ڊسمبر 2018 ۾، گروپ-آءِ بي جي ماهرن سنيفرن جو هڪ نئون خاندان دريافت ڪيو، جنهن کي سڏيو ويندو آهي جعلي سيڪيورٽياهي هڪ ڏوهاري گروهه پاران استعمال ڪيا ويا جيڪي CMS هلائيندڙ ويب سائيٽن کي متاثر ڪندا هئا. Magentoتجزيي مان ظاهر ٿيو ته هڪ تازي مهم ۾، حملي آورن پاسورڊ چوري ڪرڻ لاءِ مالويئر استعمال ڪيو. متاثرين جاوا اسڪرپٽ سنيفر سان متاثر ٿيل آن لائن اسٽورن جا مالڪ هئا. گروپ-آءِ بي جي سي اي آر ٽي متاثر ٿيل سائيٽن کي خبردار ڪيو، ۽ هڪ گروپ-آءِ بي ٿريٽ انٽيليجنس تجزيه نگار وڪٽر Okorokov مون ان بابت ڳالهائڻ جو فيصلو ڪيو ته اسان مجرمانه سرگرمين جي سڃاڻپ ڪيئن ڪئي.
ياد رهي ته مارچ 2019 ۾ گروپ-آئي بي شايع ڪيو "جرم بغير سزا: جي ايس سنيفر خاندانن جو تجزيو،" جنهن جو تجزيو ڪيو ويو 15 مختلف JS سنيفرن جي خاندانن کي ٻن هزارن کان وڌيڪ آن لائن شاپنگ سائيٽن کي متاثر ڪرڻ لاء استعمال ڪيو ويو.
اڪيلو پتو
انفڪشن دوران، حملي آورن سائيٽ جي ڪوڊ ۾ هڪ خراب اسڪرپٽ جي لنڪ داخل ڪئي؛ هي اسڪرپٽ لوڊ ڪيو ويو ۽، سامان جي ادائيگي جي وقت، آن لائن اسٽور جي دورو ڪندڙ جي ادائيگي جي ڊيٽا کي روڪيو، ۽ پوء ان کي حملو ڪندڙن ڏانهن موڪليو. 'سرور. FakeSecurity استعمال ڪندي حملن جي پهرئين مرحلن تي، بدسلوڪي اسڪرپٽ ۽ گيٽ سنيفرز پاڻ ساڳيا Magento-security[.]org ڊومين تي واقع هئا.
بعد ۾ ڪجهه Magento- سائيٽون ساڳئي سنيفر فيملي کان متاثر ٿيل مليون، پر هن ڀيري حملي آورن خراب ڪوڊ کي هوسٽ ڪرڻ لاءِ نوان ڊومين نالا استعمال ڪيا:
- fiswedbesign[.]com
- alloaypparel[.]com
اهي ٻئي ڊومين جا نالا هڪ ئي اي ميل ايڊريس تي رجسٽر ٿيل هئا greenstreethunter@india[.]com. ٽين ڊومين جو نالو رجسٽر ڪرڻ وقت ساڳيو پتو بيان ڪيو ويو firstofbanks[.]com.
اسان جي مهرباني
FakeSecurity ڪرمنل گروپ پاران استعمال ڪيل ٽن نون ڊومينز جو تجزيو ظاهر ڪيو ويو آهي ته انهن مان ڪجهه هڪ مالويئر ورهائڻ واري مهم ۾ شامل هئا جيڪا مارچ 2019 ۾ شروع ٿي هئي. حملي ڪندڙن صفحن تي لنڪ ورهايو جن ۾ چيو ويو آهي ته صارف کي صحيح طور تي دستاويز ڏيکارڻ لاءِ گم ٿيل پلگ ان انسٽال ڪرڻ جي ضرورت آهي. جيڪڏهن هڪ صارف ايپليڪيشن ڊائون لوڊ ڪرڻ شروع ڪيو، انهن جو ڪمپيوٽر پاسورڊ چوري مالويئر سان متاثر ٿيو.
مجموعي طور تي 11 منفرد لنڪس جي سڃاڻپ ڪئي وئي جيڪي جعلي صفحا ٺاهيا ويا جيڪي صارف کي ميلويئر نصب ڪرڻ جي حوصلا افزائي ڪن ٿا.
- hxxps://www.etodoors.com/uploads/Statement00534521[.]html
- hxxps://www.healthcare4all.co.uk/manuals/Statement00534521[.]html
- hxxps://www.healthcare4all.co.uk/lib/Statement001845[.]html
- hxxps://www.healthcare4all.co.uk/doc/BankStatement001489232[.]html
- hxxp://verticalinsider.com/bookmarks/Bank_Statement0052890[.]html
- hxxp://thepinetree.net/n/docs/Statement00159701[.]html
- hxxps://www.readicut.co.uk/media/pdf/Bank_Statement00334891[.]html
- hxxp://www.e-cig.com/doc/pdf/eStmt[.]html
- hxxps://www.genstattu.com/doc/PoliceStatement001854[.]html
- hxxps://www.tokyoflash.com/pdf/statment001854[.]html
- hxxps://www.readicut.co.uk/media/pdf/statment00789[.]html
بدسلوڪي مهم جو هڪ امڪاني شڪار اسپام اي ميل ملي ٿي جنهن ۾ پهرين سطح واري صفحي جي لنڪ شامل آهي. ھي صفحو ھڪڙو ننڍڙو HTML دستاويز آھي جنھن ۾ iframe آھي، جنھن جو مواد ٻئي سطح واري صفحي تان لوڊ ڪيو ويندو آھي. هڪ سيڪنڊ-سطح وارو صفحو هڪ لينڊنگ صفحو آهي مواد سان جيڪو وصول ڪندڙ کي حوصلا افزائي ڪري ٿو هڪ قابل عمل فائل انسٽال ڪرڻ لاءِ. هن بدسلوڪي مهم جي صورت ۾، حملي آورن ايڊوب ريڊر لاءِ گم ٿيل پلگ ان کي انسٽال ڪرڻ جي موضوع سان لينڊنگ پيج استعمال ڪيو، ان ڪري پهرين سطح واري صفحي هڪ پي ڊي ايف فائل جي لنڪ کي نقل ڪيو جيڪو برائوزر ۾ آن لائن ڏسڻ واري موڊ ۾ کوليو ويو. ٻئي-سطح واري صفحي تي هڪ خراب فائل جي لنڪ شامل آهي جيڪا بدسلوڪي مهم جي حصي طور ورهايل آهي، جيڪا ڊائون لوڊ ٿي ويندي جڏهن توهان بٽڻ تي ڪلڪ ڪندا پلگ ان ڊائون لوڊ ڪريو.
هن مهم ۾ استعمال ڪيل صفحن جو تجزيو ظاهر ڪيو ته عام طور تي ٻئي سطح جا صفحا حملي ڪندڙن جي ڊومين تي واقع هوندا هئا، جڏهن ته پهرين سطح واري صفحي ۽ خراب فائل پاڻ اڪثر هيڪ ٿيل اي ڪامرس سائيٽن تي واقع هوندا هئا.
مالويئر ورهائڻ لاءِ مثال صفحي جي جوڙجڪ
اسپام ذريعي، هڪ امڪاني قرباني هڪ HTML فائل جي لنڪ حاصل ڪري ٿو، مثال طور، hxxps://www.healthcare4all[.]co[.]uk/manuals/Statement00534521[.]html. لنڪ تي موجود HTML فائل هڪ iframe عنصر تي مشتمل آهي صفحي جي مکيه مواد جي لنڪ سان؛ هن مثال ۾، صفحي جي مواد تي واقع آهي hxxps://alloaypparel[.]com/view/public/Statement00534521/PDF/Statement001854[.]pdf. جيئن ته اسان هن مثال مان ڏسي سگهون ٿا، هن صورت ۾ حملي ڪندڙن هڪ رجسٽرڊ ڊومين استعمال ڪيو، ۽ هيڪ ٿيل ويب سائيٽ نه، صفحي جي مواد کي پوسٽ ڪرڻ لاء. انٽرفيس ۾ جيڪو هن لنڪ تي ڏيکاريل آهي، اتي هڪ بٽڻ آهي پلگ ان ڊائون لوڊ ڪريو. جيڪڏهن مقتول هن بٽڻ کي دٻايو، عملدرآمد فائل صفحي جي ڪوڊ ۾ بيان ڪيل لنڪ تان ڊائون لوڊ ڪيو ويندو؛ ھن مثال ۾، قابل عمل فائل لنڪ تان ڊائون لوڊ ڪيو ويو آھي hxxps://www.healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe، اهو آهي، بدسلوڪي فائل پاڻ هيڪ ٿيل سائيٽ تي ذخيرو ٿيل آهي.
اسان جي وقت جي "Mephistopheles".
ڊومين تجزيو alloaypparel[.]com انڪشاف ڪيو ويو آهي ته Mephistophilus phishing kit مالويئر کي ورهائڻ لاءِ استعمال ڪيو ويو هو، جيڪو توهان کي اجازت ڏئي ٿو ته فشنگ صفحا ٺاهي ۽ ترتيب ڏئي مالويئر کي ورهائڻ لاءِ: Mephistophilus ڪيترن ئي قسمن جا لينڊنگ صفحا استعمال ڪري ٿو جيڪي صارف کي حوصلا افزائي ڪن ٿا ته مبينا طور تي غائب ٿيل پلگ ان انسٽال ڪرڻ لاءِ ضروري آهي ايپليڪيشن کي ڪم ڪرڻ لاءِ. حقيقت ۾، صارف کي ميلويئر نصب ڪيو ويندو، هڪ ڪڙي جنهن کي آپريٽر Mephistophilus انتظامي پينل ذريعي شامل ڪري ٿو.
ميفيسٽوفيلس ھدف ٿيل فشنگ حملي وارو نظام آگسٽ 2016 ۾ زير زمين فورمن تي وڪرو ڪيو ويو. هي ويب جعلي استعمال ڪندي هڪ معياري فشنگ اسڪيم آهي جيڪو ڪنهن دستاويز يا صفحي جي مواد کي ڏسڻ لاءِ پلگ ان (MS Word، MS Excel، PDF، YouTube) کي اپڊيٽ ڪرڻ جي آڙ ۾ مالويئر جي ڊائون لوڊ پيش ڪري ٿو. Mephistophilus ترقي يافته هئي ۽ زير زمين فورم استعمال ڪندڙ Kokain طرفان جاري ڪيو ويو. فشنگ کٽ استعمال ڪندي ڪاميابيءَ سان متاثر ڪرڻ لاءِ، حملي آور کي استعمال ڪندڙ کي مجبور ڪرڻ جي ضرورت آهي ته ميفيسٽوفيلس پاران ٺاهيل صفحي ڏانهن ويندڙ لنڪ تي ڪلڪ ڪري. فشنگ واري صفحي جي موضوع کان سواء، هڪ پيغام ظاهر ٿيندو ته توهان کي غائب پلگ ان کي انسٽال ڪرڻ جي ضرورت آهي صحيح طور تي آن لائن دستاويز يا يوٽيوب وڊيو ڊسپلي ڪرڻ لاء. هن کي ڪرڻ لاء، Mephistophilus وٽ ڪيترائي قسم جا فشنگ صفحا آهن جيڪي جائز خدمتن جي نقل ڪن ٿا:
- Microsoft Office365 Word يا Excel لاءِ آن لائين دستاويز ڏسڻ وارو
- آن لائين PDF ڏسندڙ
- يوٽيوب سروس ڪلون صفحو
متاثرين
بدسلوڪي مهم جي حصي جي طور تي، ڏوهاري گروهه پاڻ کي خود رجسٽر ٿيل ڊومين نالن کي استعمال ڪرڻ تائين محدود نه ڪيو: ورهايل بدسلوڪي فائلن جا نمونا ذخيرو ڪرڻ لاءِ، حملي آورن ڪيترن ئي آن لائين شاپنگ سائيٽن کي پڻ استعمال ڪيو جيڪي اڳ ۾ FakeSecurity سنيفر سان متاثر ٿي چڪيون هيون.
5 منفرد مالويئر نمونن جا ڪل 5 منفرد لنڪ مليا، جن مان 4 سي ايم ايس هلائيندڙ هيڪ ٿيل ويب سائيٽن تي محفوظ ڪيا ويا. Magento:
- hxxps://www.healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe
- hxxps://www.genstattu[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
- hxxps://firstofbanks[.]com/file_d/Adobe-Reader-PDF-Plugin-2.35.8.exe
- hxxp://e-cig[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
- hxxp://thepinetree[.]net/docs/msw070619.exe
هن مهم ۾ ورهايل مالويئر جا نمونا ودر چوري ڪندڙ جا نمونا آهن، جيڪي برائوزرن ۽ ڪجهه ايپليڪيشنن مان پاسورڊ چوري ڪرڻ لاءِ ٺهيل آهن. اهو پڻ مخصوص پيٽرولن جي مطابق فائلون گڏ ڪري سگهي ٿو ۽ انهن کي انتظامي پينل ڏانهن منتقل ڪري ٿو، جيڪو آسان بڻائي ٿو، مثال طور، cryptocurrency wallets مان فائلون چوري ڪرڻ. Vidar متعارف ڪرايو مالويئر-جي-هڪ-سروس: سڀني گڏ ڪيل ڊيٽا کي دروازي ڏانهن منتقل ڪيو ويو، ۽ پوء هڪ مرڪزي انتظامي پينل ڏانهن موڪليو ويو، جتي هر چوري ڪندڙ خريد ڪندڙ لاگ ان ڏسي سگهي ٿو جيڪي متاثر ٿيل ڪمپيوٽرن مان آيا آهن.
قابل چور
ويدر چوري نومبر 2018 ۾ ظاهر ٿيو. اها ترقي ڪئي وئي هئي ۽ انڊر گرائونڊ فورمز تي وڪري لاءِ جاري ڪئي وئي هئي هڪ صارف طرفان تخلص Loadbaks تحت. ڊولپر جي بيان موجب، Vidar برائوزرن مان پاسورڊ چوري ڪري سگهي ٿو، مخصوص رستا ۽ ماسڪ استعمال ڪندي فائلون، بينڪ ڪارڊ ڊيٽا، کولڊ والٽ فائلون، ٽيليگرام ۽ Skype جي خط و ڪتابت، ۽ انهي سان گڏ ويب سائيٽ جي ويب سائيٽن جي تاريخ کي برائوزرن مان چوري ڪري سگهي ٿو. چوري ڪندڙ لاءِ ڪرائي جي قيمت $250 کان $300 هر مهيني تائين آهي. چوري ڪندڙ جي انتظامي پينل ۽ دروازن جي طور تي استعمال ٿيل ڊومينز ويدر ليکڪن جي سرورز تي واقع آهن، جيڪي خريد ڪندڙن لاء انفراسٹرڪچر جي قيمت گھٽائي ٿي.
خراب فائل جي صورت ۾ msw070619.exe, Mephistophilus لينڊنگ پيج استعمال ڪندي ورهائڻ کان علاوه، هڪ خراب DOC فائل پڻ ڳولي وئي بئنڪ اسٽيٽمينٽ0040918404.doc (MD5: 1b8a824074b414419ac10f5ded847ef1)، جنهن هن ايگزيڪيوٽيبل فائل کي ميڪرو استعمال ڪندي ڊسڪ تي ڇڏيو. DOC فائل بئنڪ اسٽيٽمينٽ0040918404.doc بدسلوڪي مهم جي حصي جي طور تي موڪليل بدسلوڪي اي ميلن جي منسلڪ طور تي منسلڪ ڪيو ويو.
حملي کي ڌار ڪرڻ
دريافت ٿيل خط (MD5: 53554192ca888cccbb5747e71825facd) CMS هلائيندڙ سائيٽ جي رابطي جي پتي تي موڪليو ويو Magento، جنهن مان اسان اهو نتيجو ڪڍي سگهون ٿا ته بدسلوڪي مهم جو هڪ نشانو آن لائن اسٽورن جا منتظم هئا، ۽ انفيڪشن جو مقصد انتظامي پينل تائين رسائي هئي. Magento ۽ ٻيا اي-ڪامرس پليٽ فارم بعد ۾ سنيفر جي انسٽاليشن ۽ متاثر ٿيل اسٽورن مان گراهڪن جي ڊيٽا جي چوري لاءِ.
اهڙيء طرح، انفڪشن اسڪيم مڪمل طور تي هيٺيان قدمن تي مشتمل آهي:
- حملي آورن ميفيسٽوفيلس فشنگ کٽ انتظامي پينل کي ميزبان تي لڳايو alloaypparel[.]com.
- حملي ڪندڙن پاسورڊ چوري ڪندڙ مالويئر کي هيڪ ٿيل جائز سائيٽن ۽ انهن جي پنهنجي سائيٽن تي رکيو.
- هڪ فشنگ ڪٽ استعمال ڪندي، حملي آورن ڪيترن ئي لينڊنگ پيجز کي ڊيليٽ ڪيو مالويئر کي ورهائڻ لاءِ، ۽ ميڪرو سان گڏ بدسلوڪي دستاويز پڻ ٺاهيا جيڪي مالويئر کي صارف جي ڪمپيوٽر تي ڊائون لوڊ ڪن ٿا.
- حملي آورن بدسلوڪي منسلڪات سان اي ميلون موڪلڻ لاءِ اسپام مهم هلائي، انهي سان گڏ مالويئر کي انسٽال ڪرڻ لاءِ لينڊنگ پيجز جون لنڪس. گهٽ ۾ گهٽ ڪجهه حملي ڪندڙن جا مقصد آن لائين شاپنگ سائيٽن جا منتظم آهن.
- جڏهن هڪ آنلائن اسٽور جي منتظم جو ڪمپيوٽر ڪاميابيءَ سان سمجهوتو ڪيو ويو، چوري ٿيل سندون استعمال ڪيون ويون اسٽور جي انتظامي پينل تائين رسائي ۽ JS سنيفر انسٽال ڪرڻ لاءِ استعمال ڪيون ويون صارفين جا بئنڪ ڪارڊ چوري ڪرڻ لاءِ جيڪي متاثر ٿيل سائيٽ تي ادائيگي ڪري رهيا آهن.
ٻين حملن سان تعلق
حملي آورن جو بنيادي ڍانچو هڪ سرور تي IP پتي 200.63.40.2 سان لڳايو ويو هو، جيڪو سرور ڪرائي تي ڏيڻ جي خدمت سان تعلق رکي ٿو Panamaservers[.]com. FakeSecurity مهم کان اڳ، هي سرور فشنگ لاءِ استعمال ڪيو ويندو هو، انهي سان گڏ پاسورڊ چوري ڪرڻ لاءِ مختلف خراب پروگرامن جي انتظامي پينلز کي ميزباني ڪرڻ لاءِ.
FakeSecurity مهم جي تفصيلن جي بنياد تي، اهو فرض ڪري سگهجي ٿو ته چوري ڪندڙن جا انتظامي پينل، Lokibot ۽ AZORULT، هن سرور تي واقع آهن، جنوري 2019 ۾ ساڳئي گروپ پاران اڳوڻي حملن ۾ استعمال ڪيا ويا هوندا. جي مطابق ، 14 جنوري، 2019 تي، اڻڄاتل حملي آورن ورهايو لوڪبوٽ مالويئر کي استعمال ڪندي ماس ميلنگ سان بدسلوڪي DOC فائل سان منسلڪ طور. جنوري 18، 2019 پڻ هو بدسلوڪي دستاويزن جي تقسيم جيڪا AZORULT مالويئر کي نصب ڪيو. هن مهم جي تجزيي هيٺ ڏنل انتظامي پينل ظاهر ڪيا آهن سرور تي واقع IP پتي سان 200.63.40.2:
- http[:]//chuxagama[.]com/web-obtain/Panel/five/PvqDq929BSx_A_D_M1n_a.php (Lokibot)
- http[:]//umbra-diego[.]com/wp/Panel/five/PvqDq929BSx_A_D_M1n_a.php (Lokibot)
- http[:]//chuxagama[.]com/web-obtain/Panel/five/index.php (AZORUlt)
ڊومين نالا chuxagama[.]com ۽ umbra-diego[.]com ساڳئي صارف پاران اي ميل ايڊريس dicksonfletcher@gmail.com سان رجسٽرڊ ڪيا ويا هئا. مئي 2016 ۾ ڊومين نالو worldcourrierservices[.]com رجسٽر ڪرڻ لاءِ ساڳيو پتو استعمال ڪيو ويو، جيڪو پوءِ اسڪيم ڪمپني ورلڊ ڪوريئر سروس لاءِ ويب سائيٽ طور استعمال ڪيو ويو.
ان حقيقت جي بنياد تي ته FakeSecurity بدسلوڪي مهم جي حصي جي طور تي، حملي ڪندڙن پاسورڊ چوري ڪرڻ لاء مالويئر استعمال ڪيو ۽ ان کي اي ميل اسپام ذريعي ورهايو، ۽ IP پتي 200.63.40.2 سان سرور پڻ استعمال ڪيو، اهو فرض ڪري سگهجي ٿو ته جنوري جي بدسلوڪي مهم 2019 ساڳئي ڏوهن گروپ ڪيو ويو.
اشارو
فائل جو نالو Adobe-Reader-PDF-Plugin-2.37.2.exe
- MD5 3ec1ac0be981ce6d3f83f4a776e37622
- SHA-1 346d580ecb4ace858d71213808f4c75341a945c1
- SHA-256 6ec8b7ce6c9858755964f94acdf618773275589024e2b66583e3634127b7e32c
- ماپ 615984
فائل جو نالو Adobe-Reader-PDF-Plugin-2.31.4.exe
- MD5 58476e1923de46cd4b8bee4cdeed0911
- SHA-1 aafa9885b8b686092b003ebbd9aaf8e604eea3a6
- SHA-256 15abc3f55703b89ff381880a10138591c6214dee7cc978b7040dd8b1e6f96297
- ماپ 578048
فائل جو نالو Adobe-Reader-PDF-Plugin-2.35.8.exe
- MD5 286096c7e3452aad4acdc9baf897fd0c
- SHA-1 26d71553098b5c92b55e49db85c719f5bb366513
- SHA-256 af04334369878408898a223e63ec50e1434c512bc21d919769c97964492fee19
- ماپ 1069056
فائل جو نالو Adobe-Reader-PDF-Plugin-2.31.4.exe
- MD5 fd0e11372a4931b262f0dd21cdc69c01
- SHA-1 54d34b6a6c4dc78e62ad03713041891b6e7eb90f
- SHA-256 4587da5dca2374fd824a15e434dae6630b24d6be6916418cee48589aa6145ef6
- ماپ 856576
فائل جو نالو msw070619.exe
- MD5 772db176ff61e9addbffbb7e08d8b613
- SHA-1 6ee62834ab3aa4294eebe4a9aebb77922429cb45
- SHA-256 0660059f3e2fb2ab0349242b4dde6bf9e37305dacc2da870935f4bede78aed34
- ماپ 934448
- fiswedbesign[.]com
- alloaypparel[.]com
- firstofbanks[.]com
- magento-security[.]org
- ميج-سيڪيورٽي[.]org
- https[:]//www[.]healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe
- https[:]//www[.]genstattu[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
- https[:]//firstofbanks[.]com/file_d/Adobe-Reader-PDF-Plugin-2.35.8.exe
- http[:]//e-cig[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
- http[:]//thepinetree[.]net/docs/msw070619.exe
جو ذريعو: www.habr.com
