زموږ څخه نږدې هر یو د آنلاین پلورنځیو خدمات کاروي ، پدې معنی چې ژر یا وروسته موږ د جاواسکریپټ سنیفرونو قرباني کیدو خطر پرمخ وړو - یو ځانګړی کوډ چې برید کونکي د بانک کارت ډیټا ، پته ، کارن نومونه او پاسورډونه غلا کولو لپاره ویب پا inې ته داخلوي. .
د برتانیا د هوایی چلند ویب پا andې او ګرځنده ایپ نږدې 400 کارونکي لا دمخه د سنیفرز لخوا اغیزمن شوي ، په بیله بیا د برتانیا سپورت لوی FILA ویب پا andې او د متحده ایالاتو ټیکټ توزیع کونکي ټیکټ ماسټر ته لیدونکي. PayPal، Chase Paymenttech، USAePay، Moneris - دا او د تادیاتو ډیری نور سیسټمونه اخته شوي.
د ګواښ استخباراتو ګروپ-IB شنونکی ویکتور اوکوروکوف په دې اړه خبرې کوي چې څنګه سنیففران د ویب پاڼې کوډ ته نفوذ کوي او د تادیاتو معلومات غلا کوي، او همدارنګه په کوم CRM باندې برید کوي.
"پټ ګواښ"
دا داسې پیښ شوي چې د اوږدې مودې لپاره JS-sniffers د ویروس ضد شنونکو له نظره پاتې وو، او بانکونه او د تادیې سیسټمونه دوی ته د جدي ګواښ په توګه نه ګوري. او بالکل بې ځایه. د ګروپ-IB متخصصین 2440 اخته شوي آنلاین پلورنځي ، چې لیدونکي یې - په ورځ کې شاوخوا 1,5 ملیون خلک - د جوړجاړي له خطر سره مخ وو. د قربانیانو په منځ کې نه یوازې کاروونکي، بلکې آنلاین پلورنځي، د تادیې سیسټمونه او بانکونه هم شامل دي چې جوړ شوي کارتونه یې صادر کړي.
Group-IB د سنفیفرانو د تیاره بازار لومړنۍ مطالعه شوه، د دوی زیربنا او د پیسو مینځلو لارو، د دوی جوړونکي ملیونونه ډالر راوړي. موږ 38 sniffer کورنۍ پیژندلي، چې یوازې 12 یې پخوا څیړونکو ته پیژندل شوي.
راځئ چې د مطالعې په جریان کې د زنګ وهونکو څلورو کورنیو په اړه په تفصیل سره خبرې وکړو.
د کورنۍ عکس العمل
د ReactGet کورنۍ سنیفرز د آنلاین پیرود سایټونو کې د بانک کارت ډیټا غلا کولو لپاره کارول کیږي. سنیفر کولی شي په سایټ کې کارول شوي د ډیری مختلف تادیاتو سیسټمونو سره کار وکړي: د یو پیرامیټر ارزښت د تادیې سیسټم سره مطابقت لري ، او د سنیفر انفرادي کشف شوي نسخې د اعتبار غلا کولو لپاره کارول کیدی شي ، او همدارنګه د بانک کارت ډیټا غلا کولو لپاره. په یو وخت کې د څو تادیاتو سیسټمونو د تادیې فورمې، لکه د یونیورسل سنیفیر په نوم. دا وموندل شوه چې په ځینو مواردو کې، برید کونکي د سایټ اداري پینل ته د لاسرسي لپاره د آنلاین پلورنځي مدیرانو باندې فشینګ بریدونه ترسره کوي.
د سنفیفرانو د دې کورنۍ په کارولو کمپاین د 2017 په می کې پیل شو. د CMS او پلیټ فارمونو میګینټو، Bigcommerce، Shopify پر سایټونو برید وشو.
څنګه ReactGet د آنلاین پلورنځي کوډ کې ځای په ځای شوی
د لینک په واسطه د "کلاسیک" سکریپټ انجیکشن سربیره، د ReactGet کورنۍ سنیفر آپریټرونه یو ځانګړی تخنیک کاروي: د جاواسکریپټ کوډ په کارولو سره، دا ګوري چې ایا اوسنی پته چیرې چې کاروونکي موقعیت لري ځینې معیارونه پوره کوي. ناوړه کوډ به یوازې هغه وخت چلیږي چې اوسنی URL یو فرعي سټینګ ولري بشپړ ی وګوره او یا یو ګام وګورئ, یوه پاڼه/, out/onepag, چیک آوټ/یو, ckout/یو. په دې توګه، د سنفیفر کوډ به دقیقا هغه وخت اجرا شي کله چې کاروونکي د پیرود لپاره تادیه کوي او په سایټ کې فورمه کې د تادیې معلومات داخلوي.
دا سنیفیر غیر معیاري تخنیک کاروي. د قرباني تادیه او شخصي معلومات یوځای راټول شوي، په کارولو سره کوډ شوي اساس 64، او بیا پایله لرونکی تار د پیرامیټر په توګه کارول کیږي ترڅو ناوړه سایټ ته غوښتنه واستوي. ډیری وختونه، دروازې ته لاره د جاواسکریپټ فایل نقل کوي، د بیلګې په توګه resp.js, data.js او داسې نور، مګر د عکس فایلونو لینکونه هم کارول کیږي، GIF и JPG. ځانګړتیا دا ده چې سنیفیر د 1 x 1 پکسل اندازې سره یو عکس اعتراض رامینځته کوي او دمخه ترلاسه شوي لینک د پیرامیټر په توګه کاروي. سرچینه انځورونه. دا دی، د کارونکي لپاره، په ټرافیک کې دا ډول غوښتنه به د منظم انځور لپاره د غوښتنې په څیر ښکاري. ورته تخنیک د امیج ID په کورنۍ کې د سنیفرونو کارول شوی و. برسېره پردې، د 1x1 پکسل عکس تخنیک په ډیری قانوني آنلاین تحلیل سکریپټونو کې کارول کیږي، کوم چې کولی شي کاروونکي ګمراه کړي.
نسخه تحلیل
د فعالو ډومینونو تحلیل چې د ReactGet سنیفیر آپریټرانو لخوا کارول کیږي د سنفیفرانو د دې کورنۍ ډیری مختلف نسخې په ګوته کړي. نسخې د خنډ شتون یا نشتوالي کې توپیر لري، او سربیره پردې، هر سنیففر د ځانګړي تادیې سیسټم لپاره ډیزاین شوی چې د آنلاین پلورنځیو لپاره د بانک کارت تادیات پروسس کوي. د نسخې شمیرې سره په مطابقت کې د پیرامیټر ارزښت له لارې ترتیب کولو وروسته ، د ګروپ-IB متخصصینو د موجود سنیفیر تغیراتو بشپړ لیست ترلاسه کړ ، او د فارم ساحو نومونو سره چې هر سنیففر د پاڼې کوډ کې ګوري ، دوی د تادیې سیسټمونه مشخص کړل. چې سنفر په نښه کوي.
د سنیفیرانو لیست او د دوی اړوند تادیاتو سیسټمونه
| Sniffer URL | د تادیاتو سیسټم |
|---|---|
| اختيار ورکړئ | |
| کارتوس | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| eWAY چټک | |
| اختيار ورکړئ | |
| اډین | |
| USAePay | |
| اختيار ورکړئ | |
| USAePay | |
| اختيار ورکړئ | |
| مونریس | |
| USAePay | |
| PayPal | |
| سیج تادیه | |
| تاييد | |
| PayPal | |
| پټه | |
| ریالیکس | |
| PayPal | |
| LinkPoint | |
| PayPal | |
| PayPal | |
| ډیټاکیش | |
| PayPal | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| تاييد | |
| اختيار ورکړئ | |
| مونریس | |
| سیج تادیه | |
| USAePay | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| ANZ eGate | |
| اختيار ورکړئ | |
| مونریس | |
| سیج تادیه | |
| سیج تادیه | |
| پیامینټچ تعقیب کړئ | |
| اختيار ورکړئ | |
| اډین | |
| PsiGate | |
| سایبر سرچینه | |
| ANZ eGate | |
| ریالیکس | |
| USAePay | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| ریالیکس | |
| سیج تادیه | |
| PayPal | |
| تاييد | |
| اختيار ورکړئ | |
| تاييد | |
| اختيار ورکړئ | |
| ANZ eGate | |
| PayPal | |
| سایبر سرچینه | |
| اختيار ورکړئ | |
| سیج تادیه | |
| ریالیکس | |
| سایبر سرچینه | |
| PayPal | |
| PayPal | |
| PayPal | |
| تاييد | |
| eWAY چټک | |
| سیج تادیه | |
| سیج تادیه | |
| تاييد | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| لومړی ډیټا نړیوال ګیټ وے | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| مونریس | |
| اختيار ورکړئ | |
| PayPal | |
| تاييد | |
| USAePay | |
| USAePay | |
| اختيار ورکړئ | |
| تاييد | |
| PayPal | |
| اختيار ورکړئ | |
| پټه | |
| اختيار ورکړئ | |
| eWAY چټک | |
| سیج تادیه | |
| اختيار ورکړئ | |
| برینټری | |
| برینټری | |
| PayPal | |
| سیج تادیه | |
| سیج تادیه | |
| اختيار ورکړئ | |
| PayPal | |
| اختيار ورکړئ | |
| تاييد | |
| PayPal | |
| اختيار ورکړئ | |
| پټه | |
| اختيار ورکړئ | |
| eWAY چټک | |
| سیج تادیه | |
| اختيار ورکړئ | |
| برینټری | |
| PayPal | |
| سیج تادیه | |
| سیج تادیه | |
| اختيار ورکړئ | |
| PayPal | |
| اختيار ورکړئ | |
| تاييد | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| سیج تادیه | |
| سیج تادیه | |
| Westpac PayWay | |
| تادیه | |
| PayPal | |
| اختيار ورکړئ | |
| پټه | |
| لومړی ډیټا نړیوال ګیټ وے | |
| PsiGate | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| مونریس | |
| اختيار ورکړئ | |
| سیج تادیه | |
| تاييد | |
| مونریس | |
| PayPal | |
| LinkPoint | |
| Westpac PayWay | |
| اختيار ورکړئ | |
| مونریس | |
| PayPal | |
| اډین | |
| PayPal | |
| اختيار ورکړئ | |
| USAePay | |
| EBizCharge | |
| اختيار ورکړئ | |
| تاييد | |
| تاييد | |
| اختيار ورکړئ | |
| PayPal | |
| مونریس | |
| اختيار ورکړئ | |
| PayPal | |
| PayPal | |
| Westpac PayWay | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| سیج تادیه | |
| تاييد | |
| اختيار ورکړئ | |
| PayPal | |
| تادیه | |
| سایبر سرچینه | |
| د PayPal Payflow Pro | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| تاييد | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| سیج تادیه | |
| اختيار ورکړئ | |
| پټه | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| تاييد | |
| PayPal | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| سیج تادیه | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| PayPal | |
| کلک | |
| PayPal | |
| سیج تادیه | |
| تاييد | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| پټه | |
| غوړ زیبرا | |
| سیج تادیه | |
| اختيار ورکړئ | |
| لومړی ډیټا نړیوال ګیټ وے | |
| اختيار ورکړئ | |
| eWAY چټک | |
| اډین | |
| PayPal | |
| د QuickBooks مرچینټ خدمتونه | |
| تاييد | |
| سیج تادیه | |
| تاييد | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| سیج تادیه | |
| اختيار ورکړئ | |
| eWAY چټک | |
| اختيار ورکړئ | |
| ANZ eGate | |
| PayPal | |
| سایبر سرچینه | |
| اختيار ورکړئ | |
| سیج تادیه | |
| ریالیکس | |
| سایبر سرچینه | |
| PayPal | |
| PayPal | |
| PayPal | |
| تاييد | |
| eWAY چټک | |
| سیج تادیه | |
| سیج تادیه | |
| تاييد | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| لومړی ډیټا نړیوال ګیټ وے | |
| اختيار ورکړئ | |
| اختيار ورکړئ | |
| مونریس | |
| اختيار ورکړئ | |
| PayPal |
پټنوم sniffer
د جاواسکریپټ سنیفرونو یوه ګټه چې د ویب پا toې په پیرودونکي اړخ کې کار کوي د هغې استقامت دی: په ویب پا onه کې ځای پرځای شوي ناوړه کوډ کولی شي هر ډول ډیټا غلا کړي ، دا د تادیې معلومات یا د کارونکي حساب څخه ننوتل او پاسورډ وي. د ګروپ-IB متخصصینو د ReactGet کورنۍ پورې اړوند د سنفیفر یوه نمونه کشف کړه چې د سایټ کاروونکو بریښنالیک پتې او پاسورډونه غلا کولو لپاره ډیزاین شوي.
د ImageID sniffer سره تقاطع
د یو اخته پلورنځي تحلیل په جریان کې ، دا وموندل شوه چې د دې ویب پا toه دوه ځله اخته شوې وه: د ReactGet کورنۍ سنیفر ناوړه کوډ سربیره ، د ImageID کورنۍ سنیفر کوډ وموندل شو. دا اوورلیپ کیدی شي شواهد وي چې د دواړو سنیفیرونو کارولو شاته چلونکي د ناوړه کوډ انجیکشن لپاره ورته تخنیکونه کاروي.
یونیورسل sniffer
د ReactGet sniffer زیربنا پورې اړوند د ډومین نومونو څخه د یوې تحلیل په جریان کې، دا وموندل شوه چې ورته کاروونکي درې نور ډومین نومونه ثبت کړي. دا درې ډومینونه د حقیقي ژوند سایټونو ډومینونو تقلید کوي او دمخه د سنفیفرانو کوربه کولو لپاره کارول شوي. کله چې د دریو مشروع سایټونو کوډ تحلیل کول، یو نامعلوم سنیففر وموندل شو، او نور تحلیل وښودله چې دا د ReactGet sniffer یوه ښه نسخه ده. د سنیفرانو د دې کورنۍ ټولې پخوانۍ تعقیب شوي نسخې په یو واحد تادیه سیسټم کې په نښه شوې وې، دا د هر تادیې سیسټم لپاره د سنیفر ځانګړي نسخه ته اړتیا وه. په هرصورت، پدې حالت کې، د سنیفر یوه نړیواله نسخه وموندل شوه، د آنلاین تادیاتو لپاره د 15 مختلف تادیاتو سیسټمونو او د ای کامرس سایټونو ماډلونو پورې اړوند فورمو څخه د معلوماتو غلا کولو توان لري.
نو، د کار په پیل کې، سنیفیر د لومړني فارم ساحو پلټنه وکړه چې د قرباني شخصي معلومات لري: بشپړ نوم، فزیکي پته، د تلیفون شمیره.
سنیففر بیا د آنلاین تادیاتو لپاره د مختلف تادیاتو سیسټمونو او ماډلونو سره مطابقت لرونکي 15 مختلف مختګونه وپلټل.
بیا، د قرباني شخصي معلومات او د تادیې معلومات یوځای راټول شوي او د برید کونکي لخوا کنټرول شوي سایټ ته لیږل شوي: پدې ځانګړې قضیه کې، د ReactGet یونیورسل سنیفر دوه نسخې موندل شوي چې په دوه مختلف هیک شوي سایټونو کې موقعیت لري. په هرصورت، دواړه نسخې غلا شوي ډاټا ورته هیک شوي سایټ ته لیږلي. zoobashop.com.
د هغه مختګونو تحلیل چې د سنیفیر لخوا کارول کیږي ترڅو ساحې ومومي چې د قرباني د تادیې معلومات پکې شامل دي دا معلومه کړه چې د سنیفیر نمونې لاندې تادیې سیسټمونه په نښه کړي:
- اختيار ورکړئ
- تاييد
- لومړی معلومات
- USAePay
- پټه
- PayPal
- ANZ eGate
- برینټری
- ډیټا کیش (ماسټر کارډ)
- Realex تادیات
- PsiGate
- د زړه د تادیې سیسټمونه
د تادیاتو معلوماتو غلا کولو لپاره کوم وسایل کارول کیږي
لومړی وسیله چې د برید کونکو د زیربنا د تحلیل په جریان کې وموندل شوه د بانکي کارتونو غلا کولو لپاره مسؤل ناوړه سکریپټونه پټوي. د پروژې د CLI په کارولو سره د بش سکریپټ د برید کونکي په کوربه کې وموندل شو. د سنیفر کوډ د مبهم کولو اتومات کولو لپاره.
دوهم کشف شوی وسیله ډیزاین شوی ترڅو کوډ رامینځته کړي چې د اصلي سنیفیر بار کولو مسؤلیت لري. دا وسیله د جاواسکریپټ کوډ رامینځته کوي چې دا ګوري چې ایا کارن د چیک آوټ پا pageې کې دی د تارونو لپاره د کارونکي اوسني پته لټون کولو سره بشپړ ی وګوره, کراچۍ او داسې نور، او که پایله مثبته وي، نو کوډ د مداخله کونکي سرور څخه اصلي سنیفیر باروي. د ناوړه فعالیت پټولو لپاره، ټولې لینونه، په شمول د تادیې پاڼې ټاکلو لپاره د ازموینې لینونه، او همدارنګه د سنیفر لپاره لینک، په کارولو سره کوډ شوي دي. اساس 64.
فشینګ بریدونه
د برید کونکو د شبکې زیربنا د تحلیل په جریان کې ، دا وموندل شوه چې جرمي ډله اکثرا د هدف آنلاین پلورنځي اداري پینل ته د لاسرسي لپاره فشینګ کاروي. برید کونکي یو ډومین راجستر کوي چې د پلورنځي ډومین په څیر ښکاري او بیا په هغې کې د جعلي میګینټو ایڈمن لاګ ان فارم ځای په ځای کوي. که بریالي وي، برید کونکي به د میګینټو CMS اډمین پینل ته لاسرسی ومومي، کوم چې دوی ته د دې وړتیا ورکوي چې د سایټ اجزاو ایډیټ کړي او د کریډیټ کارت ډیټا غلا کولو لپاره سنفر پلي کړي.
زیربنا
| دنده | د کشف/څرګندیدو نیټه |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagtracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trusttracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
د G-Analytics کورنۍ
د سنفیفرانو دا کورنۍ د آنلاین پلورنځیو څخه د پیرودونکو کارتونو غلا کولو لپاره کارول کیږي. د ګروپ لخوا کارول شوی لومړنی ډومین نوم د اپریل په 2016 کې ثبت شوی و، چې کیدای شي د 2016 په نیمایي کې د ګروپ فعالیت پیل په ګوته کړي.
په اوسني کمپاین کې، ګروپ د ډومین نومونه کاروي چې د حقیقي ژوند خدمتونه لکه د Google Analytics او jQuery نقل کوي، د مشروع سکریپټونو او مشروع ډومین نومونو سره د سنفیفر فعالیت ماسک کول. د CMS میګینټو لاندې ویب سایټونه برید شوي.
د G-Analytics څنګه د آنلاین پلورنځي کوډ کې پلي کیږي
د دې کورنۍ یو ځانګړی ځانګړتیا د کاروونکو د تادیاتو معلوماتو غلا کولو لپاره د مختلفو میتودونو کارول دي. د سایټ د پیرودونکي اړخ ته د کلاسیک جاواسکریپټ انجیکشن سربیره ، جرمي ډلې د سایټ سرور اړخ ته د کوډ انجیکشن کولو تخنیک هم کارولی ، د بیلګې په توګه د PHP سکریپټ چې د کارونکي ان پټ پروسس کوي. دا تخنیک خطرناک دی ځکه چې دا د دریمې ډلې څیړونکو لپاره د ناوړه کوډ کشف کول ستونزمن کوي. د ګروپ-IB متخصصینو د سایټ په پی ایچ پی کوډ کې د ډومین په توګه د دروازې په توګه کارول، د سنیفر یوه نسخه کشف کړه dittm.org.
د سنفیفر لومړنۍ نسخه هم وموندل شوه چې د غلا شوي معلوماتو راټولولو لپاره ورته ډومین کاروي. dittm.org، مګر دا نسخه دمخه د آنلاین پلورنځي پیرودونکي اړخ کې نصبولو لپاره ټاکل شوې.
وروسته، دې ډلې خپل تاکتیکونه بدل کړل او د ناوړه فعالیتونو پټولو او پټولو ته یې ډیر پام پیل کړ.
د 2017 په پیل کې، ډلې د ډومین کارول پیل کړل jquery-js.comد jQuery لپاره د CDN په توګه نقاب کول: کارونکي یو مشروع سایټ ته لیږل کیږي کله چې ناوړه سایټ ته ځي jquery.com.
او د 2018 په مینځ کې، ډلې د ډومین نوم غوره کړ g-analytics.com او د مشروع Google Analytics خدمت په توګه د سنیفر فعالیت پټول پیل کړل.
نسخه تحلیل
د ډومینونو د تحلیل په جریان کې چې د سنیفر کوډ ذخیره کولو لپاره کارول کیږي ، دا وموندل شوه چې سایټ ډیری نسخې لري چې د مغشوشیت په شتون کې توپیر لري ، په بیله بیا د لاسرسي وړ کوډ شتون یا نشتوالي فایل ته د پام اړولو لپاره اضافه شوي. او ناوړه کوډ پټ کړئ.
په سایټ کې ټول jquery-js.com د sniffers شپږ نسخې پیژندل شوي. دا سنفیرونه غلا شوي معلومات هغه پته ته لیږي چې په ورته سایټ کې د سنیفیر په څیر موقعیت لري: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
وروسته ډومین g-analytics.com، چې د 2018 له نیمایي راهیسې د دې ډلې لخوا په بریدونو کې کارول کیږي ، د نورو سنفیرانو لپاره د ذخیره په توګه کار کوي. په مجموع کې، د سنیفیر 16 مختلف نسخې کشف شوې. په دې حالت کې، د غلا شوي معلوماتو لیږلو دروازه د شکل د عکس لپاره د لینک په توګه پټه شوې وه GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
د غلا شوي معلوماتو پیسو مینځل
جنایتکاره ډله په ځانګړي ډول د ځمکې لاندې جوړ شوي پلورنځي له لارې د کارتونو په پلورلو سره غلا شوي معلومات مني چې کارت اخیستونکو ته خدمات وړاندې کوي. د برید کونکو لخوا کارول شوي ډومینونو تحلیل دا ممکنه کړې چې دا معلومه کړي google-analytics.cm د ډومین په څیر د ورته کارونکي لخوا راجستر شوی cardz.vc. ډومین cardz.vc د کارډ سرفس (Flysurfs) ته اشاره کوي، یو پلورنځی چې غلا شوي بانک کارتونه پلوري، کوم چې د الفا بی د ځمکې لاندې بازار کې د یو پلورنځي په توګه شهرت ترلاسه کړ چې د بانک کارتونو پلورل د سنیفر په کارولو سره غلا شوي.
د ډومین تحلیل analytical.is، په ورته سرور کې موقعیت لري چې د غلا شوي معلوماتو راټولولو لپاره د سنیففرانو لخوا کارول شوي ډومینونه ، د ګروپ-IB متخصصینو یوه فایل وموندل چې د کوکي غلا کونکي لاګونه لري ، کوم چې داسې بریښي چې وروسته د پراختیا کونکي لخوا پریښودل شوی و. په لاګ کې د ننوتلو څخه یو ډومین درلود iozoz.com، کوم چې دمخه په 2016 کې په فعاله سنیفیرونو کې کارول شوی و. په احتمال سره، دا ډومین مخکې د برید کونکي لخوا کارول شوی و ترڅو د سنیفیر په کارولو سره غلا شوي کارتونه راټول کړي. دا ډومین په بریښنالیک کې راجستر شوی [ایمیل خوندي شوی]، کوم چې د ډومینونو راجستر کولو لپاره هم کارول کیده cardz.su и cardz.vcد Cardsurfs کارتین پلورنځي پورې اړه لري.
د ترلاسه شویو معلوماتو پراساس، داسې انګیرل کیدی شي چې د G-Analytics sniffer کورنۍ او د ځمکې لاندې کارډسرف بانک کارت پلورنځی د ورته خلکو لخوا پرمخ وړل کیږي، او پلورنځي د سنیفر په کارولو سره د غلا شوي بانک کارتونو پلورلو لپاره کارول کیږي.
زیربنا
| دنده | د کشف/څرګندیدو نیټه |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| analytic.to | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| analytical.is | 28.12.2018 |
| googlelc-analytics.cm | 17.01.2019 |
د الیوم کورنۍ
Illum د سنیفیرانو کورنۍ ده چې د میګینټو CMS چلولو آنلاین پلورنځیو برید کولو لپاره کارول کیږي. د ناوړه کوډ معرفي کولو سربیره، د دې سنیفر چلونکي د بشپړ جعلي تادیاتو فورمو معرفي کول هم کاروي چې د برید کونکو لخوا کنټرول شوي دروازو ته معلومات لیږي.
کله چې د دې سنیفر چلونکو لخوا کارول شوي د شبکې زیربنا تحلیل کول ، لوی شمیر ناوړه سکریپټونه ، استحصال ، د تادیې جعلي فورمې یادونه شوې ، او همدارنګه د ناوړه سنیفیر سیالانو سره د مثالونو ټولګه. د ګروپ لخوا کارول شوي د ډومین نومونو د څرګندیدو نیټې په اړه د معلوماتو پراساس، داسې انګیرل کیدی شي چې د کمپاین پیل د 2016 په پای کې راځي.
Illum څنګه د آنلاین پلورنځي کوډ کې پلي کیږي
د سنیفر لومړنۍ کشف شوي نسخې په مستقیم ډول د جوړ شوي سایټ په کوډ کې ځای پرځای شوي. غلا شوي ډاټا ته لیږل شوي cdn.illum[.]pw/records.php، دروازه په کارولو سره کوډ شوې وه اساس 64.
وروسته، د سنیفیر یوه بسته شوې نسخه د مختلف دروازې په کارولو سره کشف شوه - records.nstatistics[.]com/records.php.
د ویلیم دی ګروټ، ورته کوربه په سنیفر کې کارول شوی و چې پلي شوی و د آلمان د سیاسي ګوند CSU ملکیت دی.
د برید سایټ تحلیل
د ګروپ-IB متخصصینو هغه سایټ کشف او تحلیل کړ چې د دې جرمي ډلې لخوا د وسایلو ذخیره کولو او غلا شوي معلوماتو راټولولو لپاره کارول کیږي.
د برید کونکي سرور کې موندل شوي وسیلو په مینځ کې په لینکس OS کې د امتیازاتو د زیاتوالي لپاره سکریپټونه او استحصال وموندل شول: د مثال په توګه ، د لینکس پریویلج ایسکلیشن چیک سکریپټ ، د مایک کازومک لخوا رامینځته شوی ، او همدارنګه د CVE-2009-1185 لپاره استحصال.
برید کوونکو په مستقیم ډول د آنلاین پلورنځیو د برید لپاره دوه ګټې کارولې: د ناوړه کوډ داخلولو توان لري core_config_data د CVE-2016-4010 په کارولو سره، د میګینټو CMS پلگ انونو کې د RCE زیان منونکي ګټه پورته کوي، د خپل سري کوډ اجازه ورکوي چې په زیان منونکي ویب سرور کې اجرا شي.
همدارنګه، د سرور د تحلیل په جریان کې، د سنفیرونو او جعلي تادیاتو فورمو بیلابیل نمونې وموندل شوې، چې د برید کونکو لخوا د هیک شوي سایټونو څخه د تادیاتو معلوماتو راټولولو لپاره کارول کیږي. لکه څنګه چې تاسو د لاندې لیست څخه لیدلی شئ، ځینې سکریپټونه په انفرادي توګه د هر هیک شوي سایټ لپاره جوړ شوي، پداسې حال کې چې یو نړیوال حل د ځینې CMS او تادیاتو دروازې لپاره کارول کیده. د مثال په توګه، سکریپټونه segapay_standard.js и segapay_onpage.js ډیزاین شوی چې د سیج تادیې تادیې دروازې په کارولو سایټونو کې ځای په ځای شي.
د مختلفو تادیاتو دروازو لپاره د سکریپټونو لیست
| سکریپټ | د تادیاتو دروازه |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdirenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standard.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standard.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_forminsite.js | //تادیه اوس[.]tk/؟تادیه= |
کوربه تادیه اوس[.]tk، په سکریپټ کې د دروازې په توګه کارول کیږي payment_forminsite.js، په توګه کشف شو موضوع AltName د CloudFlare خدمت پورې اړوند ډیری سندونو کې. برسېره پردې، سکریپټ په کوربه کې موقعیت درلود evil.js. د سکریپټ په نوم قضاوت کول، دا کیدای شي د CVE-2016-4010 څخه د ګټې اخیستنې د یوې برخې په توګه وکارول شي، له دې امله دا ممکنه ده چې د میګینټو CMS چلولو سایټ فوټر ته ناوړه کوډ داخل کړئ. دا سکریپټ کوربه د دروازې په توګه کارولی request.requestnet[.]tkد کوربه په څیر ورته سند په کارولو سره تادیه اوس[.]tk.
د تادیې جعلي فورمې
لاندې انځور د کارت معلوماتو ته د ننوتلو لپاره د فورمې یوه بیلګه ښیي. دا فورمه د آنلاین پلورنځي ویب پاڼې ته د ننوتلو او د کارت ډیټا غلا کولو لپاره کارول شوې وه.
لاندې شمیره د جعلي PayPal تادیې فارم یوه بیلګه ده چې د برید کونکو لخوا د دې تادیې میتود په کارولو سره سایټونو ته د نفوذ لپاره کارول کیده.
زیربنا
| دنده | د کشف/څرګندیدو نیټه |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| request.payrightnow.cf | 25/05/2018 |
| paynow.tk | 16/07/2017 |
| payment-line.tk | 01/03/2018 |
| paypal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
د کافي موکو کورنۍ
د کافي موکو د سنیفرز کورنۍ د آنلاین پلورنځي کاروونکو بانک کارتونو غلا کولو لپاره ډیزاین شوې لږترلږه د می 2017 راهیسې کارول شوې. په احتمال سره، د سنیفیرانو د دې کورنۍ چلونکي د ګروپ 1 جرمي ډله ده، چې په 2016 کې د RiskIQ کارپوهانو لخوا تشریح شوي. د CMS چلولو ویب پاڼې لکه میګینټو، OpenCart، WordPress، osCommerce، Shopify برید شوي.
څنګه CoffeMokko د آنلاین پلورنځي کوډ کې ځای په ځای شوی
د دې کورنۍ چلونکي د هر انفیکشن لپاره ځانګړي سنیفیرونه رامینځته کوي: د سنیفر فایل په لارښود کې موقعیت لري سرچینه او یا js د برید کوونکي په سرور کې. د سایټ کوډ کې پلي کول د سنیفر سره د مستقیم لینک لخوا ترسره کیږي.
د سنیفر کوډ د فارم ساحو نومونه هارډ کوډ کوي له کوم څخه چې تاسو غواړئ ډیټا غلا کړئ. سنیففر دا هم ګوري چې ایا کارن د کارونکي اوسني پته پروړاندې د کلیدي کلمو لیست په چک کولو سره د چیک آوټ پا pageه کې دی.
د سنیفر ځینې کشف شوي نسخې ګډوډ شوي او یو کوډ شوی تار لري چې د سرچینو اصلي لړۍ یې ساتلې: پدې کې د مختلف تادیاتو سیسټمونو لپاره د فارم ساحو نومونه شامل دي ، او همدارنګه د دروازې پته چې غلا شوي معلومات باید واستول شي.
د غلا شوي تادیې معلومات د لارې په اوږدو کې د برید کونکي سرور کې سکریپټ ته لیږل شوي. /savePayment/index.php یا /tr/index.php. په احتمال سره، دا سکریپټ د دروازې څخه اصلي سرور ته د معلوماتو لیږلو لپاره کارول کیږي، کوم چې د ټولو سنیفیرانو څخه ډاټا راټولوي. د لیږد شوي معلوماتو پټولو لپاره، د قربانیانو د تادیې ټول معلومات په کارولو سره کوډ شوي اساس 64، او بیا د کرکټر څو بدیلونه پیښیږي:
- کرکټر "e" د ":" سره بدل شوی
- سمبول "w" د "+" سره بدل شوی
- حرف "o" د "%" سره بدل شوی
- کرکټر "d" د "#" سره بدل شوی
- کرکټر "a" د "-" سره بدل شوی
- سمبول "7" د "^" لخوا بدل شوی
- حرف "h" د "_" سره بدل شوی
- د "T" سمبول د "@" سره بدل شوی
- کرکټر "0" د "/" سره بدل شوی
- کرکټر "Y" د "*" سره بدل شوی
د کوډ شوي کرکټر بدیلونو په پایله کې اساس 64 ډاټا نشي کولی پرته له معکوس بدلون څخه ډیکوډ شي.
دا څنګه د سنیفر کوډ یوه ټوټه چې مبهم نه وي داسې ښکاري:
د زیربنا تحلیل
په لومړیو کمپاینونو کې، برید کوونکو د ډومین نومونه د قانوني آنلاین پیرود سایټونو سره ورته ثبت کړل. د دوی ډومین ممکن د یو کریکټر یا بل TLD لخوا د مشروع یو څخه توپیر ولري. راجستر شوي ډومینونه د سنیفر کوډ ذخیره کولو لپاره کارول شوي، هغه لینک چې د پلورنځي کوډ کې ځای پرځای شوی و.
دې ډلې د ډومین نومونه هم کارولي چې د مشهور jQuery پلگ انونو یادونه کوي (slickjs[.]org د پلگ ان کارولو سایټونو لپاره slick.jsد تادیاتو دروازې (sagecdn[.]org د سایټونو لپاره چې د Sage Pay تادیې سیسټم کاروي).
وروسته، ډلې د ډومینونو په جوړولو پیل وکړ چې نوم یې د پلورنځي ډومین یا د پلورنځي موضوع سره هیڅ تړاو نه درلود.
هر ډومین د هغه سایټ سره مطابقت لري په کوم کې چې لارښود جوړ شوی و /js او یا / src. په دې لارښود کې د سنیفر سکریپټونه زیرمه شوي: د هر نوي انفیکشن لپاره یو سنیففر. سنیفر د مستقیم لینک له لارې د سایټ کوډ ته معرفي شوی و، مګر په نادره مواردو کې، برید کونکو د سایټ یو فایل بدل کړ او ناوړه کوډ یې اضافه کړ.
د کوډ تحلیل
لومړی خنډ الګوریتم
د دې کورنۍ په ځینو نمونو کې، کوډ پټ شوی و او کوډ شوي معلومات پکې شامل وو چې د سنیفر کار کولو لپاره اړین دي: په ځانګړې توګه، د سنیفر د دروازې پته، د تادیې فورمو ساحو لیست، او په ځینو مواردو کې، د تادیې جعلي کوډ. د فنکشن دننه کوډ کې، سرچینې سره کوډ شوي XOR د کیلي لخوا چې ورته فنکشن ته د دلیل په توګه لیږدول شوی.
د اړونده کیلي سره د تار په کوډ کولو سره، د هرې نمونې لپاره ځانګړی، تاسو کولی شئ یو تار ترلاسه کړئ چې د سنفیفر کوډ څخه ټولې کرښې لري د ډیلیمیټر کریکٹر لخوا جلا شوي.
دوهم خنډ الګوریتم
د sniffers د دې کورنۍ په وروستیو نمونو کې، یو مختلف خنډ میکانیزم کارول شوی و: پدې حالت کې، ډاټا د ځان لیکل شوي الګوریتم په کارولو سره کوډ شوي. یو تار چې کوډ شوی ډیټا لري د کار کولو لپاره د سنیفر لپاره اړین دی د ډیکریپشن فعالیت ته د دلیل په توګه لیږدول شوی.
د براوزر کنسول په کارولو سره ، تاسو کولی شئ کوډ شوي ډاټا کوډ کړئ او یو سري ترلاسه کړئ چې د سنیفیر سرچینې لري.
د میګ کارټ لومړني بریدونو سره اړیکه
د یوې ډومینونو په تحلیل کې چې د ګروپ لخوا د غلا شوي معلوماتو راټولولو لپاره د دروازې په توګه کارول کیږي، دا وموندل شوه چې د کریډیټ کارتونو غلا کولو زیربنا په دې ډومین کې ځای پر ځای شوې وه، ورته ورته ورته د ګروپ 1 لخوا کارول کیږي، یو له لومړیو ډلو څخه، د RiskIQ متخصصین.
د CoffeMokko sniffer کورنۍ په کوربه کې دوه فایلونه وموندل شول:
- mage.js - فایل چې د ګروپ 1 سنیفر کوډ لري د دروازې پته سره js-cdn.link
- mag.php - د پی ایچ پی سکریپټ د سنیفر لخوا غلا شوي ډیټا راټولولو مسؤلیت لري
د mage.js دوتنې منځپانګې
دا هم معلومه شوه چې د کوفی موکو سنیفر کورنۍ تر شا د ډلې لخوا کارول شوي لومړني ډومینونه د می په 17، 2017 کې ثبت شوي:
- link-js[.]link
- info-js[.]link
- track-js[.]link
- نقشه-js[.] لینک
- smart-js[.]link
د دې ډومین نومونو بڼه د ګروپ 1 ډومین نومونو سره ورته ده چې د 2016 په بریدونو کې کارول شوي.
د کشف شوي حقایقو پراساس، داسې انګیرل کیدی شي چې د CoffeMokko sniffer آپریټرانو او د ګروپ 1 جرمي ډلې ترمنځ اړیکه شتون لري. احتمال لري، د CoffeMokko آپریټرانو ممکن د خپلو مخکینیو څخه کارتونو غلا کولو لپاره وسایل او سافټویر پور اخیستی وي. په هرصورت، ډیر احتمال شتون لري چې د کوفی موکو د کورنۍ سنفیرونو څخه د کار اخیستو تر شا هغه جنایتکاره ډله وي چې د ګروپ 1 د فعالیتونو د یوې برخې په توګه یې بریدونه ترسره کړي دي. د ډومین نومونه بند شوي، او وسایل په تفصیل سره مطالعه شوي او تشریح شوي. ډله مجبوره شوه چې یو وقفه واخلي، خپل داخلي وسایل ښه کړي او د سنفیفر کوډ بیا لیکي ترڅو خپلو بریدونو ته دوام ورکړي او د پام وړ پاتې شي.
زیربنا
| دنده | د کشف/څرګندیدو نیټه |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| security-payment.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| Childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parks.su | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffetea.org | 31.01.2018 |
| energycoffe.org | 31.01.2018 |
| energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| authorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitness.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
سرچینه: www.habr.com