تقريبن سڀ اسان آن لائين اسٽورن جون خدمتون استعمال ڪندا آهيون، جنهن جو مطلب آهي ته جلد يا بعد ۾ اسان جاوا اسڪرپٽ سنيفرز جو شڪار ٿيڻ جو خطرو هلائيندا آهيون - خاص ڪوڊ جيڪو حملو ڪندڙ ويب سائيٽ تي لاڳو ڪن ٿا بينڪ ڪارڊ ڊيٽا، ايڊريس، لاگ ان ۽ صارفين جا پاسورڊ چوري ڪرڻ لاءِ. .
برٽش ايئر ويز جي ويب سائيٽ ۽ موبائل ايپليڪيشن جا لڳ ڀڳ 400 استعمال ڪندڙ اڳ ۾ ئي سنيفرز کان متاثر ٿي چڪا آهن، انهي سان گڏ اسپورٽس وشال FILA جي برطانوي ويب سائيٽ ۽ آمريڪي ٽڪيٽ ورهائيندڙ ٽڪيٽ ماسٽر جا دورو ڪندڙ. PayPal, Chase Paymenttech, USAePay, Moneris - اهي ۽ ٻيا ڪيترائي ادائگي جا نظام متاثر ٿيا.
Threat Intelligence Group-IB جو تجزيه نگار وڪٽر اوڪوروڪوف ڳالهائي ٿو ته ڪيئن سنيفرز ويب سائيٽ جي ڪوڊ ۾ داخل ٿي ۽ ادائگي جي معلومات کي چوري ڪن ٿا، انهي سان گڏ اهي ڪهڙيون CRM تي حملو ڪن ٿا.
"لڪيل خطرو"
اهو ائين ٿيو آهي ته هڪ ڊگهي وقت تائين جي ايس سنيفرز اينٽي وائرس تجزيه نگارن جي نظر کان ٻاهر رهي، ۽ بينڪن ۽ ادائگي جي نظام انهن کي هڪ سنگين خطري جي طور تي نه ڏٺو. ۽ بلڪل بيڪار. گروپ-IB ماهر 2440 متاثر ٿيل آن لائن اسٽور، جن جا سياح - مجموعي طور تي تقريباً 1,5 ملين ماڻهو هر روز - سمجھوتي جي خطري ۾ هئا. متاثرين ۾ نه رڳو استعمال ڪندڙ آهن، پر آن لائن اسٽور، ادائگي جي نظام ۽ بينڪ پڻ جيڪي سمجھوتي ڪارڊ جاري ڪيا آهن.
گروپ-آءِ بي سنيفرز، انهن جي انفراسٽرڪچر ۽ منيٽائيزيشن جي طريقن لاءِ ڊارڪ نيٽ مارڪيٽ جو پهريون مطالعو بڻجي ويو، جيڪو انهن جي تخليق ڪندڙن کي لکين ڊالر کڻي ٿو. اسان سنيفرن جي 38 خاندانن جي نشاندهي ڪئي، جن مان صرف 12 اڳ ۾ ئي محققن کي ڄاڻن ٿا.
اچو ته تفصيل سان غور ڪريون انهن چئن خاندانن تي جن جو اڀياس دوران اڀياس ڪيو ويو.
ReactGet Family
ReactGet خاندان جا سنيفر استعمال ڪيا ويندا آهن آن لائن شاپنگ سائيٽن تي بئنڪ ڪارڊ ڊيٽا چوري ڪرڻ لاءِ. سنيفر سائيٽ تي استعمال ٿيندڙ مختلف ادائگي جي سسٽم جي وڏي تعداد سان ڪم ڪري سگھي ٿو: ھڪڙي پيٽرولر جي قيمت ھڪڙي ادائگي جي سسٽم سان ملندڙ آھي، ۽ سنيفر جي انفرادي معلوم ٿيل ورزن کي استعمال ڪري سگھجن ٿا اسناد چوري ڪرڻ لاء، ۽ گڏوگڏ ادائيگي کان بينڪ ڪارڊ ڊيٽا چوري ڪرڻ لاء. هڪ ئي وقت ۾ ڪيترن ئي ادائگي جي نظام جا فارم، جهڙوڪ نام نهاد عالمگير سنيفر. اهو معلوم ٿيو ته ڪجهه ڪيسن ۾، حملي ڪندڙ آن لائن اسٽور جي منتظمين تي فشنگ حملا ڪن ٿا ته جيئن سائيٽ جي انتظامي پينل تائين رسائي حاصل ڪري سگهجي.
سنيفرز جي هن خاندان کي استعمال ڪندي هڪ مهم مئي 2017 ۾ شروع ٿي؛ CMS ۽ Magento، Bigcommerce، ۽ Shopify پليٽ فارمن تي هلندڙ سائيٽن تي حملو ڪيو ويو.
ڪيئن ReactGet هڪ آن لائن اسٽور جي ڪوڊ ۾ لاڳو ڪيو ويو آهي
هڪ لنڪ ذريعي اسڪرپٽ جي ”ڪلاسڪ“ لاڳو ڪرڻ کان علاوه، ريڪٽ گيٽ فيملي آف سنيفرز جا آپريٽرس هڪ خاص ٽيڪنڪ استعمال ڪندا آهن: جاوا اسڪرپٽ ڪوڊ استعمال ڪندي، اهي چيڪ ڪندا آهن ته ڇا موجوده پتو جتي صارف موجود آهي ڪجهه معيارن تي پورو لهي ٿو. بدسلوڪي ڪوڊ صرف ان صورت ۾ عمل ڪيو ويندو جڏهن موجوده URL ۾ ذيلي اسٽرينگ موجود آهي چيڪ آئوٽ ڪريو يا هڪ قدم چيڪ آئوٽ, هڪ صفحو/, ٻاهر/ون پيگ, چيڪ آئوٽ/هڪ, ڪڪر/هڪ. اهڙيء طرح، سنيفر ڪوڊ ان وقت تي عمل ڪيو ويندو جڏهن صارف خريداري جي ادائيگي لاء اڳتي وڌندو ۽ سائيٽ تي فارم ۾ ادائيگي جي معلومات داخل ڪندو.
هي سنيفر هڪ غير معياري ٽيڪنڪ استعمال ڪري ٿو. مقتول جي ادائيگي ۽ ذاتي ڊيٽا گڏ ڪيا ويا آهن ۽ استعمال ڪندي انڪوڊ ٿيل آهن بنيادي 64، ۽ پوءِ نتيجو وارو اسٽرنگ استعمال ڪيو ويندو آھي پيٽرولر جي طور تي حملي ڪندڙن جي ويب سائيٽ تي درخواست موڪلڻ لاءِ. گهڻو ڪري، دروازي ڏانهن رستو هڪ جاوا اسڪرپٽ فائل کي نقل ڪري ٿو، مثال طور resp.js, data.js وغيره، پر تصويري فائلن جا لنڪ پڻ استعمال ڪيا ويندا آهن، GIF и جي پي پي. خاص ڳالهه اها آهي ته سنيفر 1 بائي 1 پکسل جي ماپ واري تصويري شئي ٺاهي ٿو ۽ اڳ ۾ مليل لنڪ کي پيراميٽر طور استعمال ڪري ٿو. src تصويرون. اهو آهي، صارف لاء ٽرئفڪ ۾ اهڙي درخواست هڪ عام تصوير جي درخواست وانگر نظر ايندي. ساڳي ٽيڪنڪ استعمال ڪئي وئي تصوير آئي ڊي خاندان جي سنيفرز ۾. اضافي طور تي، 1 بائي 1 پکسل تصوير استعمال ڪرڻ جي ٽيڪنڪ ڪيترن ئي جائز آن لائين تجزياتي اسڪرپٽ ۾ استعمال ڪئي وئي آهي، جيڪا پڻ صارف کي گمراهه ڪري سگهي ٿي.
نسخي جو تجزيو
ReactGet سنيفر آپريٽرز پاران استعمال ڪيل فعال ڊومينز جو تجزيو، سنيفرن جي هن خاندان جا ڪيترائي مختلف نسخا ظاهر ڪيا. نسخن جي موجودگي يا غير موجودگي ۾ اختلاف آهن، ۽ ان کان علاوه، هر سنيفر هڪ مخصوص ادائگي جي سسٽم لاء ٺهيل آهي جيڪو آن لائن اسٽورن لاء بينڪ ڪارڊ جي ادائيگي کي پروسيس ڪري ٿو. ورزن نمبر سان ملندڙ پيراميٽر جي قدر جي ترتيب سان ترتيب ڏيڻ سان، گروپ-آءِ بي جي ماهرن کي دستياب سنيفر جي مختلف قسمن جي مڪمل فهرست ملي ٿي، ۽ فارم جي نالن جي نالن سان جيڪي هر سنيفر صفحي جي ڪوڊ ۾ ڳولي ٿو، انهن ادائگي جي نظام جي نشاندهي ڪئي. جنهن جو مقصد آهي sniffer.
سنيفرن جي فهرست ۽ انهن سان لاڳاپيل ادائگي جي نظام
| سنيفر URL | ادائگي جو نظام |
|---|---|
| Authorize.Net | |
| ڪارڊ محفوظ ڪرڻ | |
| Authorize.Net | |
| Authorize.Net | |
| eWAY تيز | |
| Authorize.Net | |
| ايڊين | |
| يو ايس پي پائي | |
| Authorize.Net | |
| يو ايس پي پائي | |
| Authorize.Net | |
| مونيرس | |
| يو ايس پي پائي | |
| PayPal | |
| سائين ادا | |
| تصديق ڪيو | |
| PayPal | |
| پٽي | |
| ريليڪس | |
| PayPal | |
| لنڪ پوائنٽ | |
| PayPal | |
| PayPal | |
| ڊيٽا ڪيش | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| تصديق ڪيو | |
| Authorize.Net | |
| مونيرس | |
| سائين ادا | |
| يو ايس پي پائي | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| Authorize.Net | |
| مونيرس | |
| سائين ادا | |
| سائين ادا | |
| چيس پيڪيج | |
| Authorize.Net | |
| ايڊين | |
| PsiGate | |
| سائبر ذريعو | |
| ANZ eGate | |
| ريليڪس | |
| يو ايس پي پائي | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| ريليڪس | |
| سائين ادا | |
| PayPal | |
| تصديق ڪيو | |
| Authorize.Net | |
| تصديق ڪيو | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| سائبر ذريعو | |
| Authorize.Net | |
| سائين ادا | |
| ريليڪس | |
| سائبر ذريعو | |
| PayPal | |
| PayPal | |
| PayPal | |
| تصديق ڪيو | |
| eWAY تيز | |
| سائين ادا | |
| سائين ادا | |
| تصديق ڪيو | |
| Authorize.Net | |
| Authorize.Net | |
| پهريون ڊيٽا گلوبل گيٽ وي | |
| Authorize.Net | |
| Authorize.Net | |
| مونيرس | |
| Authorize.Net | |
| PayPal | |
| تصديق ڪيو | |
| يو ايس پي پائي | |
| يو ايس پي پائي | |
| Authorize.Net | |
| تصديق ڪيو | |
| PayPal | |
| Authorize.Net | |
| پٽي | |
| Authorize.Net | |
| eWAY تيز | |
| سائين ادا | |
| Authorize.Net | |
| Braintree | |
| Braintree | |
| PayPal | |
| سائين ادا | |
| سائين ادا | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| تصديق ڪيو | |
| PayPal | |
| Authorize.Net | |
| پٽي | |
| Authorize.Net | |
| eWAY تيز | |
| سائين ادا | |
| Authorize.Net | |
| Braintree | |
| PayPal | |
| سائين ادا | |
| سائين ادا | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| تصديق ڪيو | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| سائين ادا | |
| سائين ادا | |
| Westpac PayWay | |
| ادا فورٽ | |
| PayPal | |
| Authorize.Net | |
| پٽي | |
| پهريون ڊيٽا گلوبل گيٽ وي | |
| PsiGate | |
| Authorize.Net | |
| Authorize.Net | |
| مونيرس | |
| Authorize.Net | |
| سائين ادا | |
| تصديق ڪيو | |
| مونيرس | |
| PayPal | |
| لنڪ پوائنٽ | |
| Westpac PayWay | |
| Authorize.Net | |
| مونيرس | |
| PayPal | |
| ايڊين | |
| PayPal | |
| Authorize.Net | |
| يو ايس پي پائي | |
| EBizCharge | |
| Authorize.Net | |
| تصديق ڪيو | |
| تصديق ڪيو | |
| Authorize.Net | |
| PayPal | |
| مونيرس | |
| Authorize.Net | |
| PayPal | |
| PayPal | |
| Westpac PayWay | |
| Authorize.Net | |
| Authorize.Net | |
| سائين ادا | |
| تصديق ڪيو | |
| Authorize.Net | |
| PayPal | |
| ادا فورٽ | |
| سائبر ذريعو | |
| PayPal Payflow Pro | |
| Authorize.Net | |
| Authorize.Net | |
| تصديق ڪيو | |
| Authorize.Net | |
| Authorize.Net | |
| سائين ادا | |
| Authorize.Net | |
| پٽي | |
| Authorize.Net | |
| Authorize.Net | |
| تصديق ڪيو | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| سائين ادا | |
| Authorize.Net | |
| Authorize.Net | |
| PayPal | |
| چقمقي | |
| PayPal | |
| سائين ادا | |
| تصديق ڪيو | |
| Authorize.Net | |
| Authorize.Net | |
| پٽي | |
| ٿلهو زيبرا | |
| سائين ادا | |
| Authorize.Net | |
| پهريون ڊيٽا گلوبل گيٽ وي | |
| Authorize.Net | |
| eWAY تيز | |
| ايڊين | |
| PayPal | |
| QuickBooks مرچنٽ خدمتون | |
| تصديق ڪيو | |
| سائين ادا | |
| تصديق ڪيو | |
| Authorize.Net | |
| Authorize.Net | |
| سائين ادا | |
| Authorize.Net | |
| eWAY تيز | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| سائبر ذريعو | |
| Authorize.Net | |
| سائين ادا | |
| ريليڪس | |
| سائبر ذريعو | |
| PayPal | |
| PayPal | |
| PayPal | |
| تصديق ڪيو | |
| eWAY تيز | |
| سائين ادا | |
| سائين ادا | |
| تصديق ڪيو | |
| Authorize.Net | |
| Authorize.Net | |
| پهريون ڊيٽا گلوبل گيٽ وي | |
| Authorize.Net | |
| Authorize.Net | |
| مونيرس | |
| Authorize.Net | |
| PayPal |
پاسورڊ سنيفر
جاوا اسڪرپٽ سنيفرز جو هڪ فائدو جيڪو سائيٽ جي ڪلائنٽ پاسي تي ڪم ڪري رهيو آهي انهن جي استحڪام آهي: سائيٽ تي شامل ڪيل بدسلوڪي ڪوڊ ڪنهن به قسم جي ڊيٽا کي چوري ڪري سگهي ٿو، اهو ادائگي جي ڊيٽا هجي يا صارف کاتي جو لاگ ان ۽ پاسورڊ. گروپ-آءِ بي جي ماهرن هڪ سنيفر جو نمونو دريافت ڪيو جيڪو ReactGet خاندان سان تعلق رکي ٿو، جيڪو سائيٽ جي استعمال ڪندڙن جا اي ميل ايڊريس ۽ پاسورڊ چوري ڪرڻ لاءِ ٺهيل آهي.
ImageID سنيفر سان چوڪ
هڪ متاثر ٿيل اسٽورن جي تجزيي دوران، اهو معلوم ٿيو ته ان جي ويب سائيٽ ٻه ڀيرا متاثر ٿي وئي هئي: ReactGet خانداني سنيفر جي بدسلوڪي ڪوڊ کان علاوه، ImageID خانداني سنيفر جو ڪوڊ معلوم ڪيو ويو. هي اوورليپ ثبوت ٿي سگهي ٿو ته ٻنهي سنيفرن جي پويان آپريٽرز بدسلوڪي ڪوڊ کي انجڻ ڪرڻ لاءِ ساڳي ٽيڪنالاجي استعمال ڪن ٿا.
يونيورسل سنيفر
ReactGet سنيفر انفراسٽرڪچر سان لاڳاپيل ڊومين نالن مان هڪ جو تجزيو ظاهر ڪيو ويو آهي ته ساڳيو صارف ٽي ٻيا ڊومين نالا رجسٽرڊ ڪيا هئا. اهي ٽي ڊومينز حقيقي زندگي جي ويب سائيٽن جي ڊومينز جي تقليد ڪئي ۽ اڳ ۾ سنيفرز کي ميزباني ڪرڻ لاءِ استعمال ڪيا ويا. جڏهن ٽن جائز سائيٽن جي ڪوڊ جو تجزيو ڪيو، هڪ اڻڄاتل سنيفر معلوم ڪيو ويو، ۽ وڌيڪ تجزيو ظاهر ڪيو ته اهو ReactGet سنيفر جو هڪ بهتر نسخو هو. سنيفرز جي هن خاندان جا سڀ اڳي مانيٽر ٿيل ورجن جو مقصد هڪ واحد ادائگي جي سسٽم تي هوندو هو، يعني هر ادائگي جي سسٽم کي سنيفر جي هڪ خاص ورزن جي ضرورت هوندي هئي. بهرحال، هن معاملي ۾، سنيفر جو هڪ عالمگير نسخو دريافت ڪيو ويو جيڪو 15 مختلف ادائگي جي سسٽم ۽ اي ڪامرس سائيٽن جي ماڊلز سان لاڳاپيل فارمن مان معلومات چوري ڪرڻ جي قابل آهي آن لائن ادائيگي ڪرڻ لاء.
تنهن ڪري، ڪم جي شروعات ۾، سنيفر بنيادي فارم جي فيلڊ جي ڳولا ڪئي جنهن ۾ مقتول جي ذاتي معلومات شامل آهي: پورو نالو، جسماني پتو، فون نمبر.
ان کان پوءِ سنيفر 15 کان وڌيڪ مختلف اڳياڙين جي ڳولا ڪئي جيڪي مختلف ادائگي جي نظام ۽ آن لائن ادائيگي جي ماڊلز سان لاڳاپيل آهن.
اڳيون، مقتول جي ذاتي ڊيٽا ۽ ادائگي جي معلومات گڏ ڪئي وئي ۽ هڪ سائيٽ ڏانهن موڪليو ويو جيڪو حملي ڪندڙ طرفان ڪنٽرول ڪيو ويو آهي: هن خاص صورت ۾، عالمگير ReactGet سنيفر جا ٻه نسخا دريافت ڪيا ويا، ٻن مختلف هيڪ ٿيل سائيٽن تي واقع. بهرحال، ٻنهي نسخن چوري ٿيل ڊيٽا کي ساڳي هيڪ ٿيل سائيٽ ڏانهن موڪليو zoobashop.com.
اڳڪٿين جو تجزيو جيڪي سنيفر پاران استعمال ڪيا ويا فيلڊ ڳولڻ لاءِ جن ۾ مقتول جي ادائگي جي معلومات شامل آهي اسان کي اهو طئي ڪرڻ جي اجازت ڏني وئي ته هن سنيفر نموني جو مقصد هيٺين ادائيگي واري نظام تي هو:
- Authorize.Net
- تصديق ڪيو
- پهريون ڊيٽا
- يو ايس پي پائي
- پٽي
- PayPal
- ANZ eGate
- Braintree
- ڊيٽا ڪيش (ماسٽر ڪارڊ)
- Realex ادائگي
- PsiGate
- Heartland ادائگي نظام
ادائگي جي معلومات چوري ڪرڻ لاءِ ڪهڙا اوزار استعمال ڪيا ويندا آهن؟
پهريون اوزار، حملي ڪندڙن جي انفراسٽرڪچر جي تجزيي دوران دريافت ڪيو ويو، بينڪ ڪارڊ جي چوري لاء ذميوار بدسلوڪي لکت کي ڦهلائڻ لاء استعمال ڪيو ويو آهي. پروجيڪٽ جي CLI استعمال ڪندي هڪ بش اسڪرپٽ دريافت ڪئي وئي هڪ حملي آور جي ميزبان تي سنيفر ڪوڊ جي مبهم کي خودڪار ڪرڻ لاء.
ٻيو دريافت ڪيل اوزار بنيادي سنيفر لوڊ ڪرڻ لاء ذميوار ڪوڊ پيدا ڪرڻ لاء ٺهيل آهي. هي اوزار جاوا اسڪرپٽ ڪوڊ ٺاهي ٿو جيڪو چيڪ ڪري ٿو ته ڇا صارف ادائگي واري صفحي تي آهي صارف جي موجوده ايڊريس کي ڳولهڻ سان. چيڪ آئوٽ ڪريو, گاڏو وغيره، ۽ جيڪڏهن نتيجو مثبت آهي، ته ڪوڊ حملو ڪندڙ سرور کان مکيه سنيفر لوڊ ڪري ٿو. بدنيتي واري سرگرمي کي لڪائڻ لاءِ، ادائگي واري صفحي کي طئي ڪرڻ لاءِ ٽيسٽ لائين سميت سڀئي لائينون، ۽ گڏوگڏ سنيفر جي لنڪ، استعمال ڪندي انڪوڊ ٿيل آهن. بنيادي 64.
فشنگ حملا
حملي ڪندڙن جي نيٽ ورڪ انفراسٽرڪچر جو هڪ تجزيو ظاهر ڪيو ويو آهي ته ڏوهاري گروهه اڪثر ڪري فشنگ کي استعمال ڪري ٿو حدف آن لائن اسٽور جي انتظامي پينل تائين رسائي حاصل ڪرڻ لاءِ. حملو ڪندڙ هڪ ڊومين کي رجسٽر ڪندا آهن جيڪو بصري طور تي هڪ اسٽور جي ڊومين سان ملندو آهي، ۽ پوء ان تي جعلي Magento انتظامي پينل لاگ ان فارم کي ترتيب ڏيو. جيڪڏهن ڪامياب ٿيو، حملو ڪندڙ مئگينٽو سي ايم ايس جي انتظامي پينل تائين رسائي حاصل ڪندا، جيڪو انهن کي ويب سائيٽ جي اجزاء کي ايڊٽ ڪرڻ ۽ ڪريڊٽ ڪارڊ ڊيٽا چوري ڪرڻ لاءِ سنيفر لاڳو ڪرڻ جو موقعو ڏئي ٿو.
انفراسٹرڪچر
| Домен | دريافت / ظاهر ٿيڻ جي تاريخ |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagstracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trust-tracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geissie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
G-Analytics خاندان
سنيفرز جو هي خاندان آن لائن اسٽورن مان ڪسٽمر ڪارڊ چوري ڪرڻ لاءِ استعمال ٿيندو آهي. گروپ پاران استعمال ٿيل پهريون ڊومين نالو اپريل 2016 ۾ رجسٽر ٿيو، جنهن مان ظاهر ٿئي ٿو ته گروپ 2016 جي وچ ۾ سرگرمي شروع ڪئي.
موجوده مهم ۾، گروپ ڊومين جا نالا استعمال ڪري ٿو جيڪي حقيقي زندگي جي خدمتن جي نقل ڪن ٿا، جهڙوڪ Google Analytics ۽ jQuery، جائز اسڪرپٽ ۽ ڊومين نالن سان سنيفرز جي سرگرمي کي ڇڪيندا آهن جيڪي جائز آهن. Magento CMS هلائيندڙ سائيٽن تي حملو ڪيو ويو.
ڪيئن G-Analytics هڪ آن لائن اسٽور جي ڪوڊ ۾ لاڳو ٿئي ٿو
هن خاندان جي هڪ خاص خصوصيت صارف جي ادائيگي جي معلومات چوري ڪرڻ لاء مختلف طريقن جو استعمال آهي. سائيٽ جي ڪلائنٽ سائڊ ۾ جاوا اسڪرپٽ ڪوڊ جي کلاسک انجيڪشن کان علاوه، ڏوھاري گروپ پڻ استعمال ڪيو ڪوڊ انجيڪشن ٽيڪنڪس سائيٽ جي سرور سائڊ ۾، يعني PHP اسڪرپٽ جيڪي صارف جي داخل ڪيل ڊيٽا کي پروسيس ڪن ٿيون. هي ٽيڪنڪ خطرناڪ آهي ڇو ته اها ٽئين پارٽي جي محققن لاءِ خراب ڪوڊ ڳولڻ ڏکيو بڻائي ٿي. گروپ-آئي بي جي ماهرن سائيٽ جي پي ايڇ پي ڪوڊ ۾ شامل ٿيل سنيفر جو نسخو دريافت ڪيو، ڊومين کي دروازي جي طور تي استعمال ڪندي dittm.org.
هڪ سنيفر جو هڪ ابتدائي نسخو پڻ دريافت ڪيو ويو جيڪو چوري ٿيل ڊيٽا گڏ ڪرڻ لاءِ ساڳيو ڊومين استعمال ڪري ٿو dittm.org، پر هي نسخو هڪ آن لائن اسٽور جي ڪلائنٽ پاسي تي انسٽاليشن لاءِ آهي.
گروپ بعد ۾ پنهنجي حڪمت عملي کي تبديل ڪيو ۽ وڌيڪ ڌيان ڏيڻ شروع ڪيو بدسلوڪي سرگرمي ۽ ڇنڊڇاڻ کي لڪائڻ تي.
2017 جي شروعات ۾، گروپ ڊومين استعمال ڪرڻ شروع ڪيو jquery-js.com, jQuery لاءِ CDN جي طور تي نقاب پوش: جڏهن حملو ڪندڙن جي سائيٽ تي وڃي، استعمال ڪندڙ کي هڪ جائز سائيٽ ڏانهن ريڊائريڪٽ ڪيو ويندو jquery.com.
۽ 2018 جي وچ ۾، گروپ ڊومين جو نالو اختيار ڪيو g-analytics.com ۽ سنيفر جي سرگرمين کي هڪ جائز گوگل تجزياتي خدمت طور لڪائڻ شروع ڪيو.
نسخي جو تجزيو
سنيفر ڪوڊ کي ذخيرو ڪرڻ لاءِ استعمال ٿيندڙ ڊومينز جي تجزيي دوران، اهو معلوم ٿيو ته سائيٽ ۾ وڏي تعداد ۾ ورجن موجود آهن، جيڪي مبهم هجڻ جي ڪري مختلف آهن، انهي سان گڏ ڌيان ڇڪائڻ لاءِ فائل ۾ شامل ڪيل ناقابل رسائي ڪوڊ جي موجودگي يا غير موجودگي. ۽ خراب ڪوڊ لڪايو.
سائيٽ تي ڪل jquery-js.com sniffers جا ڇهه نسخا سڃاڻپ ڪيا ويا. اهي سنيفر چوري ٿيل ڊيٽا کي ساڳئي ويب سائيٽ تي موجود ايڊريس تي موڪليندا آهن جيئن سنيفر پاڻ: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
بعد ۾ ڊومين g-analytics.com، گروپ پاران 2018 جي وچ کان حملن ۾ استعمال ڪيو ويو، وڌيڪ سنيفرن لاءِ مخزن جي طور تي ڪم ڪري ٿو. مجموعي طور تي، سنيفر جا 16 مختلف نسخا دريافت ڪيا ويا. انهي صورت ۾، چوري ٿيل ڊيٽا موڪلڻ لاء دروازو تصويري فارميٽ جي لنڪ جي طور تي ظاهر ڪيو ويو آهي GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
چوري ٿيل ڊيٽا جي منيٽائيزيشن
ڏوھاري گروھ چوري ٿيل ڊيٽا کي خاص طور تي ٺاھيل زير زمين اسٽور ذريعي ڪارڊ وڪرو ڪري ٿو جيڪو ڪارڊرز کي خدمتون مهيا ڪري ٿو. حملي ڪندڙن پاران استعمال ڪيل ڊومينز جو تجزيو اسان کي اهو طئي ڪرڻ جي اجازت ڏني google-analytics.cm ڊومين جي طور تي ساڳئي صارف طرفان رجسٽرڊ ڪيو ويو cardz.vc. ڊومين cardz.vc چوري ٿيل بينڪ ڪارڊ وڪڻڻ واري دڪان ڏانهن اشارو ڪري ٿو Cardsurfs (Flysurfs)، جنهن کي مقبوليت حاصل ڪئي ان جي سرگرمين جي ڏينهن ۾ انڊر گرائونڊ تجارتي پليٽ فارم AlphaBay هڪ اسٽور جي طور تي وڪرو ڪندڙ بينڪ ڪارڊ هڪ سنيفر استعمال ڪندي چوري.
ڊومين جو تجزيو analytical.is، ساڳئي سرور تي واقع آهي جيئن ڊومينز استعمال ڪيا ويا سنيفرز پاران چوري ٿيل ڊيٽا گڏ ڪرڻ لاءِ، گروپ-آئي بي ماهرن هڪ فائل دريافت ڪئي جنهن ۾ ڪوڪي چوري ڪندڙ لاگز شامل آهن، جنهن کي ظاهر ٿئي ٿو ته بعد ۾ ڊولپر طرفان ڇڏي ويو آهي. لاگ ۾ داخل ڪيل ھڪڙي ھڪڙي ڊومين تي مشتمل آھي iozoz.com، جيڪو اڳ ۾ 2016 ۾ فعال سنيفرز مان هڪ ۾ استعمال ڪيو ويو. ممڪن طور تي، هي ڊومين اڳ ۾ استعمال ڪيو ويو هڪ حملي ڪندڙ طرفان چوري ٿيل ڪارڊ گڏ ڪرڻ لاء هڪ سنيفر استعمال ڪندي. هي ڊومين هڪ اي ميل ايڊريس تي رجسٽر ٿيو هو [ايميل محفوظ ٿيل]، جيڪو ڊومينز رجسٽر ڪرڻ لاءِ پڻ استعمال ڪيو ويو cardz.su и cardz.vc, ڪارڊ جي دڪان سان لاڳاپيل Cardsurfs.
حاصل ڪيل ڊيٽا جي بنياد تي، اهو فرض ڪري سگهجي ٿو ته سنيفرز جي G-Analytics خاندان ۽ بئنڪ ڪارڊ وڪرو ڪندڙ زير زمين اسٽور Cardsurfs ساڳيا ماڻهن جي طرفان منظم ڪيا ويا آهن، ۽ اسٽور کي سنيفر استعمال ڪندي چوري ٿيل بئنڪ ڪارڊ وڪڻڻ لاء استعمال ڪيو ويندو آهي.
انفراسٹرڪچر
| Домен | دريافت / ظاهر ٿيڻ جي تاريخ |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| تجزياتي.to | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| analytical.is | 28.12.2018 |
| googlc-analytics.cm | 17.01.2019 |
ايلم خاندان
Illum Sniffers جو ھڪڙو خاندان آھي جيڪو Magento CMS تي ھلندڙ آن لائن اسٽورن تي حملو ڪرڻ لاءِ استعمال ٿيندو آھي. بدسلوڪي ڪوڊ متعارف ڪرائڻ کان علاوه، هن سنيفر جا آپريٽرز پڻ استعمال ڪندا آهن مڪمل ٿيل جعلي ادائيگي جا فارم متعارف ڪرائڻ جيڪي ڊيٽا موڪليندا آهن گيٽ تي حملو ڪندڙن جي ڪنٽرول ۾.
جڏهن هن سنيفر جي آپريٽرز پاران استعمال ڪيل نيٽ ورڪ انفراسٽرڪچر جو تجزيو ڪيو ويو، وڏي تعداد ۾ بدسلوڪي اسڪرپٽ، استحصال، جعلي ادائگي جا فارم، ۽ گڏوگڏ مثالن جو هڪ مجموعو مثالن جو هڪ مجموعو جنهن سان مقابلي ڪندڙن کان بدسلوڪي سنيفرز شامل آهن. گروپ پاران استعمال ڪيل ڊومين نالن جي ظاهر ٿيڻ جي تاريخن بابت معلومات جي بنياد تي، اهو فرض ڪري سگهجي ٿو ته مهم 2016 جي آخر ۾ شروع ٿي.
ڪيئن Illum هڪ آن لائن اسٽور جي ڪوڊ ۾ لاڳو ٿئي ٿو
دريافت ڪيل سنيفر جا پھريون نسخا سڌو سنئون ٺھيل سائيٽ جي ڪوڊ ۾ شامل ڪيا ويا. چوري ٿيل ڊيٽا کي موڪليو ويو cdn.illum[.]pw/records.php، دروازي کي استعمال ڪندي انڪوڊ ڪيو ويو بنيادي 64.
بعد ۾، سنيفر جو هڪ پيڪيج ٿيل نسخو دريافت ڪيو ويو جيڪو مختلف دروازو استعمال ڪري ٿو. records.nstatistics[.]com/records.php.
جي مطابق Willem de Groot، ساڳئي ميزبان سنيفر ۾ استعمال ڪيو ويو، جنهن تي عمل ڪيو ويو جرمن سياسي پارٽي CSU جي ملڪيت.
حملي ڪندڙن جي ويب سائيٽ جو تجزيو
گروپ-آئي بي جي ماهرن هڪ ويب سائيٽ دريافت ڪئي ۽ تجزيو ڪيو جيڪو هن ڏوهن واري گروهه پاران استعمال ڪيو ويو اوزار کي ذخيرو ڪرڻ ۽ چوري ٿيل معلومات گڏ ڪرڻ لاءِ.
حملي آورن جي سرور تي مليل اوزارن ۾ لينڪس او ايس ۾ استحقاق وڌائڻ لاءِ اسڪرپٽ ۽ استحصال شامل هئا: مثال طور، لينڪس پرائيليج ايسڪاليشن چيڪ اسڪرپٽ مائڪ ڪيزمڪ پاران تيار ڪيل، انهي سان گڏ CVE-2009-1185 لاءِ استحصال.
حملو ڪندڙ آن لائن اسٽورن تي حملو ڪرڻ لاءِ سڌو سنئون ٻه استحصال استعمال ڪيا: ۾ خراب ڪوڊ داخل ڪرڻ جي قابل core_config_data CVE-2016-4010 جو استحصال ڪندي، CMS Magento لاءِ پلگ ان ۾ RCE جي ڪمزوريءَ جو استحصال ڪري ٿو، هڪ ڪمزور ويب سرور تي صوابديدي ڪوڊ تي عمل ڪرڻ جي اجازت ڏئي ٿو.
انهي سان گڏ، سرور جي تجزيي دوران، سنيفرن جا مختلف نمونا ۽ جعلي ادائيگي جا فارم دريافت ڪيا ويا، حملي ڪندڙن طرفان هيڪ ٿيل سائيٽن کان ادائيگي جي معلومات گڏ ڪرڻ لاء استعمال ڪيو ويو. جيئن توهان هيٺ ڏنل فهرست مان ڏسي سگهو ٿا، ڪجهه اسڪرپٽ هر هيڪ ٿيل سائيٽ لاءِ انفرادي طور تي ٺاهيا ويا هئا، جڏهن ته هڪ آفاقي حل ڪجهه CMS ۽ ادائيگي گيٽ ويز لاءِ استعمال ڪيو ويو هو. مثال طور، اسڪرپٽ segapay_standart.js и segapay_onpage.js سيج پي ادائيگي گيٽ وي استعمال ڪندي سائيٽن تي عمل درآمد لاءِ ٺهيل.
مختلف ادائگي جي گيٽ ويز لاءِ لکت جي فهرست
| اسڪرپٽ | ادائيگي گيٽ وي |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdierenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_forminsite.js | //ادائيگي هاڻي[.]tk/؟ادائيگي = |
ميزبان ادا هاڻي[.]tk، اسڪرپٽ ۾ دروازي طور استعمال ڪيو ويو payment_forminsite.js، جي طور تي دريافت ڪيو ويو مضمون جو نالو CloudFlare سروس سان لاڳاپيل ڪيترن ئي سرٽيفڪيٽن ۾. ان کان سواء، ميزبان هڪ اسڪرپٽ تي مشتمل آهي evil.js. اسڪرپٽ جي نالي سان فيصلو ڪندي، اهو CVE-2016-4010 جي استحصال جي حصي طور استعمال ٿي سگهي ٿو، جنهن جي مهرباني CMS Magento تي هلندڙ سائيٽ جي فوٽر ۾ بدسلوڪي ڪوڊ داخل ڪرڻ ممڪن آهي. ميزبان هن رسم الخط کي دروازي طور استعمال ڪيو request.requestnet[.]tkميزبان جي طور تي ساڳيو سرٽيفڪيٽ استعمال ڪندي ادا هاڻي[.]tk.
جعلي ادائيگي جا فارم
هيٺ ڏنل شڪل ڏيکاري ٿو هڪ فارم جو مثال ڪارڊ ڊيٽا داخل ڪرڻ لاءِ. هي فارم هڪ آن لائن اسٽور کي ڦهلائڻ ۽ ڪارڊ ڊيٽا چوري ڪرڻ لاء استعمال ڪيو ويو.
هيٺ ڏنل انگ اکر ڏيکاري ٿو جعلي PayPal ادائگي جي فارم جو هڪ مثال جيڪو حملي ڪندڙن طرفان استعمال ڪيو ويو هن ادائيگي جي طريقي سان سائيٽن کي ڦهلائڻ لاء.
انفراسٹرڪچر
| Домен | دريافت / ظاهر ٿيڻ جي تاريخ |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| request.payrightnow.cf | 25/05/2018 |
| paymentnow.tk | 16/07/2017 |
| payment-line.tk | 01/03/2018 |
| paypal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
ڪافي موڪو خاندان
سنيفرز جو CoffeMokko خاندان، آن لائن اسٽور استعمال ڪندڙن کان بئنڪ ڪارڊ چوري ڪرڻ لاءِ ٺهيل آهي، گهٽ ۾ گهٽ مئي 2017 کان استعمال ۾ آهي. ممڪن طور تي، سنيفرز جي هن خاندان جا آپريٽرز مجرم گروپ گروپ 1 آهن، جن کي 2016 ۾ RiskIQ ماهرن پاران بيان ڪيو ويو آهي. سي ايم ايس هلائڻ واريون سائيٽون جهڙوڪ Magento، OpenCart، WordPress، osCommerce، ۽ Shopify تي حملو ڪيو ويو.
ڪيئن CoffeMokko هڪ آن لائن اسٽور جي ڪوڊ ۾ لاڳو ٿئي ٿو
هن خاندان جا آپريٽرز هر انفيڪشن لاءِ منفرد سنيفر ٺاهيندا آهن: سنيفر فائل ڊاريڪٽري ۾ موجود آهي src يا js حملي ڪندڙن جي سرور تي. سائيٽ جي ڪوڊ ۾ شامل ٿيڻ کي سنيفر جي سڌي ڪڙي ذريعي ڪيو ويندو آھي.
سنيفر ڪوڊ هارڊ ڪوڊ ڪري ٿو فارم جي نالن جا نالا جن مان ڊيٽا چوري ٿيڻ جي ضرورت آهي. سنيفر پڻ چيڪ ڪري ٿو ته ڇا صارف ادائگي واري صفحي تي آهي صارف جي موجوده ايڊريس سان لفظن جي فهرست کي چيڪ ڪندي.
سنيفر جا ڪجهه دريافت ڪيل ورجن مبهم هئا ۽ هڪ انڪرپٽ ٿيل اسٽرنگ تي مشتمل هو جنهن ۾ وسيلن جي مکيه صف کي محفوظ ڪيو ويو هو: ان ۾ مختلف ادائگي جي سسٽم لاءِ فارم فيلڊز جا نالا، انهي سان گڏ گيٽ ايڊريس جنهن تي چوري ٿيل ڊيٽا موڪلڻ گهرجي.
چوري ٿيل ادائيگي جي معلومات رستي ۾ حملي ڪندڙن جي سرور تي هڪ اسڪرپٽ ڏانهن موڪليو ويو /savePayment/index.php يا /tr/index.php. غالباً، هي اسڪرپٽ استعمال ڪيو ويندو آهي ڊيٽا موڪلڻ لاءِ دروازي کان مکيه سرور ڏانهن، جيڪو سڀني سنيفرن کان ڊيٽا گڏ ڪري ٿو. منتقل ٿيل ڊيٽا کي لڪائڻ لاء، قرباني جي سڀني ادائيگي جي معلومات استعمال ڪندي انڪوڊ ٿيل آهي بنيادي 64، ۽ پوءِ ڪيترائي ڪردار متبادل ٿين ٿا:
- "اي" ڪردار کي ":" سان تبديل ڪيو ويو آهي
- "w" علامت کي "+" سان تبديل ڪيو ويو آهي
- "o" اکر کي "%" سان تبديل ڪيو ويو آهي
- "d" ڪردار کي "#" سان تبديل ڪيو ويو آهي
- ڪردار "a" کي "-" سان تبديل ڪيو ويو آهي
- علامت "7" کي "^" سان تبديل ڪيو ويو آهي
- ڪردار "h" کي "_" سان تبديل ڪيو ويو آهي
- "T" علامت کي "@" سان تبديل ڪيو ويو آهي
- ڪردار "0" کي "/" سان تبديل ڪيو ويو آهي
- "Y" اکر کي "*" سان تبديل ڪيو ويو آهي
ڪردار جي متبادل جي نتيجي ۾ استعمال ڪندي انڪوڊ ٿيل بنيادي 64 ريورس ڪنورشن کي انجام ڏيڻ کان سواءِ ڊيٽا ڊيڪوڊ نه ٿي ڪري سگھجي.
اھو اھو آھي جيڪو سنيفر ڪوڊ جو ھڪڙو ٽڪرو آھي جنھن کي مبهم نه ڪيو ويو آھي جھڙو آھي:
انفراسٹرڪچر تجزيو
شروعاتي مهمن ۾، حملي ڪندڙن ڊومين جا نالا رجسٽرڊ ڪيا جيڪي جائز آنلائن شاپنگ سائيٽن سان ملن ٿا. انهن جي ڊومين جائز هڪ کان هڪ علامت يا ٻي TLD کان مختلف ٿي سگهي ٿي. رجسٽرڊ ڊومينز سنيفر ڪوڊ اسٽور ڪرڻ لاءِ استعمال ڪيا ويا، ھڪڙي لنڪ جنھن کي اسٽور ڪوڊ ۾ شامل ڪيو ويو ھو.
هن گروپ ڊومين جا نالا پڻ استعمال ڪيا جيڪي مشهور jQuery پلگ ان جي نالن سان مشابهت رکن ٿا (slickjs[.]org پلگ ان استعمال ڪندي سائيٽن لاءِ slick.js)، ادائگي جا دروازا (sagecdn[.]org Sage Pay ادائگي جو نظام استعمال ڪندي سائيٽن لاءِ).
بعد ۾، گروپ ڊومين ٺاهڻ شروع ڪيو جن جي نالن جو اسٽور جي ڊومين يا اسٽور جي موضوع سان ڪو به تعلق نه هو.
هر ڊومين هڪ سائيٽ سان لاڳاپيل آهي جنهن تي ڊاريڪٽري ٺاهي وئي هئي / جي ايس يا / src. سنيفر اسڪرپٽس هن ڊاريڪٽري ۾ محفوظ ڪيون ويون آهن: هر نئين انفيڪشن لاءِ هڪ سنيفر. سنيفر سڌو لنڪ ذريعي ويب سائيٽ ڪوڊ ۾ شامل ڪيو ويو، پر نادر ڪيسن ۾، حملي ڪندڙن ويب سائيٽ جي فائلن مان هڪ کي تبديل ڪيو ۽ ان ۾ بدسلوڪي ڪوڊ شامل ڪيو.
ڪوڊ تجزيو
پهريون مبهم الگورتھم
هن خاندان جي سنيفرن جي ڪجهه دريافت ڪيل نمونن ۾، ڪوڊ مبهم هو ۽ ان ۾ انڪرپٽ ٿيل ڊيٽا شامل هئا جيڪي سنيفر کي ڪم ڪرڻ لاءِ ضروري آهن: خاص طور تي، سنيفر گيٽ ايڊريس، ادائگي جي فارم جي فيلڊ جي هڪ فهرست، ۽ ڪجهه ڪيسن ۾، جعلي ڪوڊ ادائگي فارم. فنڪشن اندر ڪوڊ ۾، وسيلن کي استعمال ڪندي انڪوڊ ڪيو ويو XOR چاٻي جي ذريعي جيڪا ساڳي فنڪشن جي دليل طور منظور ڪئي وئي هئي.
هر نموني لاءِ منفرد، مناسب ڪيئي سان اسٽرنگ کي ڊيڪرپ ڪرڻ سان، توهان هڪ اسٽرنگ حاصل ڪري سگهو ٿا جنهن ۾ سڀني تارن تي مشتمل سنيفر ڪوڊ هڪ ڌار ڪندڙ ڪردار سان الڳ ٿيل هجي.
ٻيو مبهم الگورتھم
هن خاندان جي sniffers جي بعد ۾ نمونن ۾، هڪ مختلف obfuscation ميکانيزم استعمال ڪيو ويو: هن معاملي ۾، ڊيٽا هڪ خود لکيل الگورتھم استعمال ڪندي انڪوڊ ڪيو ويو. هڪ اسٽرنگ جنهن ۾ انڪرپٽ ٿيل ڊيٽا ضروري آهي سنيفر کي هلائڻ لاءِ، ڊيڪرپشن فنڪشن لاءِ دليل طور منظور ڪيو ويو.
برائوزر ڪنسول کي استعمال ڪندي، توهان انڪريپٽ ٿيل ڊيٽا کي ڊڪرپٽ ڪري سگهو ٿا ۽ سنيفر وسيلن تي مشتمل هڪ صف حاصل ڪري سگهو ٿا.
شروعاتي MageCart حملن سان ڪنيڪشن
گروپ پاران چوري ٿيل ڊيٽا گڏ ڪرڻ لاءِ گيٽ وي جي طور تي استعمال ڪيل ڊومين مان هڪ جي تجزيي دوران، اهو معلوم ٿيو ته هي ڊومين ڪريڊٽ ڪارڊ چوري لاءِ هڪ انفراسٽرڪچر جي ميزباني ڪري ٿو، جيڪو گروپ 1 پاران استعمال ڪيو ويو آهي، هڪ جيتري پهرين گروپن مان هڪ، RiskIQ ماهرن طرفان.
ڪوفي موڪوڪو خاندان جي سنيفرز جي ميزبان تي ٻه فائلون مليون آهن:
- mage.js - گيٽ ايڊريس سان گڏ گروپ 1 سنيفر ڪوڊ تي مشتمل فائل js-cdn.link
- mag.php - PHP اسڪرپٽ سنيفر پاران چوري ڪيل ڊيٽا گڏ ڪرڻ جو ذميوار آهي
mage.js فائل جو مواد
اهو پڻ طئي ڪيو ويو ته سنيفرز جي CoffeMokko خاندان جي پويان گروپ پاران استعمال ڪيل ابتدائي ڊومينز مئي 17، 2017 تي رجسٽرڊ ڪيا ويا:
- link-js[.]link
- info-js[.]link
- track-js[.]link
- map-js[.] link
- smart-js[.]link
انهن ڊومين نالن جو فارميٽ گروپ 1 ڊومين نالن سان ملندو آهي جيڪي 2016 جي حملن ۾ استعمال ڪيا ويا هئا.
دريافت ڪيل حقيقتن جي بنياد تي، اهو فرض ڪري سگهجي ٿو ته ڪوفي موڪو سنيفرز جي آپريٽرز ۽ ڏوهن جي گروپ گروپ 1 جي وچ ۾ ڪو تعلق آهي. ممڪن طور تي، CoffeMokko آپريٽرز ڪارڊ چوري ڪرڻ لاءِ پنهنجن اڳين کان اوزار ۽ سافٽ ويئر قرض وٺي سگھن ٿا. بهرحال، اهو وڌيڪ امڪان آهي ته ڪوفي موڪو خاندان جي سنيفرن جي استعمال جي پويان ڏوهاري گروهه اهي ئي ماڻهو آهن جن گروپ 1 تي حملا ڪيا. ڏوهن جي گروهه جي سرگرمين بابت پهرين رپورٽ جي اشاعت کان پوء، انهن سڀني ڊومين جا نالا هئا. بلاڪ ڪيو ويو ۽ اوزار تفصيل سان اڀياس ۽ بيان ڪيا ويا. گروهه کي هڪ وقفو وٺڻ تي مجبور ڪيو ويو، ان جي اندروني اوزار کي بهتر ڪرڻ ۽ ان جي حملن کي جاري رکڻ لاء سنيفر ڪوڊ کي ٻيهر لکڻ ۽ اڻڄاتل رهڻ لاء.
انفراسٹرڪچر
| Домен | دريافت / ظاهر ٿيڻ جي تاريخ |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| security-payment.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| Childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parks.su | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffetea.org | 31.01.2018 |
| energycoffe.org | 31.01.2018 |
| energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| authorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitnesse.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
جو ذريعو: www.habr.com