áá»áœááºá¯ááºááá¯á·á¡á¬ážáá¯á¶ážáá®ážáá«ážááẠá¡áœááºááá¯ááºážá
ááá¯ážáá»á¬ážá áááºáá±á¬ááºááŸá¯áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒááŒá®ážá ááá¯ááá¯áááºááŸá¬ áááŒá¬áá® ááá¯á·ááá¯áẠáá±á¬ááºááá¯ááºážááœáẠáá»áœááºá¯ááºááá¯á·ááẠJavaScript sniffers áá»á¬ážá áá¬ážáá±á¬ááºááŒá
áºáá¬ááá¯ááºááŒá±ááŸáááẠ- ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáááºáááºáá±áá¬á ááááºá
á¬áá»á¬ážá áá±á¬á·ááºá¡ááºáá»á¬ážááŸáá·áº á¡áá¯á¶ážááŒá¯áá°áá»á¬ážá á
áá¬ážááŸááºáá»á¬ážááᯠááá¯ážáá°ááẠáááºááá¯ááºáá
áºáá¯áá±á«áºááœáẠááá¯ááºááá¯ááºáá°áá»á¬ážá¡áá¯á¶ážááŒá¯ááá·áº á¡áá°ážáá¯ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºáá«áááºá .
British Airways áááºááá¯ááºááŸáá·áº ááá¯ááá¯ááºážá¡ááºááá®áá±ážááŸááºážá á¡áá¯á¶ážááŒá¯áá° 400 áá®ážáá«ážááẠsniffers áá»á¬ážá¡ááŒáẠá¡á¬ážáá á¬ážáá¯áá¹ááá®ááŒá®áž FILA ááŸáá·áº á¡áá±ááááẠáááºááŸááºááŒáá·áºááŒá°ážáá° Ticketmaster ááá¯á·á ááŒáááááºáááºááá¯ááºááá¯á· áá¬áá±á¬ááºáááºáááºáá°áá»á¬ážáááºáž ááááá¯ááºáá±ááŒá®ááŒá áºáááºá PayPalá Chase Paymenttechá USAePayá Moneris - á€ááŸáá·áº á¡ááŒá¬ážááœá±áá±ážáá»á±ááŸá¯á áá áºáá»á¬ážá áœá¬ áá°ážá ááºáá¶áá²á·ááááºá
Threat Intelligence Group-IB á០ááœá²ááŒááºážá
áááºááŒá¬áá° Viktor Okorokov ááẠáááºááá¯ááºáá¯ááºááᯠá
ááá·áºáááºá¡á±á¬áẠáááºáá²á·ááá¯á· á
ááá·áºáááºáᬠááœá±áá±ážáá»á±ááŸá¯ á¡áá»ááºá¡áááºááᯠááá¯ážáá°áá¯á¶ááŸáá·áº CRMs áá»á¬ážááᯠáááºážááá¯á· ááá¯ááºááá¯ááºááá·áºá¡áá¬áá»á¬ážá¡ááŒá±á¬ááºáž ááœá±ážááœá±ážáá¬ážáááºá
"áá»áŸáá¯á·ááŸááºááŒáááºážááŒá±á¬ááºááŸá¯"
JS sniffers áá»á¬ážááẠanti-virus áááºážá
á
áºáá°áá»á¬ážá áá»ááºááŸá±á¬ááºááœáẠá¡áá»áááºá¡áá±á¬áºááŒá¬á¡á±á¬áẠáááºááŸááá±áá²á·ááŒá®áž áááºáá»á¬ážááŸáá·áº ááœá±áá±ážáá»á±ááŸá¯á
áá
áºáá»á¬ážááẠáááºážááá¯á·á¡á¬áž ááŒááºážáááºáá±á¬ ááŒáááºážááŒá±á¬ááºááŸá¯áá
áºáá¯á¡ááŒá
ẠáááŒááºáá²á·áá±á áá¯á¶ážáá¡ááá¬ážáá²á Group-IB áá»áœááºážáá»ááºáá°áá»á¬áž
áá±á·áá¬ááŸá¯á¡ááœááºáž áá±á·áá¬áá²á·áá±á¬ á¡áá¶á·áá¶áááá¬ážá á¯áá±ážáá¯ááᯠá¡áá±ážá áááºáá±á·áá¬ááŒáá·áºááŒáá«á áá¯á·á
ReactGet áááá¬ážá á¯
ReactGet áááá¬ážá á¯á Sniffers áá»á¬ážááẠá¡áœááºááá¯ááºážá á»á±ážáááºááá¯ááºáá»á¬ážááœáẠáááºáááºáá±áá¬ááᯠááá¯ážáá°ááẠá¡áá¯á¶ážááŒá¯áááºá sniffer ááẠáááºááá¯ááºáá±á«áºááœááºá¡áá¯á¶ážááŒá¯ááá·áº ááá°áá®áá±á¬ááœá±áá±ážáá»á±ááŸá¯á áá áºáá»á¬ážá áœá¬ááŒáá·áº áá¯ááºáá±á¬ááºááá¯ááºáááº- ááá·áºáááºáá»ááºáááºááá¯ážáá áºáá¯ááẠááœá±áá±ážáá»á±ááŸá¯á áá áºáá áºáá¯ááŸáá·áº áááºááá¯ááºááŒá®áž sniffer ááá áºáŠážáá»ááºážá á®ááᯠá¡áá±á¬ááºá¡áá¬ážáá»á¬ážááá¯ážáá°áááºá¡ááŒáẠááœá±áá±ážáá»á±ááŸá¯á០áááºáááºáá±áá¬ááᯠááá¯ážáá°ááẠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá universal sniffer áá¯áá±á«áºááá·áº ááœá±áá±ážáá»á±ááŸá¯á áá áºáá»á¬ážá áœá¬ááᯠáá áºáá»áááºáááºážááœáẠáá¯á¶á á¶á¡áá»áá¯ážáá»áá¯ážááŒáá·áº ááŒá¯áá¯ááºááá¯ááºáááºá á¡áá»áá¯á·áá±á¬ááá á¹á áá»á¬ážááœááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠááá¯ááºáá á®áá¶ááá·áºááœá²áá±ážá¡ááœá²á·ááá¯á·áááºáá±á¬ááºááœáá·áºáááŸáá á±áááºá¡ááá¯á·ááŸá¬ á¡áœááºááá¯ááºážá ááá¯ážá á®áá¶ááá·áºááœá²áá°áá»á¬ážáᶠááŒá¬ážáá±á¬ááºážáá±á¬ááá¯ááºááá¯ááºááŸá¯áá»á¬ážááŒá¯áá¯ááºáááºááᯠááœá±á·ááŸáááááºá
ဠsniffers áááá¬ážá á¯ááᯠá¡áá¯á¶ážááŒá¯ááá·áº áááºááááºážáá áºáá¯ááᯠáá±á 2017 áá¯ááŸá áºááœáẠá áááºáá²á·ááŒá®áž CMS ááŸáá·áº Magentoá Bigcommerce ááŸáá·áº Shopify ááááºáá±á¬ááºážáá»á¬áž á¡áá¯á¶ážááŒá¯ááá·áº ááá¯ááºáá»á¬ážááᯠááá¯ááºááá¯ááºáá¶áá²á·ááááºá
ReactGet ááᯠá¡áœááºááá¯ááºážá ááá¯ážáá áºáá¯á áá¯ááºááœáẠá¡áá±á¬ááºá¡áááºáá±á¬áºáá¯á¶
ááá·áºááºáá áºáá¯ááŸáá áºááá·áº script áá áºáá¯á "ááá¹ááááº" á¡áá±á¬ááºá¡áááºáá±á¬áºááŸá¯á¡ááŒááºá ReactGet á¡áá¶á·áá¶áááá¬ážá á¯á á¡á±á¬áºááá±áá¬áá»á¬ážááẠá¡áá°ážáááºážá áá áºááᯠá¡áá¯á¶ážááŒá¯áááº- JavaScript áá¯ááºááᯠá¡áá¯á¶ážááŒá¯áá¬á á¡áá¯á¶ážááŒá¯áá°áááºááŸáááá·áº áááºááŸáááááºá á¬ááẠá¡áá»áá¯á·áá±á¬áááºááŸááºáá»ááºáá»á¬ážááŸáá·áº ááá¯ááºáá®ááŸá¯ááŸááááŸá á á áºáá±ážáá«áááºá áááºááŸá URL ááœáẠá á¬áááºážááœá²áá»á¬ážááŸááá±ááŸáᬠá¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºááᯠáá¯ááºáá±á¬ááºáááºááŒá áºáááºá ááœááºááœá¬ááẠááá¯á·ááá¯áẠááŒá±áá áºááŸááºáž ááœá±ááŸááºážáá«á, áá áºáá»ááºááŸá¬/, out/onepag, ááœá±ááŸááºáž/áá áºáá¯, ckout/one. ááá¯á·ááŒá±á¬áá·áºá á¡áá¯á¶ážááŒá¯áá°ááẠáááºáá°ááŸá¯áá»á¬ážá¡ááœáẠááœá±áá±ážáá»á±áááºááŸáá·áº áááºááá¯ááºáá±á«áºááŸá áá±á¬ááºááœáẠááœá±áá±ážáá»á±ááŸá¯á¡áá»ááºá¡áááºááᯠááá·áºááœááºážááá·áºá¡áá«ááœáẠsniffer áá¯ááºááᯠá¡ááá¡áá» áá¯ááºáá±á¬ááºáááºááŒá áºáááºá
ဠsniffer ááẠáá¯á¶ááŸááºááá¯ááºáá±á¬ áááºážááá¬ááᯠá¡áá¯á¶ážááŒá¯áááºá áá¬ážáá±á¬ááºáááœá±áá±ážáá»á±ááŸá¯ááŸáá·áº ááá¯ááºáá±ážááá¯ááºáá¬á¡áá»ááºá¡áááºáá»á¬ážááᯠá
á¯á
ááºážááŒá®áž á¡áá¯á¶ážááŒá¯á áá¯ááºáá¯ááºáá¬ážáááºá á¡ááŒá±áᶠááááááá¯á·áá±á¬áẠááá¯ááºááá¯ááºáá°áá»á¬ážááááºááá¯ááºááá¯á· áá±á¬ááºážááá¯áá»ááºáá
áºáá¯áá±ážááá¯á·ááẠááááºá
á¬ááŒá±á¬ááºážááᯠááá·áºáááºáá»ááºáá
áºáá¯á¡ááŒá
Ạá¡áá¯á¶ážááŒá¯áááºá á¡áá»á¬ážá
á¯ááŸá¬á ááááºááá¯á·ááœá¬ážáá±á¬áááºážááŒá±á¬ááºážááẠá¥ááᬠJavaScript ááá¯ááºááá¯áá¯ááááºá resp.js, data.js á
áááºááŒáá·áºá ááá¯á·áá±á¬áº áá¯á¶ááá¯ááºáá»á¬ážááá¯á· ááá·áºááºáá»á¬ážááá¯áááºáž áá¯á¶ážáááºá GIF ááᯠО JPG. áá°ážááŒá¬ážáá»ááºááŸá¬ sniffer ááẠ1 pixel ááᯠ1 ááŒáá·áº ááá¯ááºážáá¬ááá·áº áá¯ááºáá¯á¶á¡áá¬ááá¹áá¯áá
áºáá¯ááᯠáááºáá®ážááŒá®áž ááááºáááŸááá¬ážáá±á¬ááá·áºááºááᯠááá·áºáááºáá±á¬ááºáá
áºáá¯á¡ááŒá
Ạá¡áá¯á¶ážááŒá¯ááŒááºážááŒá±á¬áá·áºááŒá
áºáááºá src áá¯á¶áá»á¬ážá ááá¯ááá¯áááºááŸá¬á á¡áá¯á¶ážááŒá¯áá°á¡ááœáẠááá¯áá²á·ááá¯á·áá±á¬ áá±á¬ááºážááá¯áá»ááºááẠá¡ááœá¬ážá¡áá¬ááœáẠáá¬áááºáá¯ááºáá¯á¶áá
áºáá¯á¶á¡ááœáẠáá±á¬ááºážááá¯áá»ááºáá
áºáá¯áá²á·ááá¯á· ááŒá
áºáá±áááá·áºáááºá sniffers áá»á¬ážá ImageID áááá¬ážá
á¯ááœáẠá¡áá¬ážáá°áááºážááá¬ááᯠá¡áá¯á¶ážááŒá¯áá²á·áááºá ááá¯á·á¡ááŒááºá 1 ááŸáá·áº 1 pixel áá¯á¶áá
áºáá¯á¶ááᯠá¡áá¯á¶ážááŒá¯ááŒááºážáááºážááá¬ááᯠááá¬ážáááºá¡áœááºááá¯ááºážááœá²ááŒááºážá
áááºááŒá¬ááŸá¯ script á¡áá»á¬ážá¡ááŒá¬ážááœáẠá¡áá¯á¶ážááŒá¯áá¬ážááŒá®áž áá¯á¶ážá
áœá²áá°ááᯠá¡áááºááŸá¬ážá
á±ááá¯ááºáááºá
áá¬ážááŸááºážááœá²ááŒááºážá áááºááŒá¬ááŒááºážá
ReactGet sniffer á¡á±á¬áºááá±áá¬áá»á¬ážá¡áá¯á¶ážááŒá¯ááá·áº áááºááŒáœáá±á¬ááá¯ááááºážáá»á¬ážááᯠááœá²ááŒááºážá áááºááŒá¬ááŒááºážááŒáá·áº ဠsniffers áááá¬ážá á¯á ááá°áá®áá±á¬áá¬ážááŸááºážáá»á¬ážá áœá¬ááᯠáá±á¬áºáá¯ááºááŒááá²á·áááºá áá¬ážááŸááºážáá»á¬ážááẠááŸááá±ááŒááºáž ááá¯á·ááá¯áẠááŸá¯ááºááœá±ážááŸá¯áááŸáááŒááºážááá¯á·ááœáẠááœá²ááŒá¬ážááŒá®áž ááá¯á·á¡ááŒááºá sniffer áá áºáá¯á á®ááẠá¡áœááºááá¯ááºážá ááá¯ážáá»á¬ážá¡ááœáẠáááºáááºááœá±áá±ážáá»á±ááŸá¯áá»á¬ážááᯠáá¯ááºáá±á¬ááºááá·áº áá®ážááŒá¬ážááœá±áá±ážáá»á±ááŸá¯á áá áºá¡ááœáẠáá®ááá¯ááºážáá¯ááºáá¬ážáááºá áá¬ážááŸááºážáá¶áá«ááºááŸáá·áº áááºááá¯ááºááá·áº áá«áá¬áá®áá¬ááááºááá¯ážááᯠá á®á á áºááŒá®ážá Group-IB áá»áœááºážáá»ááºáá°áá»á¬ážááẠáááŸáááá¯ááºáá±á¬ sniffer áá¯á¶á á¶ááœá²áá»á¬ážá á¬áááºáž á¡ááŒáá·áºá¡á á¯á¶ááᯠáááºáá¶áááŸáááŒá®áž á á¬áá»ááºááŸá¬áá¯ááºááœáẠááŸá¬ááœá±áá±á¬ sniffer áá áºáŠážá á®á áá±á¬ááºáá¯á¶á á¶á¡ááœááºáá»á¬ážá á¡áááºáá»á¬ážááŒáá·áº áááºážááá¯á·ááẠááœá±áá±ážáá»á±ááŸá¯á áá áºáá»á¬ážááᯠáá±á¬áºáá¯ááºáá²á·ááẠsniffer á áááºááœááºáá«áááºá
sniffers áá»á¬ážá á¬áááºážááŸáá·áº áááºážááá¯á·á áááºááá¯ááºáᬠááœá±áá±ážáá»á±ááŸá¯á áá áºáá»á¬áž
Sniffer URL | ááœá±áá±ážáá»á±ááŸá¯á áá Ạ|
---|---|
|
Authorize.Net |
áááºááááºážáá«á | |
|
Authorize.Net |
Authorize.Net | |
|
eWAY ááŒááºáááºá |
Authorize.Net | |
Adyen | |
|
USAePay |
Authorize.Net | |
USAePay | |
|
Authorize.Net |
Moneris | |
USAePay | |
PayPal | |
SagePay | |
ááẠVerisign | |
PayPal | |
á¡á ááºáž | |
|
Realex |
PayPal | |
LinkPoint | |
PayPal | |
PayPal | |
DataCash | |
|
PayPal |
|
Authorize.Net |
|
Authorize.Net |
Authorize.Net | |
Authorize.Net | |
|
ááẠVerisign |
|
Authorize.Net |
Moneris | |
|
SagePay |
|
USAePay |
|
Authorize.Net |
|
Authorize.Net |
|
ANZ eGate |
|
Authorize.Net |
|
Moneris |
|
SagePay |
SagePay | |
|
ááœá±áá±ážáá»á±ááŸá¯ááá¯ááá¯ááºáááºážáá« |
|
Authorize.Net |
|
Adyen |
PsiGate | |
ááá¯ááºáá¬á¡áááºážá¡ááŒá Ạ| |
ANZ eGate | |
Realex | |
|
USAePay |
|
Authorize.Net |
|
Authorize.Net |
|
ANZ eGate |
|
PayPal |
|
PayPal |
Realex | |
|
SagePay |
|
PayPal |
|
ááẠVerisign |
Authorize.Net | |
|
ááẠVerisign |
Authorize.Net | |
|
ANZ eGate |
PayPal | |
ááá¯ááºáá¬á¡áááºážá¡ááŒá Ạ| |
|
Authorize.Net |
|
SagePay |
Realex | |
|
ááá¯ááºáá¬á¡áááºážá¡ááŒá Ạ|
PayPal | |
PayPal | |
|
PayPal |
|
ááẠVerisign |
|
eWAY ááŒááºáááºá |
|
SagePay |
SagePay | |
|
ááẠVerisign |
Authorize.Net | |
Authorize.Net | |
|
ááááá¯á¶áž Data Global Gateway |
Authorize.Net | |
Authorize.Net | |
Moneris | |
|
Authorize.Net |
|
PayPal |
|
ááẠVerisign |
|
USAePay |
USAePay | |
Authorize.Net | |
ááẠVerisign | |
PayPal | |
|
Authorize.Net |
á¡á ááºáž | |
|
Authorize.Net |
eWAY ááŒááºáááºá | |
|
SagePay |
Authorize.Net | |
|
Braintree |
|
Braintree |
|
PayPal |
|
SagePay |
|
SagePay |
|
Authorize.Net |
|
PayPal |
|
Authorize.Net |
ááẠVerisign | |
|
PayPal |
|
Authorize.Net |
|
á¡á ááºáž |
|
Authorize.Net |
eWAY ááŒááºáááºá | |
SagePay | |
|
Authorize.Net |
Braintree | |
|
PayPal |
|
SagePay |
SagePay | |
|
Authorize.Net |
PayPal | |
Authorize.Net | |
|
ááẠVerisign |
|
Authorize.Net |
|
Authorize.Net |
|
Authorize.Net |
|
Authorize.Net |
|
SagePay |
SagePay | |
|
Westpac PayWay |
|
PayFort |
|
PayPal |
|
Authorize.Net |
|
á¡á ááºáž |
|
ááááá¯á¶áž Data Global Gateway |
|
PsiGate |
Authorize.Net | |
Authorize.Net | |
|
Moneris |
|
Authorize.Net |
SagePay | |
|
ááẠVerisign |
Moneris | |
PayPal | |
|
LinkPoint |
|
Westpac PayWay |
Authorize.Net | |
|
Moneris |
|
PayPal |
Adyen | |
PayPal | |
Authorize.Net | |
USAePay | |
EBizCharge | |
|
Authorize.Net |
|
ááẠVerisign |
ááẠVerisign | |
Authorize.Net | |
|
PayPal |
|
Moneris |
Authorize.Net | |
|
PayPal |
PayPal | |
Westpac PayWay | |
Authorize.Net | |
|
Authorize.Net |
SagePay | |
|
ááẠVerisign |
|
Authorize.Net |
|
PayPal |
|
PayFort |
ááá¯ááºáá¬á¡áááºážá¡ááŒá Ạ| |
PayPal Payflow Pro | |
|
Authorize.Net |
|
Authorize.Net |
ááẠVerisign | |
|
Authorize.Net |
|
Authorize.Net |
SagePay | |
Authorize.Net | |
|
á¡á ááºáž |
|
Authorize.Net |
Authorize.Net | |
ááẠVerisign | |
|
PayPal |
Authorize.Net | |
|
Authorize.Net |
SagePay | |
|
Authorize.Net |
|
Authorize.Net |
|
PayPal |
|
áá®ážáá»á±á¬áẠ|
|
PayPal |
SagePay | |
ááẠVerisign | |
|
Authorize.Net |
|
Authorize.Net |
|
á¡á ááºáž |
|
á¡áá®ááŒááºážáá»á¬áž |
SagePay | |
|
Authorize.Net |
ááááá¯á¶áž Data Global Gateway | |
|
Authorize.Net |
|
eWAY ááŒááºáááºá |
Adyen | |
|
PayPal |
QuickBooks áá¯ááºáááºáááºáá±á¬ááºááŸá¯áá»á¬áž | |
ááẠVerisign | |
|
SagePay |
ááẠVerisign | |
|
Authorize.Net |
|
Authorize.Net |
SagePay | |
|
Authorize.Net |
|
eWAY ááŒááºáááºá |
Authorize.Net | |
|
ANZ eGate |
|
PayPal |
ááá¯ááºáá¬á¡áááºážá¡ááŒá Ạ| |
|
Authorize.Net |
SagePay | |
|
Realex |
ááá¯ááºáá¬á¡áááºážá¡ááŒá Ạ| |
|
PayPal |
|
PayPal |
|
PayPal |
|
ááẠVerisign |
eWAY ááŒááºáááºá | |
|
SagePay |
|
SagePay |
|
ááẠVerisign |
Authorize.Net | |
|
Authorize.Net |
|
ááááá¯á¶áž Data Global Gateway |
Authorize.Net | |
Authorize.Net | |
|
Moneris |
|
Authorize.Net |
|
PayPal |
á
áá¬ážááŸáẠsniffer
ááá¯ááºáá áºáá¯á client áááºááŒááºážááœáẠá¡áá¯ááºáá¯ááºáá±á¬ JavaScript sniffers á á¡á¬ážáá¬áá»ááºáá»á¬ážáá²ááŸáá áºáá¯ááŸá¬ áááºážááá¯á·á áááºá á¯á¶á áœááºážáá±á¬ááºááá¯ááºááŸá¯ááŸá¬ ááŒá áºáááº- ááá¯ááºáá áºáá¯áá±á«áºááœáẠááá·áºááœááºážáá¬ážáá±á¬ á¡áá¹ááá¬ááºááŸááá±á¬ áá¯ááºááẠáááºááá·áºáá±áá¬á¡áá»áá¯ážá¡á á¬ážááá¯áááᯠááá¯ážáá°ááá¯ááºáááºá ááœá±áá±ážáá»á±ááŸá¯áá±áᬠááá¯á·ááá¯áẠá¡áá¯á¶ážááŒá¯áá°á¡áá±á¬áá·áºá á¡áá±á¬áá·áºáááºááŒááºážááŸáá·áº á áá¬ážááŸááºááᯠááá¯ážáá°ááá¯ááºáááºá Group-IB áá»áœááºážáá»ááºáá°áá»á¬ážááẠááá¯ááºá¡áá¯á¶ážááŒá¯áá°áá»á¬ážá á¡á®ážáá±ážááºááááºá á¬áá»á¬ážááŸáá·áº á áá¬ážááŸááºáá»á¬ážááᯠááá¯ážáá°ááẠáá®ááá¯ááºážáá¯ááºáá¬ážááá·áº ReactGet áááá¬ážá á¯ááá¯áẠsniffer ááá°áá¬ááᯠááŸá¬ááœá±ááœá±á·ááŸááá²á·áááºá
ImageID sniffer ááŸáá·áºáááºážáá¯á¶
áá°ážá ááºáá¶áá¬ážááá±á¬á ááá¯ážááá¯ááºáá»á¬ážáá²á០áá áºáá¯ááᯠááœá²ááŒááºážá áááºááŒá¬ááŸá¯á¡ááœááºáž áááºážáááá¯ááºááẠááŸá áºááŒáááºáá°ážá ááºáá¶áááŒá±á¬ááºáž ááœá±á·ááŸááá²á·áááº- ReactGet áááá¬ážá ᯠsniffer á á¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºá¡ááŒáẠImageID áááá¬ážá ᯠsniffer ááá¯ááºááᯠááœá±á·ááŸááá²á·áááºá á€áááºáá±ááŸá¯ááẠsniffers ááŸá áºáá¯áá¯á¶ážá áá±á¬ááºááœááºá០á¡á±á¬áºááá±áá¬áá»á¬ážááẠá¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºááᯠááá¯ážááœááºážááẠá¡áá¬ážáá°áááºážááá¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒá±á¬ááºáž áááºáá±ááŒááá¯ááºááẠá
áá
áºáá±á¬ááá¯á¶áž sniffer
ReactGet sniffer á¡ááŒá±áá¶á¡áá±á¬ááºá¡á¡á¯á¶ááŸáá·áº áááºá ááºáá±áá±á¬ ááá¯ááááºážá¡áááºáá»á¬ážáá²á០áá áºáá¯ááᯠááœá²ááŒááºážá áááºááŒá¬ááŒááºážááŒáá·áº áá°áá®áá±á¬á¡áá¯á¶ážááŒá¯áá°ááẠá¡ááŒá¬ážááá¯ááááºážá¡ááẠáá¯á¶ážáá¯ááᯠááŸááºáá¯á¶áááºáá¬ážááŒá±á¬ááºáž áá±á¬áºááŒáá²á·áááºá á€ááá¯ááááºážáá¯á¶ážáá¯ááẠáááºááœá±á·ááááŸá áááºááá¯ááºáá»á¬ážá ááá¯ááááºážáá»á¬ážááᯠá¡áá¯áá°áᬠááááºá sniffers áá»á¬ážááᯠáááºáá¶áá»ááºážáááẠá¡áá¯á¶ážááŒá¯áá²á·ááŒáááºá ááá¬ážáááºááá¯áẠáá¯á¶ážáá¯á áá¯ááºááᯠááá¯ááºážááŒá¬ážá áááºááŒá¬ááá·áºá¡áá« á¡áááºááá sniffer áá áºáá¯ááᯠááœá±á·ááŸááá²á·ááŒá®áž áá±á¬ááºááẠááœá²ááŒááºážá áááºááŒá¬ááŸá¯ááœáẠáááºážááẠReactGet sniffer á ááá¯ááá¯áá±á¬ááºážááœááºáá±á¬ áá¬ážááŸááºážááŒá áºááŒá±á¬ááºáž ááŒááá²á·áááºá ဠsniffers áááá¬ážá á¯á ááááºá á á±á¬áá·áºááŒáá·áºáá¬ážáá±á¬ áá¬ážááŸááºážá¡á¬ážáá¯á¶ážááẠááœá±áá±ážáá»á±ááŸá¯á áá áºáá áºáá¯áááºážá¡ááœáẠáááºááœááºáá¬ážááŒááºážááŒá áºáááºá ááá¯ááá¯áááºááŸá¬ ááœá±áá±ážáá»á±ááŸá¯á áá áºáá áºáá¯á á®ááœáẠsniffer á á¡áá°ážáá¬ážááŸááºážáá áºáᯠááá¯á¡ááºáá«áááºá ááá¯á·áá±á¬áºáááºáž á€ááá á¹á ááœááºá á¡áœááºááá¯ááºážááœá±áá±ážáá»á±ááŸá¯ááŒá¯áá¯ááºáááºá¡ááœáẠe-commerce sites áá»á¬ážá ááá°áá®áá±á¬ááœá±áá±ážáá»á±ááŸá¯á áá Ạ15 áá¯ááŸáá·áº áááºá ááºáá¯á¶á á¶áá»á¬ážá០á¡áá»ááºá¡áááºáá»á¬ážááᯠááá¯ážáá°ááá¯ááºááá·áº sniffer á universal version ááᯠááŸá¬ááœá±ááœá±á·ááŸááá²á·áááºá
ááá¯á·ááŒá±á¬áá·áºá á¡áá¯ááºá¡á ááœááºá sniffer ááẠáá±áá¯á¶ážáá°áááá¯ááºáá±ážááá¯ááºáá¬á¡áá»ááºá¡áááºáá»á¬ážáá«ááŸááá±á¬ á¡ááŒá±áá¶áá±á¬ááºááœááºáá»á¬áž- á¡áááºá¡ááŒáá·áºá¡á á¯á¶á áá¯ááºááá¯ááºážááá¯ááºáá¬ááááºá á¬á áá¯ááºážáá¶áá«ááºááá¯á·ááᯠááŸá¬ááœá±áá²á·áááºá
ááá¯á·áá±á¬áẠsniffer ááẠááá°áá®áá±á¬ááœá±áá±ážáá»á±ááŸá¯á
áá
áºáá»á¬ážááŸáá·áº á¡áœááºááá¯ááºážááœá±áá±ážáá»á±ááŸá¯ modules áá»á¬ážááŸáá·áºáááºááá¯ááºááá·áº ááá°áá®áá±á¬ááŸá±á·ááẠ15 áá»á±á¬áºááᯠááŸá¬ááœá±áá²á·áááºá
ááá¯á·áá±á¬ááºá áá¬ážáá±á¬ááºáááá¯ááºáá±ážááá¯ááºáá¬áá±áá¬ááŸáá·áº ááœá±áá±ážáá»á±ááŸá¯á¡áá»ááºá¡áááºáá»á¬ážááᯠá¡áá°áááœá
á¯á
ááºážááŒá®áž ááá¯ááºááá¯ááºáá°ááááºážáá»á¯ááºáá¬ážááá·áºááá¯ááºáá
áºáá¯ááá¯á· ááá¯á·ááá¯ááºáááº- á€á¡ááŒá±á¡áá±ááœááºá ááá°áá®áá±á¬ áááºáá¬ááá¯ááºááŸá
áºáá¯ááœáẠáááºááŸááá±á¬ universal ReactGet sniffer áá¬ážááŸááºážááŸá
áºáá¯ááᯠááŸá¬ááœá±ááœá±á·ááŸááá²á·áááºá ááá¯á·áá±á¬áºá áá¬ážááŸááºážááŸá
áºáá»áá¯ážá
áá¯á¶ážááẠááá¯ážáá°áá¬ážáá±á¬ áá±áá¬áá»á¬ážááᯠáááºááºáá¶áááá·áº ááá¯ááºáá
áºáá¯áááºážááá¯á· áá±ážááá¯á·áá²á·áááºá zoobashop.com.
á¡áááºáá¶ááá°á ááœá±áá±ážáá»á±ááŸá¯á¡áá»ááºá¡áááºáá«ááŸááá±á¬ á¡ááœááºáá»á¬ážááᯠááŸá¬ááœá±áá¬ááœáẠsniffer ááŸá¡áá¯á¶ážááŒá¯ááá·áº ááŸá±á·áá±á¬ááºáááºááœá²áá»á¬ážááᯠááœá²ááŒááºážá
áááºááŒá¬ááŒááºážááŒáá·áº ဠsniffer ááá°áá¬ááẠá¡á±á¬ááºáá«ááœá±áá±ážáá»á±ááŸá¯á
áá
áºáá»á¬ážá¡ááœáẠáááºááœááºáá¬ážááŒá±á¬ááºáž áá¯á¶ážááŒááºááá¯ááºáááº-
- Authorize.Net
- ááẠVerisign
- ááá áŠáž áá¯á¶ážáá±áá¬
- USAePay
- á¡á ááºáž
- PayPal
- ANZ eGate
- Braintree
- DataCash (áá¬á áá¬áááº)
- Realex ááœá±áá±ážáá»á±ááŸá¯áá»á¬áž
- PsiGate
- Heartland ááœá±áá±ážáá»á±ááŸá¯á áá áºáá»á¬áž
ááœá±áá±ážáá»á±ááŸá¯á¡áá»ááºá¡áááºááᯠááá¯ážáá°ááẠáááºááá·áºáááááá¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááááºážá
ááá¯ááºááá¯ááºáá°áá»á¬ážá á¡ááŒá±áá¶á¡áá±á¬ááºá¡á¡á¯á¶ááá¯ááºáᬠááœá²ááŒááºážá
áááºááŒá¬ááŸá¯á¡ááœááºáž ááŸá¬ááœá±ááœá±á·ááŸááá²á·ááá·áº ááááá¯á¶ážáá°ážááºááᯠáááºáááºáá»á¬ážááá¯ážáá°ááŒááºážá¡ááœáẠáá¬áááºááŸááá±á¬ á¡áá¹ááá¬ááºááŸááá±á¬ script áá»á¬ážááᯠááŸá¯ááºááœá±ážá
á±ááẠá¡áá¯á¶ážááŒá¯áá«áááºá ááá±á¬áá»ááºá CLI ááá¯á¡áá¯á¶ážááŒá¯ááá·áº bash script ááᯠááá¯ááºááá¯ááºáá°á host áá
áºáá¯ááœáẠááŸá¬ááœá±ááœá±á·ááŸááá²á·áááºá
áá¯áááááŸá¬ááœá±ááœá±á·ááŸáááá·áº tool ááẠmain sniffer ááᯠloading ááœááºáá¬áááºááŸááá±á¬ code ááá¯áá¯ááºáá¯ááºáááºáá®ááá¯ááºážááŒá¯áá¯ááºáá¬ážáááºá á€áááááá¬ááẠá¡áá¯á¶ážááŒá¯áá°ááááºááŸáááááºá
á¬ááᯠstrings áá»á¬ážááŸá¬ááœá±ááŒááºážááŒáá·áº ááœá±áá±ážáá»á±ááŸá¯á
á¬áá»ááºááŸá¬ááœááºááŸááááŸáá
á
áºáá±ážáá±á¬ JavaScript áá¯ááºááá¯áá¯ááºáá±ážááẠááœááºááœá¬áááº, ááŸááºáž á
áááºááá¯á·ááŸáá·áº ááááºááẠá¡ááŒá¯ááá±á¬áá±á¬ááºáá«áá áá¯ááºááẠááá¯ááºááá¯ááºáá°áá»á¬ážááá¬áá¬á០áááºá sniffer ááᯠload áá¯ááºáá«áááºá á¡áá¹ááá¬ááºááŸááá±á¬ áá¯ááºáá±á¬ááºáá»ááºááᯠáá¯á¶ážááœááºáááºá ááœá±áá±ážáá»á±ááŸá¯á
á¬áá»ááºááŸá¬ááᯠáá¯á¶ážááŒááºáááºá¡ááœáẠá
ááºážáááºááá¯ááºážáá»á¬ážá¡áá«á¡ááẠááá¯ááºážá¡á¬ážáá¯á¶ážááᯠá¡áá¯á¶ážááŒá¯ááŒá®áž sniffer ááá¯á· ááá·áºááºáá
áºáá¯á¡á¬áž áá¯ááºáá¶áá«ááºááŒáá·áº áá¯ááºáá¯ááºáá¬ážáá«áááºá á¡ááŒá±áᶠáááá.
ááŒá¬ážáá±á¬ááºážááá¯ááºááá¯ááºááŸá¯áá»á¬áž
ááá¯ááºááá¯ááºáá°áá»á¬ážá ááœááºáááºá¡ááŒá±áá¶á¡áá±á¬ááºá¡á¡á¯á¶ááá¯ááºáᬠááœá²ááŒááºážá áááºááŒá¬áá»ááºááœáẠáá¬ááááºááá¯ááºážááẠáá áºááŸááºá¡áœááºááá¯ááºážá ááá¯ážá á á®áá¶ááá·áºááœá²áá±ážá¡ááœá²á·ááá¯á· áááºáá±á¬ááºááœáá·áºáááẠáááŒá¬áá ááŒá¬ážáá±á¬ááºážááŒááºážááᯠá¡áá¯á¶ážááŒá¯ááŒá±á¬ááºáž áá±á¬áºáá¯ááºááœá±á·ááŸááá²á·áááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠá ááá¯ážááá¯ááºá ááá¯ááááºážááŸáá·áº á¡ááŒááºáááºáá°ááá·áº ááá¯ááááºážáá áºáá¯ááᯠááŸááºáá¯á¶áááºááŒá®áž Magento á á®áá¶ááá·áºááœá²áá±ážá¡ááœá²á·á á¡áá±á¬áá·áºáááºáá¯á¶á á¶á¡áá¯ááᯠáááºážááœáẠá¡áá¯á¶ážááŒá¯áááºá á¡á±á¬ááºááŒááºáá«áá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáááºážááá¯á·á¡á¬áž áááºááá¯ááºá¡á áááºá¡ááá¯ááºážáá»á¬ážááᯠáááºážááŒááºáááºááŸáá·áº ááááºáá áºáááºáá±áá¬ááá¯ážáá°ááẠsniffer ááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºááẠá¡ááœáá·áºá¡áá±ážáá±ážááá·áº Magento CMS á á á®áá¶ááá·áºááœá²áá±ážá¡ááá·áºááá¯á· áááºáá±á¬ááºááœáá·áºáááŸááááºááŒá áºáááºá
á¡ááŒá±áá¶á¡áá±á¬ááºá¡á¥á®áá»á¬áž
ÐПЌеМ | ááŸá¬ááœá±ááœá±á·ááŸáááŸá¯/áááºááŸá¬ážááá·áºáááºá áœá² |
---|---|
mediapack.info | 04.05.2017 |
adsgetapi.com | 15.06.2017 |
simcounter.com | 14.08.2017 |
mageanalytics.com | 22.12.2017 |
maxstatics.com | 16.01.2018 |
reactjsapi.com | 19.01.2018 |
mxcounter.com | 02.02.2018 |
apitstatus.com | 01.03.2018 |
orderracker.com | 20.04.2018 |
tagstracking.com | 25.06.2018 |
adsapigate.com | 12.07.2018 |
trust-tracker.com | 15.07.2018 |
fbstatspartner.com | 02.10.2018 |
billgetstatus.com | 12.10.2018 |
www.aldenmlilhouse.com | 20.10.2018 |
balletbeautlful.com | 20.10.2018 |
bargalnjunkie.com | 20.10.2018 |
payselector.com | 21.10.2018 |
tagsmediaget.com | 02.11.2018 |
hs-payments.com | 16.11.2018 |
ordercheckpays.com | 19.11.2018 |
geisseie.com | 24.11.2018 |
gtmproc.com | 29.11.2018 |
livegetpay.com | 18.12.2018 |
sydneysalonsupplies.com | 18.12.2018 |
newrelicnet.com | 19.12.2018 |
nr-public.com | 03.01.2019 |
cloudodesc.com | 04.01.2019 |
ajaxstatic.com | 11.01.2019 |
livecheckpay.com | 21.01.2019 |
asianfoodgracer.com | 25.01.2019 |
G-Analytics áááá¬ážá
á¯
ဠsniffers áááá¬ážá á¯ááẠá¡áœááºááá¯ááºážá ááá¯ážáá»á¬ážá០áá±á¬ááºáááºáááºáá»á¬ážááᯠááá¯ážáá°ááẠá¡áá¯á¶ážááŒá¯áááºá á¡ááœá²á·ááŸá¡áá¯á¶ážááŒá¯áá±á¬ ááááá¯á¶áž ááá¯ááááºážá¡áááºááᯠ2016 áá¯ááŸá Ạá§ááŒá®áááœáẠááŸááºáá¯á¶áááºáá²á·ááŒá®ážá áááºážááẠá¡ááœá²á·ááẠ2016 ááŸá áºáááºááá¯ááºážááœáẠá áááºáá¯ááºáá±á¬ááºáá²á·ááŒá±á¬ááºáž ááœáŸááºááŒááá¯ááºáááºá
áááºááŸá áááºááááºážááœááºá á¡ááœá²á·ááẠGoogle Analytics ááŸáá·áº jQuery áá²á·ááá¯á·áá±á¬ áááºááœá±á·áááááºáá±á¬ááºááŸá¯áá»á¬ážááᯠá¡áá¯áá°ááá·áº ááá¯ááááºážá¡áááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá¬á ááá¬ážáááºáá±á¬ script áá»á¬ážááŸáá·áº ááá¬ážáááºáá±á¬ ááá¯ááááºážá¡áááºáá»á¬ážááŒáá·áº sniffers áá»á¬ážá áá¯ááºáá±á¬ááºáá»ááºááᯠáá¯á¶ážááœááºáá¬ážáááºá Magento CMS áááºáááºááá·áºááá¯ááºáá»á¬ážááᯠááá¯ááºááá¯ááºáá¶áá²á·ááááºá
G-Analytics ááᯠá¡áœááºááá¯ááºážá
ááá¯ážáá
áºáá¯á áá¯ááºááœáẠá¡áá±á¬ááºá¡áááºáá±á¬áºáá¯á¶
á€áááá¬ážá á¯ááá°ážááŒá¬ážáá»ááºááŸá¬ áá¯á¶ážá áœá²áá°áááœá±áá±ážáá»á±ááŸá¯á¡áá»ááºá¡áááºááᯠááá¯ážáá°ááẠáááºážáááºážá¡áá»áá¯ážáá»áá¯ážááᯠá¡áá¯á¶ážááŒá¯ááŒááºážááŒá áºáááºá ááá¯ááºá client áááºááŒááºážááá¯á· JavaScript áá¯ááºááᯠááá¹ááááºááá¯ážááœááºážááŒááºážá¡ááŒááºá áá¬ááááºááŸá¯á¡á¯ááºá á¯ááẠááá¯ááºááá¬áá¬áááºááŒááºážááá¯á· áá¯ááºááá¯ážááŒááºážáááºážááá¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá°ááá·áºááœááºážáá¬ážáá±á¬áá±áá¬ááᯠáá¯ááºáá±á¬ááºááá·áº PHP scripts áá»á¬ážáá¯áááºáž á¡áá¯á¶ážááŒá¯áá²á·áááºá á€áááºážááá¬ááẠááŒááºáá០áá¯áá±áá®áá»á¬ážá¡ááœáẠá¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºááᯠááŸá¬ááœá±ááẠáááºáá²á á±áá±á¬ááŒá±á¬áá·áº á€áááºážááá¬ááẠá¡áá¹ááá¬ááºááŸááááºá Group-IB áá»áœááºážáá»ááºáá°áá»á¬ážááẠááááºáá áºáá¯á¡ááŒá Ạááá¯ááááºážááᯠá¡áá¯á¶ážááŒá¯á áááºááá¯ááºá PHP áá¯ááºááœáẠááá·áºááœááºážáá¬ážáá±á¬ sniffer áá¬ážááŸááºážááᯠááŸá¬ááœá±ááœá±á·ááŸááá²á·ááẠdittm.org.
ááá¯ážáá°áá¬ážáá±á¬áá±áá¬ááá¯á
á¯áá±á¬ááºážááẠáá°áá®áá±á¬ááá¯ááááºážááá¯á¡áá¯á¶ážááŒá¯ááá·áº sniffer áá¡á
á±á¬ááá¯ááºážáá¬ážááŸááºážááá¯áááºáž ááŸá¬ááœá±ááœá±á·ááŸááá²á·áááºá dittm.orgááá¯á·áá±á¬áº á€áá¬ážááŸááºážááẠá¡áœááºááá¯ááºážá
ááá¯ážá áááá¯ááºážááá·áºáááºá០áááºáááºáááºá¡ááœáẠáááºááœááºáá«áááºá
áá±á¬ááºááá¯ááºážááœáẠá¡ááœá²á·ááẠáááºážá áááºážáá»á°áá¬áá»á¬ážááᯠááŒá±á¬ááºážáá²áá²á·ááŒá®áž á¡áá¹ááá¬ááºááŸááá±á¬ ááŸá¯ááºááŸá¬ážááŸá¯áá»á¬ážááᯠáá¯á¶ážááœááºáááºááŸáá·áº áá¯á¶ážááœááºááẠááá¯ááá¯á¡á¬áá¯á¶á
áá¯ááºáá¬áá²á·áááºá
2017 áá¯ááŸá áºá¡á ááœááºá á¡ááœá²á·ááẠdomain ááá¯á áááºá¡áá¯á¶ážááŒá¯áá²á·áááºá jquery-js.comjQuery á¡ááœáẠCDN á¡ááŒá Ạáááºáá±á¬ááºááŒááºáž- ááá¯ááºááá¯ááºáá°áá»á¬ážá ááá¯ááºááá¯á· ááœá¬ážáá±á¬á¡áá«á á¡áá¯á¶ážááŒá¯áá°ááᯠááá¬ážáááºááá¯ááºááá¯á· ááŒááºááœáŸááºážááẠjquery.com.
ááŒá®ážáá±á¬á· 2018 ááŸá áºáááºááá¯ááºážááŸá¬áá±á¬á· á¡ááœá²á·áᬠdomain name ááᯠáááºáá¶áá»áá·áºáá¯á¶ážáá²á·áá«áááºá g-analytics.com ááŸáá·áº sniffer áááŸá¯ááºááŸá¬ážááŸá¯áá»á¬ážááá¯ááá¬ážááẠGoogle Analytics áááºáá±á¬ááºááŸá¯á¡ááŒá áºá¡ááœááºááŒá±á¬ááºážáá²á·áááºá
áá¬ážááŸááºážááœá²ááŒááºážá
áááºááŒá¬ááŒááºážá
sniffer áá¯ááºááᯠááááºážáááºážááẠá¡áá¯á¶ážááŒá¯ááá·áº ááá¯ááááºážáá»á¬ážááᯠááœá²ááŒááºážá áááºááŒá¬ááŸá¯á¡ááœááºážá áááºááá¯ááºááœáẠááŸá¯ááºááœá±ážááŸá¯áá»á¬áž ááŸááá±ááŒááºážááœáẠááœá²ááŒá¬ážááá·áº áá¬ážááŸááºážá¡áá»á¬ážá¡ááŒá¬áž áá«áááºáá±ááá·áºá¡ááŒáẠááá¯ááºááœáẠáá»áááºáááºááááá±á¬ áá¯ááºáá»á¬áž ááŸááá±ááŒááºáž ááá¯á·ááá¯áẠáááŸáááŒááºážááá¯á·ááᯠá¡á¬áá¯á¶áá»á¶á·ááœáá·áºá á±ááá·áº áá¯ááºáá»á¬áž ááŸááá±ááŒááºáž ááá¯á·ááá¯áẠáááŸáááŒááºážááá¯á·ááᯠááœá±á·ááŸááá²á·áááºá á¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºááᯠááŸááºáá¬ážáá«á
site áá±á«áºááœááºá á¯á á¯áá±á«ááºáž jquery-js.com sniffers áá¬ážááŸááºážááŒá±á¬ááºáá¯ááᯠáá±á¬áºáá¯ááºáá²á·áááºá ဠsniffer áá»á¬ážááẠááá¯ážáá°áá¬ážáá±á¬ áá±áá¬áá»á¬ážááᯠsniffer ááá¯ááºááá¯ááºáá²á·ááá¯á· áá°áá®áá±á¬ áááºááá¯ááºááœááºááŸááá±á¬ ááááºá á¬ááá¯á· áá±ážááá¯á·áááº- hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
áá±á¬ááºáá±á¬á· ááá¯ááááºáž g-analytics.com2018 ááŸá
áºáááºááááºážá ááá¯ááºááá¯ááºááŸá¯áá»á¬ážááœáẠá¡ááœá²á·ááŸá¡áá¯á¶ážááŒá¯áá²á·áá±á¬á ááẠáá±á¬ááºááẠsniffers áá»á¬ážá¡ááœáẠááá¯ááŸá±á¬ááºáá¬áá
áºáá¯á¡ááŒá
Ạáá±á¬ááºááœááºáá«áááºá á
á¯á
á¯áá±á«ááºáž sniffer á¡áá»áá¯ážá¡á
á¬áž 16 áá¯ááᯠááŸá¬ááœá±ááœá±á·ááŸááá²á·áááºá á€ááá
á¹á
ááœááºá ááá¯ážáá°áá¬ážáá±á¬áá±áá¬ááᯠáá±ážááá¯á·áááºá¡ááœáẠááááºáá±á«ááºááẠáá¯á¶áá±á¬áºáááºááá¯á· ááá·áºááºáá
áºáá¯á¡ááŒá
Ạá¡ááœááºááŒá±á¬ááºážáá¬ážáááºá GIF ááá¯: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560Ã1440&vp=2145Ã371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
ááá¯ážáá°áá¬ážáá±á¬áá±áá¬ááᯠááœá±ááŸá¬ááŒááºážá
áá¬ááááºááá¯ááºážááẠáááºááŒá¬ážáá»á¬ážááᯠáááºáá±á¬ááºááŸá¯áá±ážááá·áº á¡áá°ážáááºáá®ážáá¬ážáá±á¬ ááŒá±á¡á±á¬ááºá ááá¯ážáá áºáá¯ááŸáá áºááá·áº áááºáá»á¬ážáá±á¬ááºážáá»ááŒááºážááŒáá·áº ááá¯ážáá°áá±áá¬áá»á¬ážááᯠááœá±ááŸá¬áááºá ááá¯ááºááá¯ááºáá°áá»á¬ážá¡áá¯á¶ážááŒá¯áá±á¬ ááá¯ááááºážáá»á¬ážááᯠááœá²ááŒááºážá áááºááŒá¬ááŒááºážááŒáá·áº áá»áœááºá¯ááºááá¯á·á¡á¬áž áá¯á¶ážááŒááºááá¯ááºá á±áá«áááºá google-analytics.cm ááá¯ááááºážááŸáá·áºáá°áá®áá±á¬á¡áá¯á¶ážááŒá¯áá°ááŸááŸááºáá¯á¶áááºáá²á·áááºá cardz.vc. ááá¯ááááºáž cardz.vc ááá¯ážáá°áá¶ááá±á¬ áááºáááºáá»á¬áž áá±á¬ááºážáá»ááá·áº á ááá¯ážááá¯ááºááᯠáááºááœáŸááºážááŒá®áž sniffer ááŒáá·áº ááá¯ážáá°áá¶ááá±á¬ áááºáááºáá»á¬ážááᯠAlphaBay á ááŒá±á¡á±á¬ááºáá¯ááºááœááºááááºáá±á¬ááºáž áááºáááºááœáẠááŒááºáááºáá»á±á¬áºááŒá¬ážáá²á·áá±á¬ Cardsurfs (Flysurfs) ááᯠáááºááœáŸááºážáááºá
ááá¯ááááºážááá¯ááœá²ááŒááºážá
áááºááŒá¬ááŒááºážá analytical.isááá¯ážáá°áá¬ážáá±á¬áá±áá¬ááᯠá
á¯áá±á¬ááºážááẠsniffers á¡áá¯á¶ážááŒá¯áá±á¬ ááá¯ááááºážáá»á¬ážááŸáá·áº áá°áá®áá±á¬áá¬áá¬áá±á«áºááœáẠáááºááŸáááŒá®áž Group-IB áá»áœááºážáá»ááºáá°áá»á¬ážááẠáá±á¬á·ááºáá²áá±ážáá¬ážáá°á០á
áœáá·áºáá
áºáá¬ážáá¯á¶áááŒá®áž cookie ááá¯ážáá°ááá·áºááŸááºáááºážáá»á¬ážáá«ááŸááá±á¬ ááá¯ááºáá
áºáá¯ááᯠááŸá¬ááœá±ááœá±á·ááŸááá²á·áááºá ááŸááºáááºážááŸá ááá·áºááœááºážááŸá¯áá»á¬ážááœáẠááá¯ááááºážáá
áºáá¯áá«ááŸááááºá iozoz.com2016 ááœááºá¡áá¯á¶ážááŒá¯áá²á·áá±á¬ sniffers áá
áºáá¯ááœáẠááááºáá¡áá¯á¶ážááŒá¯áá²á·áááºá sniffer áá¯á¶ážááŒá®áž ááá¯ážáá°áá¬ážáá±á¬ áááºáá»á¬ážááᯠá
á¯áá±á¬ááºážááẠá€ááá¯ááááºážááᯠááááºá á¡áá¯á¶ážááŒá¯áá²á·áááºá á€ááá¯ááááºážááᯠá¡á®ážáá±ážááºááááºá
á¬ááá¯á· ááŸááºáá¯á¶áááºáá¬ážáááºá [á¡á®ážáá±ážááºááá¯áá¬ááœááºáá¬ážáááº]ááá¯ááááºážáá»á¬ážááᯠááŸááºáá¯á¶áááºáááºáááºáž á¡áá¯á¶ážááŒá¯áá²á·áááºá cardz.su О cardz.vccarding store ááŸáá·áºáááºá
ááºáá±á¬ Cardsurfsá
áááŸááá±á¬á¡áá»ááºá¡áááºáá»á¬ážá¡áá±á«áºá¡ááŒá±áá¶á G-Analytics sniffers áááá¬ážá á¯ááŸáá·áº áááºáááºáá»á¬ážáá±á¬ááºážáá»áá±á¬ ááŒá±á¡á±á¬ááºá ááá¯ážááá¯áẠCardsurfs áá»á¬ážááᯠáá°áá®áá±á¬áá°áá»á¬ážá á á®áá¶ááá·áºááœá²ááŒá®áž á ááá¯ážááá¯ááºááᯠsniffer ááŒáá·áºááá¯ážáá°áá¬ážáá±á¬ áááºáááºáá»á¬ážááᯠáá±á¬ááºážáá»áááºá¡ááœáẠá¡áá¯á¶ážááŒá¯áááºáᯠáá°áááá¯ááºáá«áááºá
á¡ááŒá±áá¶á¡áá±á¬ááºá¡á¥á®áá»á¬áž
ÐПЌеМ | ááŸá¬ááœá±ááœá±á·ááŸáááŸá¯/áááºááŸá¬ážááá·áºáááºá áœá² |
---|---|
iozoz.com | 08.04.2016 |
dittm.org | 10.09.2016 |
jquery-js.com | 02.01.2017 |
g-analytics.com | 31.05.2018 |
google-analytics.is | 21.11.2018 |
analytical.to | 04.12.2018 |
google-analytics.to | 06.12.2018 |
google-analytics.cm | 28.12.2018 |
analytical.is | 28.12.2018 |
googlc-analytics.cm | 17.01.2019 |
Illum áááá¬ážá á¯
Illum ááẠMagento CMS áááºáááºááá·áº á¡áœááºááá¯ááºážá ááá¯ážáá»á¬ážááᯠááá¯ááºááá¯ááºáá¬ááœáẠá¡áá¯á¶ážááŒá¯ááá·áº á¡áá¶á·á¡áááºááŸá°á ááºáááá¬ážá á¯áá áºáá¯ááŒá áºáááºá á¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºááᯠááááºáááºááŒááºážá¡ááŒááºá ဠsniffer á á¡á±á¬áºááá±áá¬áá»á¬ážááẠááá¯ááºááá¯ááºáá°áá»á¬áž ááááºážáá»á¯ááºáá¬ážáá±á¬ ááááºáá»á¬ážááá¯á· áá±áá¬áá±ážááá¯á·ááá·áº ááŒáá·áºá á¯á¶ááŒá®ážááŒáá·áºá á¯á¶áá±á¬ ááœá±áá±ážáá»á±ááŸá¯áá¯á¶á á¶á¡áá¯áá»á¬ážááᯠááááºáááºááŒááºážááá¯áááºáž á¡áá¯á¶ážááŒá¯áá«áááºá
ဠsniffer áá¡á±á¬áºááá±áá¬áá»á¬ážá¡áá¯á¶ážááŒá¯ááá·áº ááœááºáááºá¡ááŒá±áá¶á¡áá±á¬ááºá¡á¡á¯á¶ááᯠááá¯ááºážááŒá¬ážá áááºááŒá¬ááá·áºá¡áá«ááœáẠá¡áá¹ááá¬ááºááŸááá±á¬ script á¡áá»á¬ážá¡ááŒá¬ážá á¡ááŒááºáá¯ááºááŸá¯áá»á¬ážá ááœá±áá±ážáá»á±ááŸá¯áá¯á¶á á¶á¡áá¯áá»á¬ážá ááŒáá¯ááºáááºáá»á¬ážáá¶á០á¡áá¹ááá¬ááºááŸááá±á¬ á¡áá¶á·á¡áááºááá¯ážáá»á¬ážáá«ááá·áº ááá°áá¬á¡á á¯á¡áá±ážáá»á¬ážááᯠááŸááºáá¬ážáá¬ážáááºá á¡ááœá²á·á¡áá¯á¶ážááŒá¯áá±á¬ ááá¯ááááºážá¡áááºáá»á¬ážá áááºááŸá¬ážááá·áºáááºá áœá²áá»á¬ážááá¯ááºáᬠá¡áá»ááºá¡áááºáá»á¬ážá¡áá±á«áº á¡ááŒá±áá¶á áááºááááºážááᯠ2016 ááŸá áºáá¯ááºááœáẠá áááºáá²á·áááºáᯠáá°áááá¯ááºáá«áááºá
Illum ááᯠá¡áœááºááá¯ááºážá ááá¯ážáá áºáá¯á áá¯ááºááœáẠá¡áá±á¬ááºá¡áááºáá±á¬áºáá¯á¶
ááŸá¬ááœá±ááœá±á·ááŸáááá·áº sniffer á ááááá¯á¶ážáá¬ážááŸááºážáá»á¬ážááᯠá¡áá±ážá¡áá°áá¶áááá·áºááá¯ááºá áá¯ááºáá²ááá¯á· ááá¯ááºááá¯ááºááá·áºááœááºážáá¬ážáááºá ááá¯ážáá°áá¶ááá±á¬ áá±áá¬áá»á¬ážááᯠáá±ážááá¯á·áá²á·áááºá cdn.illum[.]pw/records.phpáá¶áá«ážááᯠá¡áá¯á¶ážááŒá¯á áá¯ááºáá¶áá«ááºáááºáá¬ážáááºá á¡ááŒá±áᶠáááá.
áá±á¬ááºááá¯ááºážááœááºá ááá°áá®áá±á¬áá¶áá«ážááá¯á¡áá¯á¶ážááŒá¯ááá·áº sniffer ááá¯ááºááá¯ážáá¬ážáá±á¬áá¬ážááŸááºážááá¯ááœá±á·ááŸááá²á·ááẠ- records.nstatistics[.]com/records.php.
á¡ááá¯ááºáž
ááá¯ááºááá¯ááºáá°áá»á¬ážá áááºááá¯ááºááᯠáá±á·áá¬ááŒááºážá
Group-IB áá»áœááºážáá»ááºáá°áá»á¬ážááẠáááááá¬áá»á¬ážááᯠááááºážáááºážáááºááŸáá·áº ááá¯ážáá°áá¬ážáá±á¬ á¡áá»ááºá¡áááºáá»á¬ážááᯠá á¯áá±á¬ááºážáááºá¡ááœáẠá€áá¬ááááºááá¯ááºážá០á¡áá¯á¶ážááŒá¯ááá·áº áááºááá¯ááºáá áºáá¯ááᯠááŸá¬ááœá±ááœá±á·ááŸáááŒá®áž ááœá²ááŒááºážá áááºááŒá¬áá²á·áááºá
ááá¯ááºááá¯ááºáá°áá»á¬ážááá¬áá¬ááœááºááœá±á·ááŸáááá±á¬áááááá¬áá»á¬ážáá²ááœáẠLinux OS ááœááºá¡ááœáá·áºáá°ážáá»á¬ážááá¯ážááŒáŸáá·áºááŒááºážá¡ááœáẠscript áá»á¬ážááŸáá·áº exploits áá»á¬ážááŒá
áºáááº- á¥ááá¬á Mike Czumak ááŸáá¯ááºáá¯ááºáá±á¬ Linux Privilege Escalation Check Script ááŸáá·áº CVE-2009-1185 á¡ááœáẠexploit áá
áºáá¯ááŒá
áºáááºá
ááá¯ááºááá¯ááºáá°áá»á¬ážááẠá¡áœááºááá¯ááºážá
ááá¯ážáá»á¬ážááᯠááá¯ááºááá¯ááºáááºá¡ááœáẠá¡ááŒááºáá¯ááºááŸá¯ááŸá
áºáá¯ááᯠááá¯ááºááá¯ááºá¡áá¯á¶ážááŒá¯áá²á·áááº-
ááá¯á·á¡ááŒááºá áá¬áá¬áááœá²ááŒááºážá
áááºááŒá¬ááŸá¯á¡ááœááºážá áá±á¬ááºááœááºážáá¶ááá±á¬ááá¯ááºáá»á¬ážá០ááœá±áá±ážáá»á±ááŸá¯á¡áá»ááºá¡áááºááᯠááá¯ááºááá¯ááºáá°áá»á¬ážá¡áá¯á¶ážááŒá¯ááá·áº sniffers ááá°áá¬áá»á¬ážááŸáá·áº ááœá±áá±ážáá»á±ááŸá¯áá¯á¶á
á¶á¡áá¯áá»á¬ážááᯠááŸá¬ááœá±ááœá±á·ááŸááá²á·áááºá á¡á±á¬ááºáá±á¬áºááŒáá«á
á¬áááºážá០áááºááœá±á·ááŒááºáááá·áºá¡ááá¯ááºážá á¡áá»áá¯á·áá±á¬ Script áá»á¬ážááᯠáááºáá¬ááá¯ááºáá
áºáá¯á
á®á¡ááœáẠáá
áºáŠážáá»ááºážáááºáá®ážáá¬ážáá±á¬áºáááºáž á¡áá»áá¯á·áá±á¬ CMS ááŸáá·áº ááœá±áá±ážáá»á±ááŸá¯áá¶áá«ážáá±á«ááºáá»á¬ážá¡ááœáẠuniversal solution ááᯠá¡áá¯á¶ážááŒá¯áá¬ážáááºá á¥ááá¬á áá¬ááºááœáŸááºážáá»á¬áž segapay_standart.js О segapay_onpage.js Sage Pay ááœá±áá±ážáá»á±ááŸá¯áá¶áá«ážáá±á«ááºááᯠá¡áá¯á¶ážááŒá¯á ááá¯ááºáá»á¬ážááœáẠá¡áá±á¬ááºá¡áááºáá±á¬áºáááºá¡ááœáẠáá®ááá¯ááºážáá¯ááºáá¬ážáááºá
á¡áá»áá¯ážáá»áá¯ážáá±á¬ááœá±áá±ážáá»á±ááŸá¯áá¶áá«ážáá±á«ááºáá»á¬ážá¡ááœáẠscripts áá»á¬ážá á¬áááºáž
áá¬ááºááœáŸááºáž | ááœá±áá±ážáá»á±ááŸá¯áá¶áá«ážáá±á«áẠ|
---|---|
|
//request.payrightnow[.]cf/checkpayment.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
//request.payrightnow[.]cf/checkpayment.php | |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//cdn.illum[.]pw/records.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
//request.payrightnow[.]cf/checkpayment.php | |
|
//cdn.illum[.]pw/records.php |
//payrightnow[.]cf/?payment= | |
|
//payrightnow[.]cf/?payment= |
|
//paymentnow[.]tk/?payment= |
á¡áááºááŸáẠPaymentnow[.]tkáá¬ááºááœáŸááºážáá áºáá¯ááœáẠááááºáá±á«ááºá¡ááŒá Ạá¡áá¯á¶ážááŒá¯áááºá Payment_forminsite.jsá¡ááŒá áºááŸá¬ááœá±ááœá±á·ááŸááá²á·áááºá subjectAltName CloudFlare áááºáá±á¬ááºááŸá¯ááŸáá·áº áááºááá¯ááºááá·áº áááºááŸááºáá»á¬ážá áœá¬ááœááºá ááá¯á·á¡ááŒááºá á¡áááºááŸááºááœáẠáá¬ááºááœáŸááºážáá áºáá¯áá«ááŸááááºá evil.js. áá¬ááºááœáŸááºážá¡áááºááŒáá·áº á¡áá²ááŒááºáá¬ááœáẠáááºážá¡á¬áž Magento CMS áááºáááºááá·áºááá¯ááºáá¡á±á¬ááºááŒá±ááá¯á· áááá¬áá±á¬áá¯ááºááᯠááá·áºááœááºážááá¯ááºáá±á¬ááŒá±á¬áá·áº CVE-2016-4010 á á¡áá¯á¶ážáá»ááŸá¯áá áºá áááºáá áºááá¯ááºážá¡ááŒá Ạá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá á¡áááºááŸááºááẠá€áá¬ááºááœáŸááºážááᯠááááºáá áºáá¯á¡ááŒá Ạá¡áá¯á¶ážááŒá¯áá²á·áááºá request.requestnet[.]tkáááºáá¶áá°ááŸáá·áºáá°áá®áá±á¬áááºááŸááºááᯠá¡áá¯á¶ážááŒá¯ Paymentnow[.]tk.
ááœá±áá±ážáá»á±ááŸá¯áá¯á¶á
á¶á¡áá¯áá»á¬áž
á¡á±á¬ááºáá±á¬áºááŒáá«áá¯á¶ááẠáááºáá±áá¬ááá·áºááœááºážáááºá¡ááœáẠáá±á¬ááºáá áºáá¯á ááá°áá¬ááᯠááŒáá¬ážáááºá á€áá±á¬ááºááᯠá¡áœááºááá¯ááºážá ááá¯ážáá áºáá¯ááœáẠá ááá·áºáááºááŒá®áž áááºáá±áá¬ááᯠááá¯ážáá°ááẠá¡áá¯á¶ážááŒá¯áá²á·áááºá
á¡á±á¬ááºáá«áá¯á¶ááẠá€ááœá±áá±ážáá»á±ááŸá¯áááºážáááºážááŒáá·áº áááºááá¯ááºáá»á¬ážááᯠá
ááá·áºáááºá
á±ááẠááá¯ááºááá¯ááºáá°áá»á¬áž á¡áá¯á¶ážááŒá¯áá²á·ááá·áº PayPal á¡áᯠááœá±áá±ážáá»á±ááŸá¯áá¯á¶á
á¶á ááá°áá¬ááᯠááŒááá¬ážáááºá
á¡ááŒá±áá¶á¡áá±á¬ááºá¡á¥á®áá»á¬áž
ÐПЌеМ | ááŸá¬ááœá±ááœá±á·ááŸáááŸá¯/áááºááŸá¬ážááá·áºáááºá áœá² |
---|---|
cdn.illum.pw | 27/11/2016 |
records.nstatistics.com | 06/09/2018 |
request.payrightnow.cf | 25/05/2018 |
Paymentnow.tk | 16/07/2017 |
ááœá±áá±ážáá»á±ááŸá¯-line.tk | 01/03/2018 |
Paymentpal.cf | 04/09/2017 |
Requestnet.tk | 28/06/2017 |
CoffeeMokko áááá¬ážá á¯
á¡áœááºááá¯ááºážá ááá¯ážá¡áá¯á¶ážááŒá¯áá°áá»á¬ážáá¶á០áááºáááºáá»á¬ážááᯠááá¯ážáá°ááẠáá®ááá¯ááºážáá¯ááºáá¬ážááá·áº CoffeMokko sniffers áááá¬ážá á¯ááᯠá¡áááºážáá¯á¶áž áá±á 2017 ááááºážá á¡áá¯á¶ážááŒá¯áá¬ážáááºá ááŒá áºááá¯ááºáááºááŸá¬á á€á¡áá¶á·áá¶áááá¬ážá á¯á á¡á±á¬áºááá±áá¬áá»á¬ážááẠRiskIQ áá»áœááºážáá»ááºáá°áá»á¬ážá 1 áá¯ááŸá áºááœáẠáá±á¬áºááŒáá¬ážáá±á¬ áá¬ááááºááá¯ááºážá¡á¯ááºá ᯠ2016 ááŒá áºáááºá Magentoá OpenCartá WordPressá osCommerce ááŸáá·áº Shopify áá²á·ááá¯á·áá±á¬ CMS áá»á¬ážá¡áá¯á¶ážááŒá¯ááá·áºááá¯ááºáá»á¬ážááᯠááá¯ááºááá¯ááºáá¶áá²á·ááááºá
CoffeMokko ááᯠá¡áœááºááá¯ááºážá ááá¯ážáá áºáá¯á áá¯ááºááœáẠá¡áá±á¬ááºá¡áááºáá±á¬áºáá¯á¶
á€áááá¬ážá á¯á á¡á±á¬áºááá±áá¬áá»á¬ážááẠáá°ážá ááºááŸá¯áá áºáá¯á á®á¡ááœáẠáá®ážááá·áº sniffer áá»á¬ážááᯠáááºáá®ážáááº- sniffer ááá¯ááºááẠáááºážááœáŸááºááœááºáááºááŸáááẠsrc ááá¯á·ááá¯áẠjs ááá¯ááºááá¯ááºáá°áá»á¬ážá áá¬áá¬áá±á«áºááœáẠááá¯ááºáá¯ááºááœáẠáá±á«ááºážá ááºááá·áºááœááºážááŒááºážááᯠsniffer áá¶ááá¯á· ááá¯ááºááá¯ááºááá·áºááºááŸáá áºááá·áº áá¯ááºáá±á¬ááºáááºá
sniffer áá¯ááºááẠáá±áá¬ááá¯ážáá°ááẠááá¯á¡ááºááá·áº áá¯á¶á
á¶á¡ááœááºáá»á¬ážá á¡áááºáá»á¬ážááᯠáá¬á·ááºáá¯ááºááŒáá·áº áá±ážáááºá sniffer ááẠáá¯á¶ážá
áœá²áá°á áááºááŸáááááºá
á¬ááŒáá·áº áá±á¬á·áá»ááºá
áá¬ážáá¯á¶ážáá»á¬ážá
á¬áááºážááᯠá
á
áºáá±ážááŒááºážááŒáá·áº á¡áá¯á¶ážááŒá¯áá°ááẠááœá±áá±ážáá»á±ááŸá¯á
á¬áá»ááºááŸá¬ááœáẠááŸááááŸáááá¯áááºáž á
á
áºáá±ážáá«áááºá
ááŸá¬ááœá±ááœá±á·ááŸáááá·áº sniffer áá¬ážááŸááºážá¡áá»áá¯á·ááœáẠááŸá¯ááºááœá±ážáá±ááŒá®áž á¡áááºážá¡ááŒá
áºáá»á¬ážá á¡ááá áááºážáá»ááºážááŸá¯ááᯠááááºážáááºážáá¬ážááá·áº áá¯ááºááŸááºáá¬ážáá±á¬ á
á¬ááŒá±á¬ááºážáá
áºáá¯áá«ááŸááááº- á¡áá»áá¯ážáá»áá¯ážáá±á¬ ááœá±áá±ážáá»á±ááŸá¯á
áá
áºáá»á¬ážá¡ááœáẠáá±á¬ááºááœááºá¡áááºáá»á¬ážá¡ááŒáẠááá¯ážáá°áá¶ááá±á¬áá±áá¬ááᯠáá±ážááá¯á·ááá·áºááá·áº ááááºááááºá
á¬áááºáž áá«áááºáááºá
ááá¯ážáá°áá¶ááá±á¬ ááœá±áá±ážáá»á±ááŸá¯ á¡áá»ááºá¡áááºááᯠáááºážááŒá±á¬ááºážáá
áºáá»áŸá±á¬áẠááá¯ááºááá¯ááºáá°áá»á¬ážá áá¬áá¬ááŸá script áá
áºáá¯ááá¯á· áá±ážááá¯á·áá²á·áááºá /savePayment/index.php ááá¯á·ááá¯áẠ/tr/index.php. ááŒá
áºááá¯ááºáááºááŸá¬á sniffers áá»á¬ážá¡á¬ážáá¯á¶ážá០áá±áá¬áá»á¬ážááᯠá
á¯á
ááºážáá¬ážááá·áº ááááºá០áááºááá¬áá¬ááá¯á· áá±áá¬áá±ážááá¯á·ááẠဠscript ááᯠá¡áá¯á¶ážááŒá¯áá«áááºá áá±ážááá¯á·áá¬ážáá±á¬ áá±áá¬ááᯠáá¯á¶ážááœááºáááºá áá¬ážáá±á¬ááºá ááœá±áá±ážáá»á±ááŸá¯ á¡áá»ááºá¡áááºá¡á¬ážáá¯á¶ážááᯠá¡áá¯á¶ážááŒá¯á áá¯ááºááŸááºáá¬ážáááºá á¡ááŒá±áᶠááááááá¯á·áá±á¬áẠá
á¬áá¯á¶ážá¡á
á¬ážááá¯ážááŸá¯áá»á¬ážá
áœá¬ ááŒá
áºáá±á«áºáááº-
- "e" á á¬áá¯á¶ážááᯠ":" ááŒáá·áº á¡á á¬ážááá¯ážáááºá
- "w" áááºá¹áá±áááᯠ"+" ááŒáá·áº á¡á á¬ážááá¯ážáááºá
- "o" á á¬áá¯á¶ážááᯠ"%" ááŒáá·áº á¡á á¬ážááá¯ážáááº
- "d" á á¬áá¯á¶ážááᯠ"#" ááŒáá·áº á¡á á¬ážááá¯ážáááºá
- á¡áá¹ááᬠ"a" ááᯠ"-" ááŒáá·áºá¡á á¬ážááá¯ážáááº
- áááºá¹áá±á "7" ááᯠ"^" ááŒáá·áº á¡á á¬ážááá¯ážáááºá
- á¡áá¹ááᬠ"h" ááᯠ"_" ááŒáá·áº á¡á á¬ážááá¯ážááẠá
- "T" áááºá¹áá±áááᯠ"@" ááŒáá·áº á¡á á¬ážááá¯ážáááºá
- áá¬ááºáá±á¬áẠ"0" ááᯠ"/" ááŒáá·áº á¡á á¬ážááá¯ážááẠá
- "Y" á á¬áá¯á¶ážááᯠ"*" ááŒáá·áº á¡á á¬ážááá¯ážáááºá
ááááºá¡áá±ááŒáá·áº á á¬áá¯á¶ážá¡á á¬ážááá¯ážááŒááºážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á áá¯ááºáá¯ááºáá¬ážáááºá á¡ááŒá±áᶠáááá ááŒá±á¬ááºážááŒááºááŒá±á¬ááºážáá²ááŒááºáž ááá¯ááºáá±á¬ááºáá² áá±áá¬ááᯠáá¯ááºáá»ááºááááá«á
á€á¡áá¬ááẠááŸá¯ááºááŸááºáááºááá¬ážáá±á¬ sniffer áá¯ááºá á¡ááá¯ááºážá¡á áá áºáá¯áá²á·ááá¯á· ááŒá áºáá±áááº-
á¡ááŒá±áá¶á¡áá±á¬ááºá¡á¡á¯á¶ ááá¯ááºážááŒá¬ážá
áááºááŒá¬ááŒááºážá
á¡á á±á¬ááá¯ááºážáááºááááºážáá»á¬ážááœááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠááá¬ážáááºá¡áœááºááá¯ááºážá á»á±ážáááºááá¯ááºáá»á¬ážááŸáá·áºáááºáá°áá±á¬ ááá¯ááááºážá¡áááºáá»á¬ážááᯠá á¬áááºážááœááºážáá²á·ááŒáááºá áááºážááá¯á·áááá¯ááááºážááẠááá¬ážáááºáááºá¹áá±ááá áºáá¯ááŸáá·áºáá áºáᯠááá¯á·ááá¯áẠá¡ááŒá¬áž TLD ááŸáá·áº ááœá²ááŒá¬ážááá¯ááºáááºá á ááá¯ážáá¯ááºááœáẠááá·áºááœááºážáá¬ážááá·áº ááá·áºááºááᯠsniffer code ááááºážáááºážááẠááŸááºáá¯á¶áááºáá¬ážáá±á¬ ááá¯ááááºážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá²á·áááºá
á€á¡ááœá²á·ááẠáá°ááŒáá¯ááºáá»á¬ážáá±á¬ jQuery ááááºá¡ááºáá»á¬ážááᯠá¡ááŸááºáá á±ááá·áº ááá¯ááááºážá¡áááºáá»á¬ážááá¯áááºáž á¡áá¯á¶ážááŒá¯áá²á·ááẠ(slickjs[.]org plugin ááá¯á¡áá¯á¶ážááŒá¯áá¬ážáá±á¬ááá¯ááºáá»á¬ážá¡ááœáẠslick.js) ááœá±áá±ážáá»á±ááŸá¯áá¶áá«ážáá»á¬áž (sagecdn[.]org Sage Pay ááœá±áá±ážáá»á±ááŸá¯á áá áºááᯠá¡áá¯á¶ážááŒá¯ááá·áº ááá¯ááºáá»á¬ážá¡ááœááº)á
áá±á¬ááºááá¯ááºážááœááºá á¡ááœá²á·ááẠá ááá¯ážááá¯ááºá ááá¯ááááºáž ááá¯á·ááá¯áẠá ááá¯ážááá¯ááºá áá±á¬ááºáá¯ááºááŸáá·áº ááááºááá¯ááºáá±á¬ á¡áááºáá»á¬ážááᯠá áááºáááºáá®ážáá²á·áááºá
ááá¯ááááºážáá
áºáá¯á
á®ááẠáááºážááœáŸááºááᯠáááºáá®ážáá¬ážááá·áº ááá¯ááºáá
áºáá¯ááŸáá·áº áááºá
ááºáá±áááºá /js ááá¯á·ááá¯áẠ/ src. Sniffer script áá»á¬ážááᯠá€áááºážááœáŸááºááœáẠááááºážáááºážáá¬ážáááº- áá°ážá
ááºááŸá¯á¡áá
áºáá
áºáá¯á
á®á¡ááœáẠsniffer áá
áºáá¯á sniffer ááẠááá¯ááºááá¯ááºááá·áºááºááŸáá
áºááá·áº áááºááá¯ááºáá¯ááºááœáẠááŒáŸá¯ááºááŸá¶áá¬ážáá±á¬áºáááºáž ááŸá¬ážááŸá¬ážáá«ážáá«áž á¡ááŒá±á¡áá±áá»á¬ážááœáẠááá¯ááºááá¯ááºáá°áá»á¬ážááẠáááºááá¯ááºááá¯ááºáá»á¬ážáá²á០áá
áºáá¯ááᯠááœááºážáá¶ááŒá®áž áááºážááœáẠá¡áá¹ááá¬ááºááŸááá±á¬ áá¯ááºááᯠááá·áºááœááºážáá¬ážáááºá
Code Analysis
ááááá¯á¶áž obfuscation algorithm
á€áááá¬ážá á¯á sniffers ááá°áá¬á¡áá»áá¯á·ááœááºá áá¯ááºááẠááŸá¯ááºááœá±ážáá±ááŒá®áž sniffer á¡áá¯ááºáá¯ááºáááºá¡ááœáẠááá¯á¡ááºáá±á¬ áá¯ááºááŸááºáá¬ážáá±á¬áá±áá¬áá«áááºáááº- á¡áá°ážáááŒáá·áºá sniffer ááááºááááºá á¬á ááœá±áá±ážáá»á±ááŸá¯áá¯á¶á á¶á¡ááœááºáá»á¬ážá á¬áááºážááŸáá·áº á¡áá»áá¯á·ááá á¹á áá»á¬ážááœááºá á¡áá¯ááá¯áẠááœá±áá±ážáá»á±ááŸá¯áá¯á¶á á¶á áá¯ááºáá±á¬ááºáá»ááºá¡ááœááºážááŸá áá¯ááºááœáẠá¡áááºážá¡ááŒá áºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á áá¯ááºááŸááºáá¬ážáááºá XOR áá°áá®áá±á¬áá¯ááºáá±á¬ááºáá»ááºá¡ááœáẠá¡ááŒááºážá¡áá¯á¶á¡ááŒá ẠááŒááºááœá¬ážáá±á¬ áá±á¬á·ááŒáá·áºá
ááá°áá¬áá
áºáá¯á
á®á¡ááœáẠáá®ážááá·áºá ááá·áºáá»á±á¬áºáá±á¬áá±á¬á·ááŒáá·áº á
á¬ááŒá±á¬ááºážááᯠáá¯ááºááŸááºááŒááºážááŒáá·áºá ááœá²ááœááºá¡áá¹ááá¬ááŒáá·áº ááá¯ááºážááŒá¬ážáá¬ážáá±á¬ sniffer áá¯ááºá០ááá¯ááºážáá»á¬ážá¡á¬ážáá¯á¶ážáá«áááºáá±á¬ á
á¬ááŒá±á¬ááºážáá
áºáá¯ááᯠáááºáááá¯ááºáááºá
áá¯ááá ááŸá¯ááºááŸááºáááºáá±á¬ á¡ááºáááá¯áá®áááº
á€áááá¬ážá á¯á áá±á¬ááºááá¯ááºážááœáẠsniffers ááá°áá¬áá»á¬ážááœáẠááá°áá®áá±á¬ ááŸá¯ááºááœá±ážáá±á¬ ááá¹ááá¬ážáá áºáá¯ááᯠá¡áá¯á¶ážááŒá¯áá²á·áááº- á€ááá á¹á ááœááºá áá±áá¬ááᯠááá¯ááºááá¯ááºáá±ážáá¬ážáá±á¬ á¡ááºáááá¯áá®áááºááᯠá¡áá¯á¶ážááŒá¯á áá¯ááºááŸááºáá¬ážáááºá sniffer áááºáááºáááºá¡ááœáẠááá¯á¡ááºáá±á¬ áá¯ááºááŸááºáá¬ážáá±á¬ áá±áá¬áá»á¬ážáá«ááŸááá±á¬ á á¬ááŒá±á¬ááºážáá áºááŒá±á¬ááºážááᯠáá¯ááºááŸááºááŒááºážáá¯ááºáá±á¬ááºáá»ááºááá¯á· á¡ááŒá±á¬ááºážááŒáá»ááºáá áºáá¯á¡ááŒá Ạáá±ážááá¯á·áá²á·áááºá
ááá±á¬ááºáᬠááœááºááá¯ážááºááᯠá¡áá¯á¶ážááŒá¯á áááºááẠáá¯ááºááŸááºáá¬ážáá±á¬ áá±áá¬ááᯠáá¯ááºááŸááºááŒá®áž sniffer áááºážááŒá
áºáá»á¬ážáá«ááŸááá±á¬ áááºážáá»ááºážáá
áºáá¯ááᯠááá°ááá¯ááºáááºá
á¡á
á±á¬ááá¯ááºáž MageCart ááá¯ááºááá¯ááºááŸá¯áá»á¬ážááŸáá·áº áá»áááºáááºááŸá¯
ááá¯ážáá°áá¬ážáá±á¬áá±áá¬áá»á¬ážá
á¯áá±á¬ááºážááẠáá¶áá«ážáá±á«ááºá¡ááŒá
Ạá¡ááœá²á·ááŸá¡áá¯á¶ážááŒá¯áá±á¬ ááá¯ááááºážáá»á¬ážáá²á០áá
áºáá¯ááᯠááœá²ááŒááºážá
áááºááŒá¬ááŒáá·áºáá±á¬á¡áá«á á€ááá¯ááááºážááẠá¡ááŒáœá±ážáááºáááºááá¯ážáá°ááŸá¯á¡ááœáẠá¡ááŒá±áá¶á¡áá±á¬ááºá¡áŠáá
áºáá¯á¡ááŒá
ẠGroup 1 ááŸá¡áá¯á¶ážááŒá¯áá±á¬ áááá¡á¯ááºá
á¯áá»á¬ážáá²á០áá
áºáá¯ááŸáá·áº áááºáá°áááºááᯠááœá±á·ááŸáááá«áááºá
CoffeMokko sniffers áá¡áááºááŸááºááœáẠááá¯ááºááŸá áºáá¯ááᯠááœá±á·ááŸááá²á·áááº-
- mage.js â ááááºááááºá á¬áá«ááŸááá±á¬ Group 1 sniffer code áá«áááºááá·áºááá¯áẠjs-cdn.link
- mag.php â sniffer ááŸááá¯ážáá°áá¬ážáá±á¬á¡áá»ááºá¡áááºáá»á¬ážááá¯á á¯áá±á¬ááºážáááºá¡ááœááºáá¬áááºááŸááá±á¬ PHP script
mage.js ááá¯ááºá á¡ááŒá±á¬ááºážá¡áá¬áá»á¬áž
CoffeMokko áááá¬ážá
á¯á sniffers áá±á¬ááºááœááºááŸá¡áá¯á¶ážááŒá¯áá±á¬ á¡á
á±á¬áá¯á¶ážááá¯ááááºážáá»á¬ážááᯠáá±á 17 áááºá 2017 ááœáẠááŸááºáá¯á¶áááºáá¬ážááŒá±á¬ááºážáááºáž áá¯á¶ážááŒááºáá¬ážáá«áááºá
- link-js[.]ááá·áº
- info-js[.]ááá·áºááº
- track-js[.]ááá·áºááº
- map-js[.]ááá·áºááº
- smart-js[.]ááá·áºááº
á€ááá¯ááááºážá¡áááºáá»á¬ážá áá±á¬áºáááºááẠ1 ááá¯ááºááá¯ááºááŸá¯áá»á¬ážááœáẠá¡áá¯á¶ážááŒá¯áá²á·ááá·áº Group 2016 ááá¯ááááºážá¡áááºáá»á¬ážááŸáá·áº ááá¯ááºáá®áá«áááºá
ááŸá¬ááœá±ááœá±á·ááŸááá²á·ááá·áº á¡áá»ááºá¡áááºáá»á¬ážá¡áá±á«áº á¡ááŒá±áá¶á CoffeMokko sniffers ááŸáá·áº áá¬ááááºááŸá¯á¡á¯ááºá ᯠ1 á¡ááŒá¬áž áááºá ááºááŸá¯ááŸááá±áááºáᯠáá°áááá¯ááºáá«áááºá CoffeMokko á¡á±á¬áºááá±áá¬áá»á¬ážááẠáááºáá»á¬ážááá¯ááá¯ážáá°ááẠáááºážááá¯á·áááááºáá°áá»á¬ážáá¶á០áááááá¬áá»á¬ážááŸáá·áº áá±á¬á·ááºáá²ááºáá»á¬ážááᯠááŸá¬ážáááºážáá¬ážááá¯ááºáááºáᯠáá°áááááºá ááá¯á·áá±á¬áºá CoffeMokko áááá¬ážá ᯠsniffers á¡áá¯á¶ážááŒá¯ááŸá¯áá±á¬ááºááœááºá០áá¬ááááºááá¯ááºážáá»á¬ážááẠá¡á¯ááºá ᯠ1 ááá¯ááºááá¯ááºááŸá¯ááᯠáá¯ááºáá±á¬ááºáá²á·ááá·áº áá°áá®áá°áá»á¬ážáᬠááŒá áºááá¯ááºáá»á±ááŸááááºá áá¬ááááºááá¯ááºážá ááŸá¯ááºááŸá¬ážááŸá¯áá»á¬ážááŸáá·áº áááºáááºá áááá¡ááŒááẠá¡á á®áááºáá¶á ᬠáá¯ááºááŒááºááŒá®ážáá±á¬ááºá áááºážááá¯á·á ááá¯ááááºážá¡áááºáá»á¬ážá¡á¬ážáá¯á¶ážááᯠááááºááá¯á·áá¬ážááŒá®áž áááááá¬áá»á¬ážááᯠá¡áá±ážá áááºáá±á·áá¬ááŒá®áž áá±á¬áºááŒáá²á·áááºá á¡ááœá²á·ááẠáááºážáááá¯ááºááá¯ááºááŸá¯áá»á¬ážááᯠáááºáááºáá¯ááºáá±á¬ááºáááºááŸáá·áº áááœá±á·ááá¯ááºá á±áááºá¡ááœáẠáááºážáá¡ááœááºážááá¯ááºážáááááá¬áá»á¬ážááᯠááŒááºáááºááŒááºáááºáááºááŸáá·áº sniffer áá¯ááºááᯠááŒááºáááºáá±ážáá¬ážááẠáá±áá¹áá¡áá¬ážáá°ááá¯ááºážáá²á·áááºá
á¡ááŒá±áá¶á¡áá±á¬ááºá¡á¥á®áá»á¬áž
ÐПЌеМ | ááŸá¬ááœá±ááœá±á·ááŸáááŸá¯/áááºááŸá¬ážááá·áºáááºá áœá² |
---|---|
link-js.link | 17.05.2017 |
info-js.link | 17.05.2017 |
track-js.link | 17.05.2017 |
map-js.link | 17.05.2017 |
smart-js.link | 17.05.2017 |
adorebeauty.org | 03.09.2017 |
áá¯á¶ááŒá¯á¶áá±áž-payment.su | 03.09.2017 |
braincdn.org | 04.09.2017 |
sagecdn.org | 04.09.2017 |
slickjs.org | 04.09.2017 |
oakandfort.org | 10.09.2017 |
citywlnery.org | 15.09.2017 |
dobell.su | 04.10.2017 |
Childrensplayclothing.org | 31.10.2017 |
jewsondirect.com | 05.11.2017 |
shop-rnib.org | 15.11.2017 |
closetlondon.org | 16.11.2017 |
misshaus.org | 28.11.2017 |
áááºááá®-force.org | 01.12.2017 |
kik-vape.org | 01.12.2017 |
greatfurnituretradingco.org | 02.12.2017 |
etradesupply.org | 04.12.2017 |
replacemyremote.org | 04.12.2017 |
all-about-sneakers.org | 05.12.2017 |
mage-checkout.org | 05.12.2017 |
nililotan.org | 07.12.2017 |
lamoodbighat.net | 08.12.2017 |
walletgear.org | 10.12.2017 |
dahlie.org | 12.12.2017 |
davidsfootwear.org | 20.12.2017 |
blackriverimaging.org | 23.12.2017 |
exrpesso.org | 02.01.2018 |
parks.su | 09.01.2018 |
pmtonline.su | 12.01.2018 |
otocap.org | 15.01.2018 |
christohperward.org | 27.01.2018 |
coffetea.org | 31.01.2018 |
energycoffe.org | 31.01.2018 |
energytea.org | 31.01.2018 |
teacoffe.net | 31.01.2018 |
adaptivecss.org | 01.03.2018 |
coffemokko.com | 01.03.2018 |
londontea.net | 01.03.2018 |
ukcoffe.com | 01.03.2018 |
labbe.biz | 20.03.2018 |
batterynart.com | 03.04.2018 |
btosports.net | 09.04.2018 |
chicksaddlery.net | 16.04.2018 |
paypaypay.org | 11.05.2018 |
ar500arnor.com | 26.05.2018 |
authorizecdn.com | 28.05.2018 |
slickmin.com | 28.05.2018 |
bannerbuzz.info | 03.06.2018 |
kandypens.net | 08.06.2018 |
mylrendyphone.com | 15.06.2018 |
freshchat.info | 01.07.2018 |
3lift.org | 02.07.2018 |
abtasty.net | 02.07.2018 |
mechat.info | 02.07.2018 |
zoplm.com | 02.07.2018 |
zapaljs.com | 02.09.2018 |
foodandcot.com | 15.09.2018 |
freshdepor.com | 15.09.2018 |
swappastore.com | 15.09.2018 |
verywellfitnesse.com | 15.09.2018 |
elegrina.com | 18.11.2018 |
majsurplus.com | 19.11.2018 |
top5value.com | 19.11.2018 |
source: www.habr.com