අප සැවොම පාහේ ඔන්ලයින් වෙළඳසැල් වල සේවාවන් භාවිතා කරයි, එයින් අදහස් කරන්නේ ඉක්මනින් හෝ පසුව අපි ජාවාස්ක්රිප්ට් ස්නිෆර් වල ගොදුරක් වීමේ අවදානමක් ඇති බවයි - බැංකු කාඩ්පත් දත්ත, ලිපින, පිවිසුම් සහ පරිශීලකයින්ගේ මුරපද සොරකම් කිරීම සඳහා ප්රහාරකයන් වෙබ් අඩවියක ක්රියාත්මක කරන විශේෂ කේතය. .
බ්රිතාන්ය එයාර්වේස් වෙබ් අඩවිය සහ ජංගම යෙදුම භාවිතා කරන්නන් 400කට ආසන්න ප්රමාණයක් දැනටමත් ස්නයිපර්ස් විසින් පීඩාවට පත් වී ඇති අතර ක්රීඩා දැවැන්ත FILA සහ ඇමරිකානු ටිකට් බෙදාහරින්නා වන ටිකට්මාස්ටර්ගේ බ්රිතාන්ය වෙබ් අඩවියට පිවිසෙන්නන් දැනටමත් පීඩාවට පත්ව ඇත. PayPal, Chase Paymenttech, USAePay, Moneris - මේවා සහ තවත් බොහෝ ගෙවීම් පද්ධති ආසාදනය විය.
තර්ජන බුද්ධි කණ්ඩායම්-IB විශ්ලේෂක වික්ටර් ඔකොරොකොව් වෙබ් අඩවි කේතයට රිංගා ගෙවීම් තොරතුරු සොරකම් කරන ආකාරය මෙන්ම ඔවුන් පහර දෙන සීආර්එම් මොනවාද යන්න ගැන කතා කරයි.
"සැඟවුණු තර්ජනය"
දිගු කලක් තිස්සේ JS sniffers ප්රති-වයිරස විශ්ලේෂකයින්ට නොපෙනී සිටි අතර බැංකු සහ ගෙවීම් පද්ධති ඒවා බරපතල තර්ජනයක් ලෙස නොසැලකේ. සහ සම්පූර්ණයෙන්ම නිෂ්ඵලයි. කණ්ඩායම්-IB විශේෂඥයින් ආසාදිත ඔන්ලයින් වෙළඳසැල් 2440 ක්, එහි අමුත්තන් - දිනකට මිලියන 1,5 ක පමණ ජනතාවක් - සම්මුතියේ අවදානමට ලක්ව ඇත. වින්දිතයින් අතර පරිශීලකයින් පමණක් නොව, අන්තර්ජාල වෙළඳසැල්, ගෙවීම් පද්ධති සහ සම්මුති කාඩ්පත් නිකුත් කළ බැංකු ද වේ.
Group-IB ස්නයිෆර් සඳහා වන අඳුරු ජාලය, ඔවුන්ගේ යටිතල පහසුකම් සහ මුදල් ඉපැයීමේ ක්රම පිළිබඳ පළමු අධ්යයනය බවට පත් වූ අතර එමඟින් ඔවුන්ගේ නිර්මාපකයන්ට ඩොලර් මිලියන ගණනක් ලැබේ. අපි පර්යේෂකයන් කලින් දැන සිටියේ 38 පමණක් Sniffer පවුල් 12 හඳුනා.
අධ්යයනයේදී අධ්යයනය කරන ලද ස්නයිෆර්ස්ගේ පවුල් හතර පිළිබඳව අපි විස්තරාත්මකව වාසය කරමු.
ReactGet Family
ReactGet පවුලේ Sniffers අන්තර්ජාල සාප්පු සවාරි අඩවිවල බැංකු කාඩ්පත් දත්ත සොරකම් කිරීමට යොදා ගනී. වෙබ් අඩවියේ භාවිතා වන විවිධ ගෙවීම් පද්ධති විශාල සංඛ්යාවක් සමඟ ස්නයිෆර්ට ක්රියා කළ හැකිය: එක් පරාමිති අගයක් එක් ගෙවීම් පද්ධතියකට අනුරූප වන අතර, අක්තපත්ර සොරකම් කිරීමට මෙන්ම ගෙවීම් වලින් බැංකු කාඩ්පත් දත්ත සොරකම් කිරීමට ස්නයිෆර්ගේ තනි හඳුනා ගත් අනුවාද භාවිතා කළ හැකිය. ඊනියා විශ්වීය ස්නයිෆර් වැනි ගෙවීම් පද්ධති කිහිපයක ආකෘති එකවර. සමහර අවස්ථාවලදී, වෙබ් අඩවියේ පරිපාලන මණ්ඩලයට ප්රවේශය ලබා ගැනීම සඳහා ප්රහාරකයින් ඔන්ලයින් වෙළඳසැල් පරිපාලකයින්ට තතුබෑම් ප්රහාර එල්ල කරන බව සොයා ගන්නා ලදී.
මෙම sniffer පවුල භාවිතා කරන ව්යාපාරයක් 2017 මැයි මාසයේදී ආරම්භ විය; CMS සහ Magento, Bigcommerce, සහ Shopify වේදිකා ධාවනය වන අඩවි වලට පහර දෙන ලදී.
ReactGet ඔන්ලයින් වෙළඳසැලක කේතයට ක්රියාත්මක කරන ආකාරය
සබැඳියක් හරහා ස්ක්රිප්ට් “සම්භාව්ය” ක්රියාත්මක කිරීමට අමතරව, ReactGet පවුලේ sniffer හි ක්රියාකරුවන් විශේෂ තාක්ෂණයක් භාවිතා කරයි: JavaScript කේතය භාවිතා කරමින්, පරිශීලකයා සිටින වත්මන් ලිපිනය නිශ්චිත නිර්ණායක සපුරාලන්නේ දැයි ඔවුන් පරීක්ෂා කරයි. ද්වේශසහගත කේතය ක්රියාත්මක වන්නේ වත්මන් URL හි උප තන්තුව තිබේ නම් පමණි ලොව පුරාවටම හෝ එක් පියවරක් පිටවීම, එක් පිටුවක්/, පිටතට / onepag, පිටවීම/එක, ckout/එක. මේ අනුව, පරිශීලකයා මිලදී ගැනීම් සඳහා ගෙවීමට ඉදිරියට ගොස් වෙබ් අඩවියේ ඇති පෝරමයට ගෙවීම් තොරතුරු ඇතුළත් කරන මොහොතේම ස්නයිෆර් කේතය ක්රියාත්මක වේ.
මෙම sniffer සම්මත නොවන තාක්ෂණික ක්රමයක් භාවිතා කරයි. වින්දිතයාගේ ගෙවීම් සහ පුද්ගලික දත්ත එකට එකතු කර කේතනය කර ඇත පදනම 64, ඉන්පසු ලැබෙන තන්තුව ප්රහාරකයින්ගේ වෙබ් අඩවියට ඉල්ලීමක් යැවීමට පරාමිතියක් ලෙස භාවිතා කරයි. බොහෝ විට, ගේට්ටුව වෙත යන මාර්ගය උදාහරණයක් ලෙස JavaScript ගොනුවක් අනුකරණය කරයි resp.js, data.js සහ යනාදිය, නමුත් රූප ගොනු වෙත සබැඳි ද භාවිතා වේ, GIF и JPG. විශේෂත්වය නම් ස්නයිෆර් විසින් පික්සල 1 කින් 1 ප්රමාණයේ රූප වස්තුවක් නිර්මාණය කර පෙර ලැබුණු සබැඳිය පරාමිතියක් ලෙස භාවිතා කිරීමයි. src රූප. එනම්, පරිශීලකයාට ගමනාගමනයේ එවැනි ඉල්ලීමක් සාමාන්ය පින්තූරයක් සඳහා වන ඉල්ලීමක් ලෙස පෙනෙනු ඇත. ස්නිෆර්ස්ගේ ImageID පවුල තුළද එවැනිම තාක්ෂණයක් භාවිතා කරන ලදී. මීට අමතරව, බොහෝ නීත්යානුකූල සබැඳි විශ්ලේෂණ ස්ක්රිප්ට් වල පික්සල් 1 කින් 1 පික්සලයක් භාවිතා කිරීමේ තාක්ෂණය භාවිතා වන අතර, එය පරිශීලකයා නොමඟ යැවිය හැක.
අනුවාද විශ්ලේෂණය
ReactGet sniffer ක්රියාකරුවන් විසින් භාවිතා කරන ලද ක්රියාකාරී වසම් විශ්ලේෂණය කිරීමෙන් මෙම sniffer පවුලේ විවිධ අනුවාදයන් අනාවරණය විය. අපැහැදිලි වීම හෝ නොපැවතීම තුළ අනුවාද වෙනස් වන අතර, ඊට අමතරව, එක් එක් ස්නයිෆර් අන්තර්ජාල වෙළඳසැල් සඳහා බැංකු කාඩ්පත් ගෙවීම් සකසන විශේෂිත ගෙවීම් පද්ධතියක් සඳහා නිර්මාණය කර ඇත. අනුවාද අංකයට අනුරූප පරාමිතියේ අගය අනුව වර්ග කිරීමෙන් පසු, කණ්ඩායම්-IB විශේෂඥයින්ට ලබා ගත හැකි ස්නයිෆර් වෙනස්කම් පිළිබඳ සම්පූර්ණ ලැයිස්තුවක් ලැබුණු අතර, පිටු කේතයේ එක් එක් ස්නයිෆර් සොයන පෝරම ක්ෂේත්රවල නම් අනුව, ඔවුන් ගෙවීම් පද්ධති හඳුනා ගත්හ. නහය එල්ල කරන බව.
ස්නිෆර් ලැයිස්තුව සහ ඒවාට අනුරූප ගෙවීම් පද්ධති
| Sniffer URL | ගෙවීම් පද්ධතිය |
|---|---|
| අවසර දෙන්න | |
| කාඩ්පත් සුරැකීම | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| eWAY Rapid | |
| අවසර දෙන්න | |
| ඇඩියන් | |
| USAePay | |
| අවසර දෙන්න | |
| USAePay | |
| අවසර දෙන්න | |
| මොනේරිස් | |
| USAePay | |
| PayPal | |
| අග්ගිස් ගෙවීම | |
| වෙරිසින් | |
| PayPal | |
| ස්ට්රේප් | |
| රියලෙක්ස් | |
| PayPal | |
| LinkPoint | |
| PayPal | |
| PayPal | |
| DataCash | |
| PayPal | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| වෙරිසින් | |
| අවසර දෙන්න | |
| මොනේරිස් | |
| අග්ගිස් ගෙවීම | |
| USAePay | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| ANZ eGate | |
| අවසර දෙන්න | |
| මොනේරිස් | |
| අග්ගිස් ගෙවීම | |
| අග්ගිස් ගෙවීම | |
| චේස් පේමන්ටෙක් | |
| අවසර දෙන්න | |
| ඇඩියන් | |
| PsiGate | |
| සයිබර් මූලාශ්රය | |
| ANZ eGate | |
| රියලෙක්ස් | |
| USAePay | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| රියලෙක්ස් | |
| අග්ගිස් ගෙවීම | |
| PayPal | |
| වෙරිසින් | |
| අවසර දෙන්න | |
| වෙරිසින් | |
| අවසර දෙන්න | |
| ANZ eGate | |
| PayPal | |
| සයිබර් මූලාශ්රය | |
| අවසර දෙන්න | |
| අග්ගිස් ගෙවීම | |
| රියලෙක්ස් | |
| සයිබර් මූලාශ්රය | |
| PayPal | |
| PayPal | |
| PayPal | |
| වෙරිසින් | |
| eWAY Rapid | |
| අග්ගිස් ගෙවීම | |
| අග්ගිස් ගෙවීම | |
| වෙරිසින් | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| පළමු දත්ත ගෝලීය ද්වාරය | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| මොනේරිස් | |
| අවසර දෙන්න | |
| PayPal | |
| වෙරිසින් | |
| USAePay | |
| USAePay | |
| අවසර දෙන්න | |
| වෙරිසින් | |
| PayPal | |
| අවසර දෙන්න | |
| ස්ට්රේප් | |
| අවසර දෙන්න | |
| eWAY Rapid | |
| අග්ගිස් ගෙවීම | |
| අවසර දෙන්න | |
| මොළය | |
| මොළය | |
| PayPal | |
| අග්ගිස් ගෙවීම | |
| අග්ගිස් ගෙවීම | |
| අවසර දෙන්න | |
| PayPal | |
| අවසර දෙන්න | |
| වෙරිසින් | |
| PayPal | |
| අවසර දෙන්න | |
| ස්ට්රේප් | |
| අවසර දෙන්න | |
| eWAY Rapid | |
| අග්ගිස් ගෙවීම | |
| අවසර දෙන්න | |
| මොළය | |
| PayPal | |
| අග්ගිස් ගෙවීම | |
| අග්ගිස් ගෙවීම | |
| අවසර දෙන්න | |
| PayPal | |
| අවසර දෙන්න | |
| වෙරිසින් | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| අග්ගිස් ගෙවීම | |
| අග්ගිස් ගෙවීම | |
| Westpac PayWay | |
| PayFort | |
| PayPal | |
| අවසර දෙන්න | |
| ස්ට්රේප් | |
| පළමු දත්ත ගෝලීය ද්වාරය | |
| PsiGate | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| මොනේරිස් | |
| අවසර දෙන්න | |
| අග්ගිස් ගෙවීම | |
| වෙරිසින් | |
| මොනේරිස් | |
| PayPal | |
| LinkPoint | |
| Westpac PayWay | |
| අවසර දෙන්න | |
| මොනේරිස් | |
| PayPal | |
| ඇඩියන් | |
| PayPal | |
| අවසර දෙන්න | |
| USAePay | |
| EBizCharge | |
| අවසර දෙන්න | |
| වෙරිසින් | |
| වෙරිසින් | |
| අවසර දෙන්න | |
| PayPal | |
| මොනේරිස් | |
| අවසර දෙන්න | |
| PayPal | |
| PayPal | |
| Westpac PayWay | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| අග්ගිස් ගෙවීම | |
| වෙරිසින් | |
| අවසර දෙන්න | |
| PayPal | |
| PayFort | |
| සයිබර් මූලාශ්රය | |
| PayPal Payflow Pro | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| වෙරිසින් | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| අග්ගිස් ගෙවීම | |
| අවසර දෙන්න | |
| ස්ට්රේප් | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| වෙරිසින් | |
| PayPal | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| අග්ගිස් ගෙවීම | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| PayPal | |
| ෆ්ලින්ට් | |
| PayPal | |
| අග්ගිස් ගෙවීම | |
| වෙරිසින් | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| ස්ට්රේප් | |
| මහත සීබ්රා | |
| අග්ගිස් ගෙවීම | |
| අවසර දෙන්න | |
| පළමු දත්ත ගෝලීය ද්වාරය | |
| අවසර දෙන්න | |
| eWAY Rapid | |
| ඇඩියන් | |
| PayPal | |
| QuickBooks වෙළඳ සේවා | |
| වෙරිසින් | |
| අග්ගිස් ගෙවීම | |
| වෙරිසින් | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| අග්ගිස් ගෙවීම | |
| අවසර දෙන්න | |
| eWAY Rapid | |
| අවසර දෙන්න | |
| ANZ eGate | |
| PayPal | |
| සයිබර් මූලාශ්රය | |
| අවසර දෙන්න | |
| අග්ගිස් ගෙවීම | |
| රියලෙක්ස් | |
| සයිබර් මූලාශ්රය | |
| PayPal | |
| PayPal | |
| PayPal | |
| වෙරිසින් | |
| eWAY Rapid | |
| අග්ගිස් ගෙවීම | |
| අග්ගිස් ගෙවීම | |
| වෙරිසින් | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| පළමු දත්ත ගෝලීය ද්වාරය | |
| අවසර දෙන්න | |
| අවසර දෙන්න | |
| මොනේරිස් | |
| අවසර දෙන්න | |
| PayPal |
මුරපද ස්නයිෆර්
වෙබ් අඩවියක සේවාදායක පැත්තේ වැඩ කරන ජාවාස්ක්රිප්ට් ස්නිෆර්වල එක් වාසියක් වන්නේ ඒවායේ බහුකාර්යතාවයි: වෙබ් අඩවියක එබ්බවූ අනිෂ්ට කේතය ඕනෑම ආකාරයක දත්ත සොරකම් කළ හැකිය, එය ගෙවීම් දත්ත හෝ පරිශීලක ගිණුමක පිවිසුම් සහ මුරපදය විය හැකිය. Group-IB විශේෂඥයින් විසින් ReactGet පවුලට අයත් ස්නයිෆර් නියැදියක් සොයා ගන්නා ලදී, එය අඩවි භාවිතා කරන්නන්ගේ ඊමේල් ලිපින සහ මුරපද සොරකම් කිරීමට නිර්මාණය කර ඇත.
ImageID sniffer සමඟ ඡේදනය
ආසාදිත වෙළඳසැල් වලින් එකක් විශ්ලේෂණය කිරීමේදී, එහි වෙබ් අඩවිය දෙවරක් ආසාදනය වී ඇති බව සොයා ගන්නා ලදී: ReactGet පවුලේ ස්නයිෆර් හි අනිෂ්ට කේතයට අමතරව, ImageID පවුලේ ස්නයිෆර් කේතය අනාවරණය විය. මෙම අතිච්ඡාදනය ස්නයිපර් දෙකම පිටුපස සිටින ක්රියාකරුවන් ද්වේෂසහගත කේතය එන්නත් කිරීමට සමාන තාක්ෂණික ක්රම භාවිතා කරන බවට සාක්ෂියක් විය හැකිය.
විශ්ව ස්නයිෆර්
ReactGet sniffer යටිතල ව්යුහය හා සම්බන්ධ එක් ඩොමේන් නාමයක් විශ්ලේෂණය කිරීමේදී එකම පරිශීලකයා වෙනත් වසම් නාම තුනක් ලියාපදිංචි කර ඇති බව අනාවරණය විය. මෙම වසම් තුන සැබෑ ජීවිතයේ වෙබ් අඩවි වල වසම් අනුකරණය කළ අතර මින් පෙර ස්නයිෆර් සත්කාරකත්වය සඳහා භාවිතා කරන ලදී. නීත්යානුකූල අඩවි තුනක කේතය විශ්ලේෂණය කිරීමේදී, නොදන්නා ස්නයිෆර් එකක් අනාවරණය වූ අතර, වැඩිදුර විශ්ලේෂණයෙන් පෙන්නුම් කළේ එය ReactGet sniffer හි වැඩිදියුණු කළ අනුවාදයක් බවයි. මෙම sniffer පවුලේ පෙර නිරීක්ෂණය කරන ලද සියලුම අනුවාද තනි ගෙවීම් පද්ධතියක් ඉලක්ක කර ඇත, එනම්, සෑම ගෙවීම් පද්ධතියකටම විශේෂ ස්නයිෆර් අනුවාදයක් අවශ්ය විය. කෙසේ වෙතත්, මෙම අවස්ථාවෙහිදී, විවිධ ගෙවීම් පද්ධති 15 ක් හා සබැඳි ගෙවීම් කිරීම සඳහා ඊ-වාණිජ්ය අඩවි මොඩියුලවලට අදාළ පෝරම වලින් තොරතුරු සොරකම් කළ හැකි ස්නයිෆර් හි විශ්වීය අනුවාදයක් සොයා ගන්නා ලදී.
එබැවින්, කාර්යය ආරම්භයේදී, වින්දිතයාගේ පුද්ගලික තොරතුරු අඩංගු මූලික ආකෘති ක්ෂේත්ර සඳහා ස්නයිෆර් සෙව්වේය: සම්පූර්ණ නම, භෞතික ලිපිනය, දුරකථන අංකය.
පසුව ස්නයිෆර් විවිධ ගෙවීම් පද්ධති සහ සබැඳි ගෙවීම් මොඩියුලවලට අනුරූප වන විවිධ උපසර්ග 15කට වඩා සෙව්වේය.
ඊළඟට, වින්දිතයාගේ පුද්ගලික දත්ත සහ ගෙවීම් තොරතුරු එකට එකතු කර ප්රහාරකයා විසින් පාලනය කරන ලද වෙබ් අඩවියකට යවන ලදී: මෙම විශේෂිත අවස්ථාවෙහිදී, විවිධ හැක් කරන ලද අඩවි දෙකක පිහිටා ඇති විශ්වීය ReactGet ස්නයිෆර් අනුවාද දෙකක් සොයා ගන්නා ලදී. කෙසේ වෙතත්, අනුවාද දෙකම සොරකම් කළ දත්ත එකම හැක් කරන ලද වෙබ් අඩවියට යවා ඇත zoobashop.com.
වින්දිතයාගේ ගෙවීම් තොරතුරු අඩංගු ක්ෂේත්ර සෙවීමට ස්නයිෆර් භාවිතා කළ උපසර්ග විශ්ලේෂණය කිරීමෙන් මෙම ස්නයිෆර් නියැදිය පහත ගෙවීම් පද්ධති ඉලක්ක කර ඇති බව තීරණය කිරීමට අපට ඉඩ සලසයි:
- අවසර දෙන්න
- වෙරිසින්
- පළමු දත්ත
- USAePay
- ස්ට්රේප්
- PayPal
- ANZ eGate
- මොළය
- DataCash (MasterCard)
- Realex ගෙවීම්
- PsiGate
- හාට්ලන්ඩ් ගෙවීම් පද්ධති
ගෙවීම් තොරතුරු සොරකම් කිරීමට භාවිතා කරන මෙවලම් මොනවාද?
ප්රහාරකයන්ගේ යටිතල පහසුකම් විශ්ලේෂණය කිරීමේදී සොයාගත් පළමු මෙවලම, බැංකු කාඩ්පත් සොරකම් කිරීම සඳහා වගකිව යුතු ද්වේෂසහගත ස්ක්රිප්ට් අපැහැදිලි කිරීමට භාවිතා කරයි. ව්යාපෘතියේ CLI භාවිතා කරන බාෂ් ස්ක්රිප්ට් එකක් ප්රහාරකයාගේ ධාරකයෙකුගෙන් සොයා ගන්නා ලදී ස්නයිෆර් කේතය අපැහැදිලි කිරීම ස්වයංක්රීය කිරීමට.
දෙවන සොයාගත් මෙවලම සැලසුම් කර ඇත්තේ ප්රධාන ස්නයිෆර් පැටවීම සඳහා වගකිව යුතු කේතය ජනනය කිරීම සඳහා ය. මෙම මෙවලම තන්තු සඳහා පරිශීලකයාගේ වත්මන් ලිපිනය සෙවීමෙන් පරිශීලකයා ගෙවීම් පිටුවේ සිටීදැයි පරීක්ෂා කරන JavaScript කේතය ජනනය කරයි. ලොව පුරාවටම, කරත්ත සහ යනාදිය, සහ ප්රති result ලය ධනාත්මක නම්, කේතය ප්රහාරකයන්ගේ සේවාදායකයෙන් ප්රධාන ස්නයිෆර් පූරණය කරයි. අනිෂ්ට ක්රියාකාරකම් සැඟවීමට, ගෙවීම් පිටුව තීරණය කිරීම සඳහා පරීක්ෂණ රේඛා, මෙන්ම ස්නයිෆර් වෙත සබැඳියක් ඇතුළුව සියලුම රේඛා සංකේතනය කර ඇත. පදනම 64.
තතුබෑම් ප්රහාර
ප්රහාරකයින්ගේ ජාල යටිතල ව්යුහය විශ්ලේෂණය කිරීමෙන් හෙළි වූයේ අපරාධ කණ්ඩායම බොහෝ විට ඉලක්කගත අන්තර්ජාල වෙළඳසැලේ පරිපාලන මණ්ඩලයට ප්රවේශය ලබා ගැනීම සඳහා තතුබෑම් භාවිතා කරන බවයි. ප්රහාරකයින් වෙළඳසැලක වසමකට දෘශ්යමය වශයෙන් සමාන වසමක් ලියාපදිංචි කර, පසුව එය මත ව්යාජ Magento පරිපාලන පැනල පිවිසුම් පෝරමයක් යොදවයි. සාර්ථක නම්, ප්රහාරකයන්ට Magento CMS හි පරිපාලන මණ්ඩලය වෙත ප්රවේශය ලැබෙනු ඇත, එමඟින් වෙබ් අඩවි සංරචක සංස්කරණය කිරීමට සහ ක්රෙඩිට් කාඩ් දත්ත සොරකම් කිරීමට ස්නයිෆර් ක්රියාත්මක කිරීමට අවස්ථාව ලබා දේ.
යටිතල පහසුකම්
| ඩොමේන් | සොයාගත් දිනය/පෙනුම |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagstracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| Trust-tracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
G-Analytics පවුල
ඔන්ලයින් වෙළඳසැල් වලින් පාරිභෝගික කාඩ්පත් සොරකම් කිරීමට මෙම ස්නිෆර් පවුල භාවිතා කරයි. සමූහය විසින් භාවිතා කරන ලද පළමු වසම් නාමය 2016 අප්රේල් මාසයේදී ලියාපදිංචි කරන ලදී, එයින් ඇඟවෙන්නේ සමූහය 2016 මැද භාගයේ ක්රියාකාරකම් ආරම්භ කළ බවයි.
වත්මන් ව්යාපාරයේ දී, සමූහය Google Analytics සහ jQuery වැනි සැබෑ ජීවිත සේවා අනුකරණය කරන වසම් නාම භාවිතා කරයි, නීත්යානුකූල ස්ක්රිප්ට් සහ ඩොමේන් නාම සහිත ස්නයිෆර්ගේ ක්රියාකාරකම් වසං කරයි. Magento CMS ක්රියාත්මක වන අඩවි වලට ප්රහාර එල්ල විය.
G-Analytics සබැඳි වෙළඳසැලක කේතයට ක්රියාත්මක කරන ආකාරය
මෙම පවුලේ සුවිශේෂී ලක්ෂණයක් වන්නේ පරිශීලක ගෙවීම් තොරතුරු සොරකම් කිරීමට විවිධ ක්රම භාවිතා කිරීමයි. වෙබ් අඩවියේ සේවාදායක පැත්තට ජාවාස්ක්රිප්ට් කේතය සම්භාව්ය එන්නත් කිරීමට අමතරව, අපරාධ කණ්ඩායම වෙබ් අඩවියේ සේවාදායක පැත්තට කේත එන්නත් කිරීමේ ක්රම ද භාවිතා කරයි, එනම් පරිශීලකයින් ඇතුළත් කළ දත්ත සකසන PHP ස්ක්රිප්ට් ය. මෙම තාක්ෂණය භයානක වන්නේ එය තුන්වන පාර්ශ්ව පර්යේෂකයන්ට අනිෂ්ට කේතය හඳුනා ගැනීමට අපහසු වන බැවිනි. Group-IB විශේෂඥයින් විසින් වසමක් ද්වාරයක් ලෙස භාවිතා කරමින්, වෙබ් අඩවියේ PHP කේතය තුළට එබ්බවූ ස්නයිෆර් අනුවාදයක් සොයා ගන්නා ලදී. dittm.org.
සොරකම් කරන ලද දත්ත රැස් කිරීම සඳහා එම වසම භාවිතා කරන ස්නයිෆරයක මුල් පිටපතක් ද සොයා ගන්නා ලදී dittm.org, නමුත් මෙම අනුවාදය අන්තර්ජාල වෙළඳසැලක සේවාදායක පැත්තේ ස්ථාපනය සඳහා අදහස් කෙරේ.
කණ්ඩායම පසුව තම උපක්රම වෙනස් කර ද්වේෂසහගත ක්රියාකාරකම් සහ සැඟවීම් සැඟවීමට වැඩි අවධානයක් යොමු කිරීමට පටන් ගත්හ.
2017 ආරම්භයේදී, කණ්ඩායම වසම භාවිතා කිරීමට පටන් ගත්තේය jquery-js.com, jQuery සඳහා CDN ලෙස වෙස්වළා ගැනීම: ප්රහාරකයන්ගේ අඩවියට යන විට, පරිශීලකයා නීත්යානුකූල වෙබ් අඩවියකට හරවා යවනු ලැබේ. jquery.com.
සහ 2018 මැද භාගයේදී, සමූහය ඩොමේන් නාමය භාවිතා කළේය g-analytics.com සහ නීත්යානුකූල Google Analytics සේවාවක් ලෙස sniffer ගේ ක්රියාකාරකම් වසන් කිරීමට පටන් ගත්තේය.
අනුවාද විශ්ලේෂණය
ස්නිෆර් කේතය ගබඩා කිරීමට භාවිතා කරන වසම් විශ්ලේෂණය කිරීමේදී, වෙබ් අඩවියේ අනුවාද විශාල සංඛ්යාවක් ඇති බව සොයා ගන්නා ලදී, ඒවා අපැහැදිලි වීම මෙන්ම අවධානය වෙනතකට යොමු කිරීම සඳහා ගොනුවට එකතු කළ නොහැකි කේතයක් තිබීම හෝ නොමැති වීම වෙනස් වේ. සහ අනිෂ්ට කේතය සඟවන්න.
වෙබ් අඩවියේ එකතුව jquery-js.com Sniffer හි අනුවාද හයක් හඳුනා ගන්නා ලදී. මෙම සොරකම් කරන්නන් සොරකම් කරන ලද දත්ත ස්නයිෆර්ගේ වෙබ් අඩවියේම පිහිටා ඇති ලිපිනයකට යවයි: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
පසුව වසම g-analytics.com, 2018 මැද භාගයේ සිට ප්රහාර වලදී කණ්ඩායම විසින් භාවිතා කරන ලද, තවත් sniffers සඳහා ගබඩාවක් ලෙස සේවය කරයි. සමස්තයක් වශයෙන්, ස්නයිෆර් හි විවිධ අනුවාද 16 ක් සොයා ගන්නා ලදී. මෙම අවස්ථාවෙහිදී, සොරකම් කරන ලද දත්ත යැවීමේ දොරටුව රූප ආකෘතියකට සබැඳියක් ලෙස වෙස්වළාගෙන ඇත GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
සොරකම් කළ දත්ත මුදල් ඉපැයීම
සාපරාධී කණ්ඩායම විසින් සොරකම් කරන ලද දත්ත වලින් මුදල් උපයනු ලබන්නේ කාඩ්පත්කරුවන්ට සේවා සපයන විශේෂයෙන් නිර්මාණය කරන ලද භූගත ගබඩාවක් හරහා කාඩ්පත් විකිණීමෙනි. ප්රහාරකයින් විසින් භාවිතා කරන ලද වසම් විශ්ලේෂණය කිරීමෙන් අපට එය තීරණය කිරීමට හැකි විය google-analytics.cm වසම ලෙස එකම පරිශීලකයා විසින් ලියාපදිංචි කරන ලදී cardz.vc. වසම් cardz.vc සොරකම් කරන ලද බැංකු කාඩ්පත් අලෙවි කරන වෙළඳසැලක් වෙත යොමු කරයි Cardsurfs (Flysurfs), එය භූගත වෙළඳ වේදිකාවක් වන AlphaBay හි ක්රියාකාරීත්වයේ දිනවල ජනප්රියත්වයට පත් වූයේ ස්නයිෆර් භාවිතයෙන් සොරකම් කරන ලද බැංකු කාඩ්පත් අලෙවි කරන වෙළඳසැලක් ලෙස ය.
වසම විශ්ලේෂණය කිරීම විශ්ලේෂණාත්මකයි, සොරකම් කරන ලද දත්ත රැස් කිරීම සඳහා Siffer විසින් භාවිතා කරන වසම් ඇති එකම සේවාදායකයේ පිහිටා ඇති, Group-IB විශේෂඥයින් විසින් කුකී සොරකම් කරන ලඝු-සටහන් අඩංගු ගොනුවක් සොයා ගන්නා ලදී, එය පසුව සංවර්ධකයා විසින් අතහැර දමා ඇති බව පෙනේ. ලොගයේ එක් ඇතුළත් කිරීමක වසමක් අඩංගු විය iozoz.com, එය කලින් 2016 දී සක්රිය වූ ස්නයිෆර් එකක භාවිතා කරන ලදී. අනුමාන වශයෙන්, මෙම වසම මීට පෙර ප්රහාරකයෙකු විසින් ස්නයිෆර් භාවිතයෙන් සොරකම් කරන ලද කාඩ්පත් එකතු කිරීමට භාවිතා කර ඇත. මෙම වසම ඊමේල් ලිපිනයකට ලියාපදිංචි කර ඇත [විද්යුත් ආරක්ෂිත], වසම් ලියාපදිංචි කිරීමට ද භාවිතා කරන ලදී cardz.su и cardz.vc, කාඩ්පත් ගබඩාව Cardsurfs සම්බන්ධ.
ලබාගත් දත්ත මත පදනම්ව, G-Analytics පවුලේ sniffer සහ බැංකු කාඩ්පත් අලෙවි කරන භූගත ගබඩා Cardsurfs කළමනාකරණය කරනු ලබන්නේ එකම පුද්ගලයින් විසින් බව උපකල්පනය කළ හැකි අතර, එම ගබඩාව ස්නයිෆර් භාවිතයෙන් සොරකම් කරන ලද බැංකු කාඩ්පත් විකිණීමට භාවිතා කරයි.
යටිතල පහසුකම්
| ඩොමේන් | සොයාගත් දිනය/පෙනුම |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| විශ්ලේෂණාත්මක.ට | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| විශ්ලේෂණාත්මකයි | 28.12.2018 |
| googlc-analytics.cm | 17.01.2019 |
ඉලුම් පවුල
Illum යනු Magento CMS ක්රියාත්මක වන අන්තර්ජාල වෙළඳසැල් වලට පහර දීමට භාවිතා කරන ස්නයිෆර් පවුලකි. අනිෂ්ට කේතය හඳුන්වා දීමට අමතරව, මෙම sniffer හි ක්රියාකරුවන් විසින් ප්රහාරකයින් විසින් පාලනය කරනු ලබන දොරටු වෙත දත්ත යවන සම්පූර්ණ ව්යාජ ගෙවීම් ආකෘති හඳුන්වාදීම ද භාවිතා කරයි.
මෙම sniffer හි ක්රියාකරුවන් විසින් භාවිතා කරන ජාල යටිතල ව්යුහය විශ්ලේෂණය කිරීමේදී, අනිෂ්ට ස්ක්රිප්ට්, සූරාකෑම්, ව්යාජ ගෙවීම් ආකෘති විශාල ප්රමාණයක් මෙන්ම තරඟකරුවන්ගෙන් අනිෂ්ට ස්නයිෆර් සමඟ උදාහරණ එකතුවක් සටහන් විය. සමූහය විසින් භාවිතා කරන ලද ඩොමේන් නාමයන් දිස්වන දිනයන් පිළිබඳ තොරතුරු මත පදනම්ව, මෙම ව්යාපාරය 2016 අවසානයේ ආරම්භ වූ බව උපකල්පනය කළ හැකිය.
ඔන්ලයින් වෙළඳසැලක කේතයට Illum ක්රියාත්මක කරන ආකාරය
සොයාගත් ස්නයිෆර් හි පළමු අනුවාදයන් සම්මුතියට ලක් වූ වෙබ් අඩවියේ කේතයට සෘජුවම ඇතුළත් කර ඇත. සොරාගත් දත්ත යවා ඇත cdn.illum[.]pw/records.php, ගේට්ටුව සංකේතනය කර ඇත පදනම 64.
පසුව, වෙනත් ගේට්ටුවක් භාවිතා කරන ස්නයිෆර් හි ඇසුරුම් කළ අනුවාදයක් සොයා ගන්නා ලදී - records.nstatistics[.]com/records.php.
අනුව Willem de Groot, මත ක්රියාත්මක කරන ලද Siffer හි එකම සත්කාරක භාවිතා කරන ලදී , ජර්මානු දේශපාලන පක්ෂය වන CSU සතුය.
ප්රහාරකයන්ගේ වෙබ් අඩවියේ විශ්ලේෂණය
කණ්ඩායම්-IB විශේෂඥයින් විසින් මෙවලම් ගබඩා කිරීමට සහ සොරකම් කළ තොරතුරු රැස් කිරීමට මෙම අපරාධ කණ්ඩායම විසින් භාවිතා කරන ලද වෙබ් අඩවියක් සොයා ගෙන විශ්ලේෂණය කරන ලදී.
ප්රහාරකයන්ගේ සේවාදායකයේ සොයාගත් මෙවලම් අතර Linux OS හි වරප්රසාද උත්සන්න කිරීම සඳහා ස්ක්රිප්ට් සහ සූරාකෑම් විය: නිදසුනක් ලෙස, Mike Czumak විසින් සංවර්ධනය කරන ලද Linux වරප්රසාද වර්ධන පිරික්සුම් ස්ක්රිප්ටය මෙන්ම CVE-2009-1185 සඳහා සූරාකෑමක් ද විය.
ප්රහාරකයින් මාර්ගගත වෙළඳසැල් වලට පහර දීමට සෘජුවම සූරාකෑම් දෙකක් භාවිතා කළහ: අනිෂ්ට කේතය එන්නත් කිරීමට හැකියාව ඇත core_config_data CVE-2016-4010 ගසාකෑමෙන්, CMS Magento සඳහා ප්ලගීනවල RCE අවදානමක් භාවිතා කරයි, අවදානමට ලක්විය හැකි වෙබ් සේවාදායකයක් මත හිතුවක්කාර කේතය ක්රියාත්මක කිරීමට ඉඩ සලසයි.
එසේම, සේවාදායකය විශ්ලේෂණය කිරීමේදී, විවිධ ස්නිෆර් සාම්පල සහ ව්යාජ ගෙවීම් ආකෘති සොයා ගන්නා ලදී, ප්රහාරකයින් විසින් හැක් කරන ලද අඩවි වලින් ගෙවීම් තොරතුරු රැස් කිරීමට භාවිතා කරන ලදී. පහත ලැයිස්තුවෙන් ඔබට පෙනෙන පරිදි, එක් එක් හැක් කරන ලද වෙබ් අඩවිය සඳහා සමහර ස්ක්රිප්ට් තනි තනිව නිර්මාණය කර ඇති අතර, ඇතැම් CMS සහ ගෙවීම් ද්වාර සඳහා විශ්වීය විසඳුමක් භාවිතා කරන ලදී. උදාහරණයක් ලෙස, ස්ක්රිප්ට් segapay_standart.js и segapay_onpage.js Sage Pay ගෙවීමේ ද්වාරය භාවිතා කරන අඩවි වල ක්රියාත්මක කිරීම සඳහා නිර්මාණය කර ඇත.
විවිධ ගෙවීම් ද්වාර සඳහා ස්ක්රිප්ට් ලැයිස්තුව
| පිටපත | ගෙවීම් දොරටුව |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdierenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_forminsite.js | //ගෙවීම් දැන්[.]tk/?payment= |
සත්කාරක ගෙවීම් දැන්[.]tk, ස්ක්රිප්ට් එකක ද්වාරයක් ලෙස භාවිතා කරයි ගෙවීම්_forminsite.js, ලෙස සොයා ගන්නා ලදී විෂයAltName CloudFlare සේවාවට අදාළ සහතික කිහිපයක. ඊට අමතරව, සත්කාරකයේ පිටපතක් අඩංගු විය නරක.js. ස්ක්රිප්ටයේ නම අනුව විනිශ්චය කිරීම, එය CVE-2016-4010 සූරාකෑමේ කොටසක් ලෙස භාවිතා කළ හැකිය, එයට ස්තූතිවන්ත වන පරිදි CMS Magento ධාවනය වන වෙබ් අඩවියක පාදයට අනිෂ්ට කේතය එන්නත් කළ හැකිය. සත්කාරක සමාගම මෙම ස්ක්රිප්ට් එක ගේට්ටුවක් ලෙස භාවිතා කළේය request.requestnet[.]tkධාරකයට සමාන සහතිකයක් භාවිතා කිරීම ගෙවීම් දැන්[.]tk.
ව්යාජ ගෙවීම් ආකෘති
පහත රූපයේ දැක්වෙන්නේ කාඩ්පත් දත්ත ඇතුළත් කිරීමේ පෝරමයක උදාහරණයකි. මෙම පෝරමය අන්තර්ජාල වෙළඳසැලකට රිංගා කාඩ්පත් දත්ත සොරකම් කිරීමට භාවිතා කරන ලදී.
පහත රූපයේ දැක්වෙන්නේ ප්රහාරකයින් විසින් මෙම ගෙවීම් ක්රමය සමඟින් අඩවිවලට රිංගා ගැනීම සඳහා භාවිතා කරන ලද ව්යාජ PayPal ගෙවීම් පෝරමයක උදාහරණයකි.
යටිතල පහසුකම්
| ඩොමේන් | සොයාගත් දිනය/පෙනුම |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| request.payrightnow.cf | 25/05/2018 |
| paynow.tk | 16/07/2017 |
| ගෙවීම්-line.tk | 01/03/2018 |
| paypal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
කෝපි මොක්කෝ පවුල
ඔන්ලයින් වෙළඳසැල භාවිතා කරන්නන්ගෙන් බැංකු කාඩ්පත් සොරකම් කිරීම සඳහා නිර්මාණය කර ඇති CoffeMokko පවුලේ sniffer, අවම වශයෙන් 2017 මැයි මාසයේ සිට භාවිතයේ පවතී. අනුමාන වශයෙන්, 1 දී RiskIQ විශේෂඥයින් විසින් විස්තර කරන ලද අපරාධ කණ්ඩායම 2016 කණ්ඩායම මෙම sniffer පවුලේ ක්රියාකරුවන් වේ. Magento, OpenCart, WordPress, osCommerce, සහ Shopify වැනි CMS ධාවනය වන අඩවි වලට පහර දෙන ලදී.
CoffeMokko අන්තර්ජාල වෙළඳසැලක කේතයට ක්රියාත්මක කරන ආකාරය
මෙම පවුලේ ක්රියාකරුවන් එක් එක් ආසාදනය සඳහා අද්විතීය ස්නිෆර් නිර්මාණය කරයි: ස්නයිෆර් ගොනුව නාමාවලියෙහි පිහිටා ඇත src හෝ js ප්රහාරකයන්ගේ සේවාදායකයේ. අඩවි කේතයට ඇතුළත් කිරීම ස්නයිෆර් වෙත සෘජු සබැඳියක් හරහා සිදු කෙරේ.
ස්නයිෆර් කේතය දත්ත සොරකම් කළ යුතු පෝරම ක්ෂේත්රවල නම් දෘඪ කේත කරයි. පරිශීලකයාගේ වත්මන් ලිපිනය සහිත මූල පද ලැයිස්තුව පරීක්ෂා කිරීමෙන් පරිශීලකයා ගෙවීම් පිටුවේ සිටීදැයි ස්නයිෆර් ද පරීක්ෂා කරයි.
ස්නයිෆර් හි සමහර සොයාගත් අනුවාද අපැහැදිලි වූ අතර ප්රධාන සම්පත් මාලාව ගබඩා කර ඇති සංකේතාත්මක තන්තුවක් අඩංගු විය: එහි විවිධ ගෙවීම් පද්ධති සඳහා පෝරම ක්ෂේත්රවල නම් මෙන්ම සොරකම් කළ දත්ත යැවිය යුතු ද්වාර ලිපිනයද අඩංගු විය.
සොරකම් කළ ගෙවීම් තොරතුරු අතරමගදී ප්රහාරකයන්ගේ සේවාදායකයේ ස්ක්රිප්ට් එකකට යවන ලදී /savePayment/index.php හෝ /tr/index.php. අනුමාන වශයෙන්, මෙම ස්ක්රිප්ටය ගේට්ටුවේ සිට ප්රධාන සේවාදායකය වෙත දත්ත යැවීමට භාවිතා කරයි, එය සියලුම ස්නයිෆර් වෙතින් දත්ත ඒකාබද්ධ කරයි. සම්ප්රේෂණය කරන ලද දත්ත සැඟවීමට, වින්දිතයාගේ සියලුම ගෙවීම් තොරතුරු සංකේතනය කර ඇත පදනම 64, පසුව අක්ෂර ආදේශන කිහිපයක් සිදු වේ:
- "e" අක්ෂරය වෙනුවට ":"
- "w" සංකේතය "+" මගින් ප්රතිස්ථාපනය වේ
- "o" අක්ෂරය "%" මගින් ප්රතිස්ථාපනය වේ
- "d" අක්ෂරය "#" මගින් ප්රතිස්ථාපනය වේ
- "a" අක්ෂරය "-" මගින් ප්රතිස්ථාපනය වේ
- "7" සංකේතය "^" සමඟ ප්රතිස්ථාපනය වේ
- "h" අක්ෂරය "_" මගින් ප්රතිස්ථාපනය වේ
- "T" සංකේතය "@" මගින් ප්රතිස්ථාපනය වේ
- "0" අක්ෂරය "/" මගින් ප්රතිස්ථාපනය වේ
- "Y" අක්ෂරය "*" මගින් ප්රතිස්ථාපනය වේ
භාවිතයෙන් සංකේතනය කරන ලද අක්ෂර ආදේශනවල ප්රතිඵලයක් ලෙස පදනම 64 ප්රතිලෝම පරිවර්තනය සිදු නොකර දත්ත විකේතනය කළ නොහැක.
අපැහැදිලි නොවූ ස්නයිෆර් කේතයේ කොටසක් පෙනෙන්නේ මෙයයි:
යටිතල පහසුකම් විශ්ලේෂණය
මුල් ප්රචාරණ වලදී, ප්රහාරකයන් නීත්යානුකූල අන්තර්ජාල සාප්පු සවාරි අඩවි වලට සමාන වසම් නාම ලියාපදිංචි කර ඇත. ඔවුන්ගේ වසම නීත්යානුකූල එකින් එක සංකේත හෝ වෙනත් TLD වලින් වෙනස් විය හැක. ස්නිෆර් කේතය ගබඩා කිරීම සඳහා ලියාපදිංචි වසම් භාවිතා කරන ලදී, එය ගබඩා කේතය තුළ අන්තර්ගත කර ඇත.
මෙම කණ්ඩායම ජනප්රිය jQuery ප්ලගීන සිහිගන්වන වසම් නාමද භාවිතා කළේය (slickjs[.]org ප්ලගිනය භාවිතා කරන අඩවි සඳහා slick.js), ගෙවීම් දොරටු (sagecdn[.]org Sage Pay ගෙවීම් පද්ධතිය භාවිතා කරන අඩවි සඳහා).
පසුව, කණ්ඩායම ගබඩා වසම හෝ වෙළඳසැලේ තේමාව සමඟ කිසිදු සම්බන්ධයක් නොමැති වසම් නිර්මාණය කිරීමට පටන් ගත්හ.
එක් එක් වසම නාමාවලිය නිර්මාණය කරන ලද අඩවියකට අනුරූප විය /js හෝ / src. Sniffer ස්ක්රිප්ට් මෙම නාමාවලියෙහි ගබඩා කර ඇත: සෑම නව ආසාදනයක් සඳහාම එක් ස්නයිෆර් එකක්. ස්නයිෆර් සෘජු සබැඳියක් හරහා වෙබ් අඩවි කේතයට ඇතුළත් කර ඇත, නමුත් දුර්ලභ අවස්ථාවන්හිදී, ප්රහාරකයන් වෙබ් අඩවි ගොනු වලින් එකක් වෙනස් කර එයට අනිෂ්ට කේතයක් එක් කළේය.
කේත විශ්ලේෂණය
පළමු අපැහැදිලි ඇල්ගොරිතම
මෙම පවුලේ සමහර සොයාගත් ස්නයිෆර් සාම්පලවල, කේතය අපැහැදිලි වූ අතර ස්නයිෆර්ට වැඩ කිරීමට අවශ්ය සංකේතාත්මක දත්ත අඩංගු විය: විශේෂයෙන්, ස්නයිෆර් ගේට් ලිපිනය, ගෙවීම් පෝරම ක්ෂේත්ර ලැයිස්තුවක් සහ සමහර අවස්ථාවල ව්යාජ කේතයක්. ගෙවීම් පෝරමය. ශ්රිතය තුළ ඇති කේතය තුළ, සම්පත් සංකේතනය කර ඇත XOR එකම කාර්යය සඳහා තර්කයක් ලෙස සම්මත කරන ලද යතුර මගින්.
එක් එක් නියැදිය සඳහා අනන්ය වූ, සුදුසු යතුර සමඟ තන්තුව විකේතනය කිරීමෙන්, බෙදුම් අක්ෂරයකින් වෙන් කරන ලද ස්නයිෆර් කේතයෙන් සියලුම නූල් අඩංගු තන්තුවක් ඔබට ලබා ගත හැක.
දෙවන අපැහැදිලි ඇල්ගොරිතම
මෙම පවුලේ ස්නිෆර් වල පසුකාලීන සාම්පල වලදී, වෙනස් අපැහැදිලි යාන්ත්රණයක් භාවිතා කරන ලදී: මෙම අවස්ථාවේදී, දත්ත ස්වයං-ලිඛිත ඇල්ගොරිතමයක් භාවිතයෙන් සංකේතනය කරන ලදී. ස්නයිෆරය ක්රියාත්මක වීමට අවශ්ය සංකේතාත්මක දත්ත අඩංගු තන්තුවක් විකේතන ශ්රිතයට තර්කයක් ලෙස ලබා දෙන ලදී.
බ්රව්සර් කොන්සෝලය භාවිතයෙන්, ඔබට සංකේතනය කළ දත්ත විකේතනය කර ස්නයිෆර් සම්පත් අඩංගු අරාවක් ලබා ගත හැක.
මුල් MageCart ප්රහාරවලට සම්බන්ධ වීම
සොරකම් කරන ලද දත්ත රැස් කිරීම සඳහා සමූහය විසින් භාවිතා කරන ලද එක් වසමක් විශ්ලේෂණය කිරීමේදී, මෙම වසම ක්රෙඩිට් කාඩ් සොරකම් සඳහා යටිතල පහසුකම් සපයන බව සොයා ගන්නා ලදී, එය පළමු කණ්ඩායම් වලින් එකක් වන කණ්ඩායම් 1 විසින් භාවිතා කරන ලද ඒවාට සමාන ය. RiskIQ විශේෂඥයින් විසිනි.
CoffeMokko පවුලේ sniffer ගේ ධාරකයෙන් ලිපිගොනු දෙකක් හමු විය:
- mage.js — ද්වාර ලිපිනය සහිත කණ්ඩායම් 1 ස්නිෆර් කේතය අඩංගු ගොනුව js-cdn.link
- mag.php - ස්නයිෆර් විසින් සොරකම් කරන ලද දත්ත රැස් කිරීම සඳහා වගකිව යුතු PHP ස්ක්රිප්ට්
mage.js ගොනුවේ අන්තර්ගතය
CoffeMokko පවුලේ Sniffer පිටුපස සිටින කණ්ඩායම විසින් භාවිතා කරන ලද පැරණිතම වසම් 17 මැයි 2017 වන දින ලියාපදිංචි කර ඇති බව ද තීරණය විය:
- link-js[.]සබැඳිය
- info-js[.]සබැඳිය
- track-js[.]සබැඳිය
- map-js[.]සබැඳිය
- smart-js[.]සබැඳිය
මෙම වසම් නාමවල ආකෘතිය 1 ප්රහාර වලදී භාවිතා කරන ලද 2016 කාණ්ඩයේ වසම් නාම වලට ගැලපේ.
සොයාගත් කරුණු මත පදනම්ව, CoffeMokko sniffer හි ක්රියාකරුවන් සහ අපරාධ කණ්ඩායම් 1 අතර සම්බන්ධයක් ඇති බව උපකල්පනය කළ හැකිය. අනුමාන වශයෙන්, CoffeMokko ක්රියාකරුවන්ට කාඩ්පත් සොරකම් කිරීම සඳහා ඔවුන්ගේ පූර්වගාමීන්ගෙන් මෙවලම් සහ මෘදුකාංග ණයට ගත හැකි විය. කෙසේ වෙතත්, CoffeMokko පවුලේ උදැල්ල භාවිතා කිරීම පිටුපස සිටින අපරාධ කණ්ඩායම 1 කාණ්ඩයේ ප්රහාර එල්ල කළ පුද්ගලයින්ම වීමට බොහෝ දුරට ඉඩ ඇත. අපරාධ කණ්ඩායමේ ක්රියාකාරකම් පිළිබඳ පළමු වාර්තාව ප්රකාශයට පත් කිරීමෙන් පසුව, ඔවුන්ගේ සියලුම වසම් නාම අවහිර කර ඇති අතර මෙවලම් සවිස්තරාත්මකව අධ්යයනය කර විස්තර කරන ලදී. කණ්ඩායමට විවේකයක් ගැනීමට, එහි අභ්යන්තර මෙවලම් පිරිපහදු කිරීමට සහ එහි ප්රහාර දිගටම කරගෙන යාමට සහ අනාවරණය නොවී සිටීමට ස්නයිෆර් කේතය නැවත ලිවීමට බල කෙරුනි.
යටිතල පහසුකම්
| ඩොමේන් | සොයාගත් දිනය/පෙනුම |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| Security-payment.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parks.su | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffetea.org | 31.01.2018 |
| energycoffe.org | 31.01.2018 |
| energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| authorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitnesse.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
මූලාශ්රය: www.habr.com