိပြီး ခွဲခြမ်းစိတ်ဖြာခဲ့သည်။

တိုက်ခိုက်သူများ၏ဆာဗာတွင်တွေ့ရှိရသောကိရိယာများထဲတွင် Linux OS တွင်အခွင့်ထူးများတိုးမြှင့်ခြင်းအတွက် script များနှင့် exploits များဖြစ်သည်- ဥပမာ၊ Mike Czumak မှထုတ်လုပ်သော Linux Privilege Escalation Check Script နှင့် CVE-2009-1185 အတွက် exploit တစ်ခုဖြစ်သည်။

တိုက်ခိုက်သူများသည် အွန်လိုင်းစတိုးများကို တိုက်ခိုက်ရန်အတွက် အမြတ်ထုတ်မှုနှစ်ခုကို တိုက်ရိုက်အသုံးပြုခဲ့သည်- первый malicious code ထဲသို့ ထိုးသွင်းနိုင်သည်။ core_config_data CVE-2016-4010 ကို အသုံးချခြင်းဖြင့်၊ ဒုတိယ CMS Magento အတွက် ပလပ်အင်များတွင် RCE အားနည်းချက်ကို အသုံးချပြီး အားနည်းချက်ရှိသော ဝဘ်ဆာဗာတစ်ခုတွင် မတရားကုဒ်ကို လုပ်ဆောင်နိုင်စေပါသည်။

ထို့အပြင်၊ ဆာဗာ၏ခွဲခြမ်းစိတ်ဖြာမှုအတွင်း၊ ဖောက်ထွင်းခံရသောဆိုက်များမှ ငွေပေးချေမှုအချက်အလက်ကို တိုက်ခိုက်သူများအသုံးပြုသည့် sniffers နမူနာများနှင့် ငွေပေးချေမှုပုံစံအတုများကို ရှာဖွေတွေ့ရှိခဲ့သည်။ အောက်ဖော်ပြပါစာရင်းမှ သင်တွေ့မြင်ရသည့်အတိုင်း၊ အချို့သော Script များကို ဟက်ကာဆိုက်တစ်ခုစီအတွက် တစ်ဦးချင်းဖန်တီးထားသော်လည်း အချို့သော CMS နှင့် ငွေပေးချေမှုတံခါးပေါက်များအတွက် universal solution ကို အသုံးပြုထားသည်။ ဥပမာ၊ ဇာတ်ညွှန်းများ segapay_standart.js и segapay_onpage.js Sage Pay ငွေပေးချေမှုတံခါးပေါက်ကို အသုံးပြု၍ ဆိုက်များတွင် အကောင်အထည်ဖော်ရန်အတွက် ဒီဇိုင်းထုတ်ထားသည်။

အမျိုးမျိုးသောငွေပေးချေမှုတံခါးပေါက်များအတွက် scripts များစာရင်း

ဇာတ်ညွှန်း	ငွေပေးချေမှုတံခါးပေါက်
sr.illum[.]pw/mjs_special/visiondirect.co.uk.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/topdierenshop.nl.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/tiendalovo.es.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/pro-bolt.com.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/plae.co.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/ottolenghi.co.uk.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/oldtimecandy.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/mylook.ee.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs_special/luluandsky.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/julep.com.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs_special/gymcompany.es.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/grotekadoshop.nl.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs_special/fushi.co.uk.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/fareastflora.com.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs_special/compuindia.com.js	//request.payrightnow[.]cf/alldata.php
sr.illum[.]pw/mjs/segapay_standart.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/segapay_onpage.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/replace_standart.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/mjs/all_inputs.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/mjs/add_inputs_standart.js	//request.payrightnow[.]cf/checkpayment.php
sr.illum[.]pw/magento/payment_standart.js	//cdn.illum[.]pw/records.php
sr.illum[.]pw/magento/payment_redirect.js	//payrightnow[.]cf/?payment=
sr.illum[.]pw/magento/payment_redcrypt.js	//payrightnow[.]cf/?payment=
sr.illum[.]pw/magento/payment_forminsite.js	//paymentnow[.]tk/?payment=

အိမ်ရှင် Paymentnow[.]tkဇာတ်ညွှန်းတစ်ခုတွင် ဂိတ်ပေါက်အဖြစ် အသုံးပြုသည်။ Payment_forminsite.jsအဖြစ်ရှာဖွေတွေ့ရှိခဲ့သည်။ subjectAltName CloudFlare ဝန်ဆောင်မှုနှင့် သက်ဆိုင်သည့် လက်မှတ်များစွာတွင်။ ထို့အပြင်၊ အိမ်ရှင်တွင် ဇာတ်ညွှန်းတစ်ခုပါရှိသည်။ evil.js. ဇာတ်ညွှန်းအမည်ဖြင့် အကဲဖြတ်ရာတွင် ၎င်းအား Magento CMS လည်ပတ်သည့်ဆိုက်၏အောက်ခြေသို့ မသမာသောကုဒ်ကို ထည့်သွင်းနိုင်သောကြောင့် CVE-2016-4010 ၏ အသုံးချမှုတစ်စိတ်တစ်ပိုင်းအဖြစ် အသုံးပြုနိုင်သည်။ အိမ်ရှင်သည် ဤဇာတ်ညွှန်းကို ဂိတ်တစ်ခုအဖြစ် အသုံးပြုခဲ့သည်။ request.requestnet[.]tkလက်ခံသူနှင့်တူညီသောလက်မှတ်ကို အသုံးပြု Paymentnow[.]tk.

ငွေပေးချေမှုပုံစံအတုများ

အောက်ဖော်ပြပါပုံသည် ကတ်ဒေတာထည့်သွင်းရန်အတွက် ဖောင်တစ်ခု၏ နမူနာကို ပြထားသည်။ ဤဖောင်ကို အွန်လိုင်းစတိုးတစ်ခုတွင် စိမ့်ဝင်ပြီး ကတ်ဒေတာကို ခိုးယူရန် အသုံးပြုခဲ့သည်။

အောက်ပါပုံသည် ဤငွေပေးချေမှုနည်းလမ်းဖြင့် ဝဘ်ဆိုက်များကို စိမ့်ဝင်စေရန် တိုက်ခိုက်သူများ အသုံးပြုခဲ့သည့် PayPal အတု ငွေပေးချေမှုပုံစံ၏ နမူနာကို ပြသထားသည်။

အခြေခံအဆောက်အဦများ

Домен	ရှာဖွေတွေ့ရှိမှု/ထင်ရှားသည့်ရက်စွဲ
cdn.illum.pw	27/11/2016
records.nstatistics.com	06/09/2018
request.payrightnow.cf	25/05/2018
Paymentnow.tk	16/07/2017
ငွေပေးချေမှု-line.tk	01/03/2018
Paymentpal.cf	04/09/2017
Requestnet.tk	28/06/2017

CoffeeMokko မိသားစု

အွန်လိုင်းစတိုးအသုံးပြုသူများထံမှ ဘဏ်ကတ်များကို ခိုးယူရန် ဒီဇိုင်းထုတ်ထားသည့် CoffeMokko sniffers မိသားစုကို အနည်းဆုံး မေလ 2017 ကတည်းက အသုံးပြုထားသည်။ ဖြစ်နိုင်သည်မှာ၊ ဤအနံ့ခံမိသားစု၏ အော်ပရေတာများသည် RiskIQ ကျွမ်းကျင်သူများက 1 ခုနှစ်တွင် ဖော်ပြထားသော ရာဇ၀တ်ဂိုဏ်းအုပ်စု 2016 ဖြစ်သည်။ Magento၊ OpenCart၊ WordPress၊ osCommerce နှင့် Shopify ကဲ့သို့သော CMS များအသုံးပြုသည့်ဆိုက်များကို တိုက်ခိုက်ခံခဲ့ရသည်။

CoffeMokko ကို အွန်လိုင်းစတိုးတစ်ခု၏ ကုဒ်တွင် အကောင်အထည်ဖော်ပုံ

ဤမိသားစု၏ အော်ပရေတာများသည် ကူးစက်မှုတစ်ခုစီအတွက် သီးသန့် sniffer များကို ဖန်တီးသည်- sniffer ဖိုင်သည် လမ်းညွှန်တွင်တည်ရှိသည် src သို့မဟုတ် js တိုက်ခိုက်သူများ၏ ဆာဗာပေါ်တွင် ဆိုက်ကုဒ်တွင် ပေါင်းစပ်ထည့်သွင်းခြင်းကို sniffer ထံသို့ တိုက်ရိုက်လင့်ခ်မှတစ်ဆင့် လုပ်ဆောင်သည်။

sniffer ကုဒ်သည် ဒေတာခိုးယူရန် လိုအပ်သည့် ပုံစံအကွက်များ၏ အမည်များကို ဟာ့ဒ်ကုဒ်ဖြင့် ပေးသည်။ sniffer သည် သုံးစွဲသူ၏ လက်ရှိလိပ်စာဖြင့် သော့ချက်စကားလုံးများစာရင်းကို စစ်ဆေးခြင်းဖြင့် အသုံးပြုသူသည် ငွေပေးချေမှုစာမျက်နှာတွင် ရှိမရှိကိုလည်း စစ်ဆေးပါသည်။

ရှာဖွေတွေ့ရှိသည့် sniffer ဗားရှင်းအချို့တွင် ရှုပ်ထွေးနေပြီး အရင်းအမြစ်များ၏ အဓိက ခင်းကျင်းမှုကို သိမ်းဆည်းထားသည့် ကုဒ်ဝှက်ထားသော စာကြောင်းတစ်ခုပါရှိသည်- အမျိုးမျိုးသော ငွေပေးချေမှုစနစ်များအတွက် ဖောင်ကွက်အမည်များအပြင် ခိုးယူခံရသောဒေတာကို ပေးပို့သင့်သည့် ဂိတ်လိပ်စာလည်း ပါဝင်သည်။

ခိုးယူခံရသော ငွေပေးချေမှု အချက်အလက်ကို လမ်းကြောင်းတစ်လျှောက် တိုက်ခိုက်သူများ၏ ဆာဗာရှိ script တစ်ခုသို့ ပေးပို့ခဲ့သည်။ /savePayment/index.php သို့မဟုတ် /tr/index.php. ဖြစ်နိုင်သည်မှာ၊ sniffers များအားလုံးမှ ဒေတာများကို စုစည်းထားသည့် ဂိတ်မှ ပင်မဆာဗာသို့ ဒေတာပေးပို့ရန် ဤ script ကို အသုံးပြုပါသည်။ ပေးပို့ထားသော ဒေတာကို ဖုံးကွယ်ရန်၊ သားကောင်၏ ငွေပေးချေမှု အချက်အလက်အားလုံးကို အသုံးပြု၍ ကုဒ်ဝှက်ထားသည်။ အခြေခံ ၃၄၄၃ထို့နောက် စာလုံးအစားထိုးမှုများစွာ ဖြစ်ပေါ်သည်-

• "e" စာလုံးကို ":" ဖြင့် အစားထိုးသည်။
• "w" သင်္ကေတကို "+" ဖြင့် အစားထိုးသည်။
• "o" စာလုံးကို "%" ဖြင့် အစားထိုးသည်
• "d" စာလုံးကို "#" ဖြင့် အစားထိုးသည်။
• အက္ခရာ "a" ကို "-" ဖြင့်အစားထိုးသည်
• သင်္ကေတ "7" ကို "^" ဖြင့် အစားထိုးသည်။
• အက္ခရာ "h" ကို "_" ဖြင့် အစားထိုးသည် ။
• "T" သင်္ကေတကို "@" ဖြင့် အစားထိုးသည်။
• ဇာတ်ကောင် "0" ကို "/" ဖြင့် အစားထိုးသည် ။
• "Y" စာလုံးကို "*" ဖြင့် အစားထိုးသည်။

ရလဒ်အနေဖြင့် စာလုံးအစားထိုးခြင်းများကို အသုံးပြု၍ ကုဒ်လုပ်ထားသည်။ အခြေခံ ၃၄၄၃ ပြောင်းပြန်ပြောင်းလဲခြင်း မလုပ်ဆောင်ဘဲ ဒေတာကို ကုဒ်ဖျက်၍မရပါ။

ဤအရာသည် ရှုပ်ယှက်ခတ်မထားသော sniffer ကုဒ်၏ အပိုင်းအစတစ်ခုကဲ့သို့ ဖြစ်နေသည်-

အခြေခံအဆောက်အအုံ ပိုင်းခြားစိတ်ဖြာခြင်း။

အစောပိုင်းကမ်ပိန်းများတွင်၊ တိုက်ခိုက်သူများသည် တရားဝင်အွန်လိုင်းစျေးဝယ်ဆိုက်များနှင့်ဆင်တူသော ဒိုမိန်းအမည်များကို စာရင်းသွင်းခဲ့ကြသည်။ ၎င်းတို့၏ဒိုမိန်းသည် တရားဝင်သင်္ကေတတစ်ခုနှင့်တစ်ခု သို့မဟုတ် အခြား TLD နှင့် ကွဲပြားနိုင်သည်။ စတိုးကုဒ်တွင် ထည့်သွင်းထားသည့် လင့်ခ်ကို sniffer code သိမ်းဆည်းရန် မှတ်ပုံတင်ထားသော ဒိုမိန်းများကို အသုံးပြုခဲ့သည်။

ဤအဖွဲ့သည် လူကြိုက်များသော jQuery ပလပ်အင်များကို အမှတ်ရစေသည့် ဒိုမိန်းအမည်များကိုလည်း အသုံးပြုခဲ့သည် (slickjs[.]org plugin ကိုအသုံးပြုထားသောဆိုဒ်များအတွက် slick.js) ငွေပေးချေမှုတံခါးများ (sagecdn[.]org Sage Pay ငွေပေးချေမှုစနစ်ကို အသုံးပြုသည့် ဆိုက်များအတွက်)။

နောက်ပိုင်းတွင်၊ အဖွဲ့သည် စတိုးဆိုင်၏ ဒိုမိန်း သို့မဟုတ် စတိုးဆိုင်၏ ဆောင်ပုဒ်နှင့် မသက်ဆိုင်သော အမည်များကို စတင်ဖန်တီးခဲ့သည်။

ဒိုမိန်းတစ်ခုစီသည် လမ်းညွှန်ကို ဖန်တီးထားသည့် ဆိုက်တစ်ခုနှင့် ဆက်စပ်နေသည်။ /js သို့မဟုတ် / src. Sniffer script များကို ဤလမ်းညွှန်တွင် သိမ်းဆည်းထားသည်- ကူးစက်မှုအသစ်တစ်ခုစီအတွက် sniffer တစ်ခု။ sniffer သည် တိုက်ရိုက်လင့်ခ်မှတစ်ဆင့် ဝဘ်ဆိုဒ်ကုဒ်တွင် မြှုပ်နှံထားသော်လည်း ရှားရှားပါးပါး အခြေအနေများတွင် တိုက်ခိုက်သူများသည် ဝဘ်ဆိုက်ဖိုင်များထဲမှ တစ်ခုကို မွမ်းမံပြီး ၎င်းတွင် အန္တရာယ်ရှိသော ကုဒ်ကို ထည့်သွင်းထားသည်။

Code Analysis

ပထမဆုံး obfuscation algorithm

ဤမိသားစု၏ sniffers နမူနာအချို့တွင်၊ ကုဒ်သည် ရှုပ်ထွေးနေပြီး sniffer အလုပ်လုပ်ရန်အတွက် လိုအပ်သော ကုဒ်ဝှက်ထားသောဒေတာပါ၀င်သည်- အထူးသဖြင့်၊ sniffer ဂိတ်လိပ်စာ၊ ငွေပေးချေမှုပုံစံအကွက်များစာရင်းနှင့် အချို့ကိစ္စများတွင်၊ အတု၏ကုဒ် ငွေပေးချေမှုပုံစံ။ လုပ်ဆောင်ချက်အတွင်းရှိ ကုဒ်တွင် အရင်းအမြစ်များကို အသုံးပြု၍ ကုဒ်ဝှက်ထားသည်။ XOR တူညီသောလုပ်ဆောင်ချက်အတွက် အငြင်းအခုံအဖြစ် ဖြတ်သွားသော သော့ဖြင့်။

နမူနာတစ်ခုစီအတွက် သီးသန့်၊ သင့်လျော်သောသော့ဖြင့် စာကြောင်းကို ကုဒ်ဝှက်ခြင်းဖြင့်၊ ခွဲထွက်အက္ခရာဖြင့် ပိုင်းခြားထားသော sniffer ကုဒ်မှ လိုင်းများအားလုံးပါဝင်သော စာကြောင်းတစ်ခုကို သင်ရနိုင်သည်။

ဒုတိယ ရှုပ်ယှက်ခတ်သော အယ်လဂိုရီသမ်

ဤမိသားစု၏ နောက်ပိုင်းတွင် sniffers နမူနာများတွင် မတူညီသော ရှုပ်ထွေးသော ယန္တရားတစ်ခုကို အသုံးပြုခဲ့သည်- ဤကိစ္စတွင်၊ ဒေတာကို ကိုယ်တိုင်ရေးထားသော အယ်လဂိုရီသမ်ကို အသုံးပြု၍ ကုဒ်ဝှက်ထားသည်။ sniffer လည်ပတ်ရန်အတွက် လိုအပ်သော ကုဒ်ဝှက်ထားသော ဒေတာများပါရှိသော စာကြောင်းတစ်ကြောင်းကို ကုဒ်ဝှက်ခြင်းလုပ်ဆောင်ချက်သို့ အကြောင်းပြချက်တစ်ခုအဖြစ် ပေးပို့ခဲ့သည်။

ဘရောက်ဆာ ကွန်ဆိုးလ်ကို အသုံးပြု၍ သင်သည် ကုဒ်ဝှက်ထားသော ဒေတာကို ကုဒ်ဝှက်ပြီး sniffer ရင်းမြစ်များပါရှိသော ခင်းကျင်းတစ်ခုကို ရယူနိုင်သည်။

အစောပိုင်း MageCart တိုက်ခိုက်မှုများနှင့် ချိတ်ဆက်မှု

ခိုးယူထားသောဒေတာများစုဆောင်းရန် တံခါးပေါက်အဖြစ် အဖွဲ့မှအသုံးပြုသော ဒိုမိန်းများထဲမှ တစ်ခုကို ခွဲခြမ်းစိတ်ဖြာကြည့်သောအခါ၊ ဤဒိုမိန်းသည် အကြွေးဝယ်ကတ်ခိုးယူမှုအတွက် အခြေခံအဆောက်အဦတစ်ခုအဖြစ် Group 1 မှအသုံးပြုသော ပထမအုပ်စုများထဲမှ တစ်ခုနှင့် ဆင်တူသည်ကို တွေ့ရှိရပါသည်။ ရှာဖွေတွေ့ရှိခဲ့သည်။ RiskIQ ကျွမ်းကျင်သူများမှ။

CoffeMokko sniffers ၏အိမ်ရှင်တွင် ဖိုင်နှစ်ခုကို တွေ့ရှိခဲ့သည်-

• mage.js — ဂိတ်လိပ်စာပါရှိသော Group 1 sniffer code ပါဝင်သည့်ဖိုင် js-cdn.link
• mag.php — sniffer မှခိုးယူထားသောအချက်အလက်များကိုစုဆောင်းရန်အတွက်တာဝန်ရှိသော PHP script

mage.js ဖိုင်၏ အကြောင်းအရာများ
CoffeMokko မိသားစု၏ sniffers နောက်ကွယ်မှအသုံးပြုသော အစောဆုံးဒိုမိန်းများကို မေလ 17 ရက်၊ 2017 တွင် မှတ်ပုံတင်ထားကြောင်းလည်း ဆုံးဖြတ်ထားပါသည်။

• link-js[.]လင့်
• info-js[.]လင့်ခ်
• track-js[.]လင့်ခ်
• map-js[.]လင့်ခ်
• smart-js[.]လင့်ခ်

ဤဒိုမိန်းအမည်များ၏ ဖော်မတ်သည် 1 တိုက်ခိုက်မှုများတွင် အသုံးပြုခဲ့သည့် Group 2016 ဒိုမိန်းအမည်များနှင့် ကိုက်ညီပါသည်။

ရှာဖွေတွေ့ရှိခဲ့သည့် အချက်အလက်များအပေါ် အခြေခံ၍ CoffeMokko sniffers နှင့် ရာဇ၀တ်မှုအုပ်စု 1 အကြား ဆက်စပ်မှုရှိနေသည်ဟု ယူဆနိုင်ပါသည်။ CoffeMokko အော်ပရေတာများသည် ကတ်များကိုခိုးယူရန် ၎င်းတို့၏ယခင်သူများထံမှ ကိရိယာများနှင့် ဆော့ဖ်ဝဲလ်များကို ငှားရမ်းထားနိုင်သည်ဟု ယူဆရသည်။ သို့သော်၊ CoffeMokko မိသားစု sniffers အသုံးပြုမှုနောက်ကွယ်မှ ရာဇ၀တ်ဂိုဏ်းများသည် အုပ်စု 1 တိုက်ခိုက်မှုကို လုပ်ဆောင်ခဲ့သည့် တူညီသူများသာ ဖြစ်နိုင်ချေရှိသည်။ ရာဇ၀တ်ဂိုဏ်း၏ လှုပ်ရှားမှုများနှင့် ပတ်သက်၍ ပထမအကြိမ် အစီရင်ခံစာ ထုတ်ပြန်ပြီးနောက်၊ ၎င်းတို့၏ ဒိုမိန်းအမည်များအားလုံးကို ပိတ်ဆို့ထားပြီး ကိရိယာများကို အသေးစိတ်လေ့လာပြီး ဖော်ပြခဲ့သည်။ အဖွဲ့သည် ၎င်း၏တိုက်ခိုက်မှုများကို ဆက်လက်လုပ်ဆောင်ရန်နှင့် မတွေ့နိုင်စေရန်အတွက် ၎င်း၏အတွင်းပိုင်းကိရိယာများကို ပြန်လည်ပြင်ဆင်ရန်နှင့် sniffer ကုဒ်ကို ပြန်လည်ရေးသားရန် ခေတ္တအနားယူခိုင်းခဲ့သည်။

အခြေခံအဆောက်အဦများ

Домен	ရှာဖွေတွေ့ရှိမှု/ထင်ရှားသည့်ရက်စွဲ
link-js.link	17.05.2017
info-js.link	17.05.2017
track-js.link	17.05.2017
map-js.link	17.05.2017
smart-js.link	17.05.2017
adorebeauty.org	03.09.2017
လုံခြုံရေး-payment.su	03.09.2017
braincdn.org	04.09.2017
sagecdn.org	04.09.2017
slickjs.org	04.09.2017
oakandfort.org	10.09.2017
citywlnery.org	15.09.2017
dobell.su	04.10.2017
Childrensplayclothing.org	31.10.2017
jewsondirect.com	05.11.2017
shop-rnib.org	15.11.2017
closetlondon.org	16.11.2017
misshaus.org	28.11.2017
ဘက်ထရီ-force.org	01.12.2017
kik-vape.org	01.12.2017
greatfurnituretradingco.org	02.12.2017
etradesupply.org	04.12.2017
replacemyremote.org	04.12.2017
all-about-sneakers.org	05.12.2017
mage-checkout.org	05.12.2017
nililotan.org	07.12.2017
lamoodbighat.net	08.12.2017
walletgear.org	10.12.2017
dahlie.org	12.12.2017
davidsfootwear.org	20.12.2017
blackriverimaging.org	23.12.2017
exrpesso.org	02.01.2018
parks.su	09.01.2018
pmtonline.su	12.01.2018
otocap.org	15.01.2018
christohperward.org	27.01.2018
coffetea.org	31.01.2018
energycoffe.org	31.01.2018
energytea.org	31.01.2018
teacoffe.net	31.01.2018
adaptivecss.org	01.03.2018
coffemokko.com	01.03.2018
londontea.net	01.03.2018
ukcoffe.com	01.03.2018
labbe.biz	20.03.2018
batterynart.com	03.04.2018
btosports.net	09.04.2018
chicksaddlery.net	16.04.2018
paypaypay.org	11.05.2018
ar500arnor.com	26.05.2018
authorizecdn.com	28.05.2018
slickmin.com	28.05.2018
bannerbuzz.info	03.06.2018
kandypens.net	08.06.2018
mylrendyphone.com	15.06.2018
freshchat.info	01.07.2018
3lift.org	02.07.2018
abtasty.net	02.07.2018
mechat.info	02.07.2018
zoplm.com	02.07.2018
zapaljs.com	02.09.2018
foodandcot.com	15.09.2018
freshdepor.com	15.09.2018
swappastore.com	15.09.2018
verywellfitnesse.com	15.09.2018
elegrina.com	18.11.2018
majsurplus.com	19.11.2018
top5value.com	19.11.2018

source: www.habr.com