Pothuajse secili prej nesh përdor shërbimet e dyqaneve online, që do të thotë se herët a vonë rrezikojmë të bëhemi viktimë e sniffers JavaScript - një kod i veçantë që sulmuesit e injektojnë në një faqe interneti për të vjedhur të dhënat e kartës bankare, adresat, emrat e përdoruesve dhe fjalëkalimet. .
Gati 400 përdorues të faqes së internetit të British Airways dhe aplikacionit celular tashmë janë prekur nga sniffers, si dhe vizitorët e faqes së internetit të gjigantit sportiv britanik FILA dhe shpërndarësit të biletave amerikane, Ticketmaster. PayPal, Chase Paymenttech, USAePay, Moneris - këto dhe shumë sisteme të tjera pagesash janë infektuar.
Analisti i Threat Intelligence Group-IB Viktor Okorokov flet për mënyrën se si sniferët depërtojnë kodin e faqes në internet dhe vjedhin informacionin e pagesave, si dhe cilat CRM sulmojnë.
"Kërcënimi i fshehur"
Kështu ndodhi që për një kohë të gjatë gërmuesit JS mbetën jashtë syve të analistëve antivirus, dhe bankat dhe sistemet e pagesave nuk i shihnin ato si një kërcënim serioz. Dhe absolutisht më kot. Ekspertët e Grupit-IB
Le të ndalemi në detaje në katër familjet e nuhatësve të studiuar në rrjedhën e studimit.
Familja ReactGet
Sniffers të familjes ReactGet përdoren për të vjedhur të dhënat e kartave bankare në faqet e blerjeve në internet. Sniffer mund të punojë me një numër të madh sistemesh të ndryshme pagesash të përdorura në sit: një vlerë parametri korrespondon me një sistem pagese dhe versionet individuale të zbuluara të sniferit mund të përdoren për të vjedhur kredencialet, si dhe për të vjedhur të dhënat e kartës bankare nga format e pagesave të disa sistemeve të pagesave njëherësh, si i ashtuquajturi sniffer universal. U zbulua se në disa raste, sulmuesit kryejnë sulme phishing ndaj administratorëve të dyqaneve në internet me qëllim që të kenë akses në panelin administrativ të faqes.
Fushata duke përdorur këtë familje sniffers filloi në maj 2017. U sulmuan faqet që përdorin CMS dhe platformat Magento, Bigcommerce, Shopify.
Si është ngulitur ReactGet në kodin e një dyqani online
Përveç injektimit të skriptit "klasik" me lidhje, operatorët e sniferit të familjes ReactGet përdorin një teknikë të veçantë: duke përdorur kodin JavaScript, kontrollon nëse adresa aktuale ku ndodhet përdoruesi plotëson disa kritere. Kodi me qëllim të keq do të ekzekutohet vetëm nëse URL-ja aktuale përmban një nënvarg arkë ose një hap kontrolloni, nje faqe/, jashtë/njëpag, arka/një, skaut/një. Kështu, kodi sniffer do të ekzekutohet pikërisht në momentin kur përdoruesi vazhdon të paguajë për blerjet dhe fut informacionin e pagesës në formularin në sit.
Ky nuhatës përdor një teknikë jo standarde. Pagesa dhe të dhënat personale të viktimës mblidhen së bashku, të koduara duke përdorur base64, dhe më pas vargu që rezulton përdoret si parametër për të dërguar një kërkesë në sajtin me qëllim të keq. Më shpesh, rruga për në portë imiton një skedar JavaScript, për shembull resp.js, të dhëna.js dhe kështu me radhë, por përdoren gjithashtu lidhje me skedarët e imazhit, GIF и JPG. E veçanta është se sniffer krijon një objekt imazhi me madhësi 1 me 1 pixel dhe përdor lidhjen e marrë më parë si parametër src Imazhet. Kjo do të thotë, për përdoruesin, një kërkesë e tillë në trafik do të duket si një kërkesë për një fotografi të rregullt. Një teknikë e ngjashme u përdor në familjen e snifferëve ImageID. Për më tepër, teknika e imazhit me piksel 1x1 përdoret në shumë skripte të ligjshme analitike në internet, të cilat gjithashtu mund të mashtrojnë përdoruesin.
Analiza e versionit
Një analizë e domeneve aktive të përdorura nga operatorët sniffer të ReactGet zbuloi shumë versione të ndryshme të kësaj familjeje snifferësh. Versionet ndryshojnë në praninë ose mungesën e turbullimit, dhe përveç kësaj, çdo sniffer është krijuar për një sistem specifik pagese që përpunon pagesat me karta bankare për dyqanet online. Pas renditjes së vlerës së parametrit që korrespondon me numrin e versionit, specialistët e Group-IB morën një listë të plotë të variacioneve të disponueshme sniffer dhe me emrat e fushave të formularit që secili snifer kërkon në kodin e faqes, ata përcaktuan sistemet e pagesave. që shënjestruesi i kapur.
Lista e nuhatësve dhe sistemet e tyre përkatëse të pagesave
URL Sniffer | Sistemi i pagesave |
---|---|
|
Authorize.Net |
Shpellë | |
|
Authorize.Net |
Authorize.Net | |
|
eWAY Rapid |
Authorize.Net | |
Adyen | |
|
USAePay |
Authorize.Net | |
USAePay | |
|
Authorize.Net |
Moneris | |
USAePay | |
PayPal | |
SagePay | |
Verisign | |
PayPal | |
Shirit | |
|
Realex |
PayPal | |
LinkPoint | |
PayPal | |
PayPal | |
arka e të dhënave | |
|
PayPal |
|
Authorize.Net |
|
Authorize.Net |
Authorize.Net | |
Authorize.Net | |
|
Verisign |
|
Authorize.Net |
Moneris | |
|
SagePay |
|
USAePay |
|
Authorize.Net |
|
Authorize.Net |
|
ANZ eGate |
|
Authorize.Net |
|
Moneris |
|
SagePay |
SagePay | |
|
Ndjek ndjekjen |
|
Authorize.Net |
|
Adyen |
PsiGate | |
Burimi kibernetik | |
ANZ eGate | |
Realex | |
|
USAePay |
|
Authorize.Net |
|
Authorize.Net |
|
ANZ eGate |
|
PayPal |
|
PayPal |
Realex | |
|
SagePay |
|
PayPal |
|
Verisign |
Authorize.Net | |
|
Verisign |
Authorize.Net | |
|
ANZ eGate |
PayPal | |
Burimi kibernetik | |
|
Authorize.Net |
|
SagePay |
Realex | |
|
Burimi kibernetik |
PayPal | |
PayPal | |
|
PayPal |
|
Verisign |
|
eWAY Rapid |
|
SagePay |
SagePay | |
|
Verisign |
Authorize.Net | |
Authorize.Net | |
|
Porta e parë globale e të dhënave |
Authorize.Net | |
Authorize.Net | |
Moneris | |
|
Authorize.Net |
|
PayPal |
|
Verisign |
|
USAePay |
USAePay | |
Authorize.Net | |
Verisign | |
PayPal | |
|
Authorize.Net |
Shirit | |
|
Authorize.Net |
eWAY Rapid | |
|
SagePay |
Authorize.Net | |
|
Braintree |
|
Braintree |
|
PayPal |
|
SagePay |
|
SagePay |
|
Authorize.Net |
|
PayPal |
|
Authorize.Net |
Verisign | |
|
PayPal |
|
Authorize.Net |
|
Shirit |
|
Authorize.Net |
eWAY Rapid | |
SagePay | |
|
Authorize.Net |
Braintree | |
|
PayPal |
|
SagePay |
SagePay | |
|
Authorize.Net |
PayPal | |
Authorize.Net | |
|
Verisign |
|
Authorize.Net |
|
Authorize.Net |
|
Authorize.Net |
|
Authorize.Net |
|
SagePay |
SagePay | |
|
Westpac PayWay |
|
paga |
|
PayPal |
|
Authorize.Net |
|
Shirit |
|
Porta e parë globale e të dhënave |
|
PsiGate |
Authorize.Net | |
Authorize.Net | |
|
Moneris |
|
Authorize.Net |
SagePay | |
|
Verisign |
Moneris | |
PayPal | |
|
LinkPoint |
|
Westpac PayWay |
Authorize.Net | |
|
Moneris |
|
PayPal |
Adyen | |
PayPal | |
Authorize.Net | |
USAePay | |
Tarifa EBiz | |
|
Authorize.Net |
|
Verisign |
Verisign | |
Authorize.Net | |
|
PayPal |
|
Moneris |
Authorize.Net | |
|
PayPal |
PayPal | |
Westpac PayWay | |
Authorize.Net | |
|
Authorize.Net |
SagePay | |
|
Verisign |
|
Authorize.Net |
|
PayPal |
|
paga |
Burimi kibernetik | |
PayPal Payflow Pro | |
|
Authorize.Net |
|
Authorize.Net |
Verisign | |
|
Authorize.Net |
|
Authorize.Net |
SagePay | |
Authorize.Net | |
|
Shirit |
|
Authorize.Net |
Authorize.Net | |
Verisign | |
|
PayPal |
Authorize.Net | |
|
Authorize.Net |
SagePay | |
|
Authorize.Net |
|
Authorize.Net |
|
PayPal |
|
Strall |
|
PayPal |
SagePay | |
Verisign | |
|
Authorize.Net |
|
Authorize.Net |
|
Shirit |
|
Zebra e shëndoshë |
SagePay | |
|
Authorize.Net |
Porta e parë globale e të dhënave | |
|
Authorize.Net |
|
eWAY Rapid |
Adyen | |
|
PayPal |
Shërbimet tregtare të QuickBooks | |
Verisign | |
|
SagePay |
Verisign | |
|
Authorize.Net |
|
Authorize.Net |
SagePay | |
|
Authorize.Net |
|
eWAY Rapid |
Authorize.Net | |
|
ANZ eGate |
|
PayPal |
Burimi kibernetik | |
|
Authorize.Net |
SagePay | |
|
Realex |
Burimi kibernetik | |
|
PayPal |
|
PayPal |
|
PayPal |
|
Verisign |
eWAY Rapid | |
|
SagePay |
|
SagePay |
|
Verisign |
Authorize.Net | |
|
Authorize.Net |
|
Porta e parë globale e të dhënave |
Authorize.Net | |
Authorize.Net | |
|
Moneris |
|
Authorize.Net |
|
PayPal |
Gjuajtës i fjalëkalimit
Një nga avantazhet e sniffers JavaScript që funksionon në anën e klientit të një faqe interneti është shkathtësia e tij: kodi keqdashës i ngulitur në një faqe interneti mund të vjedhë çdo lloj të dhënash, qoftë informacion pagese ose hyrje dhe fjalëkalim nga një llogari përdoruesi. Specialistët e Group-IB zbuluan një mostër të një sniffer që i përket familjes ReactGet, i krijuar për të vjedhur adresat e emailit dhe fjalëkalimet e përdoruesve të faqes.
Kryqëzimi me sniffer ImageID
Gjatë analizës së një prej dyqaneve të infektuara, u zbulua se uebsajti i saj ishte infektuar dy herë: përveç kodit me qëllim të keq të sniferit të familjes ReactGet, u gjet kodi i sniferit të familjes ImageID. Kjo mbivendosje mund të jetë dëshmi se operatorët pas të dy sniffers po përdorin teknika të ngjashme për të injektuar kodin me qëllim të keq.
Njerës universal
Gjatë analizës së njërit prej emrave të domain-it të lidhur me infrastrukturën sniffer ReactGet, u konstatua se i njëjti përdorues regjistroi tre emra të tjerë domenesh. Këto tre domene imitonin domenet e sajteve të jetës reale dhe ishin përdorur më parë për të pritur sniffers. Gjatë analizimit të kodit të tre vendeve legjitime, u gjet një sniffer i panjohur dhe analiza e mëtejshme tregoi se ky është një version i përmirësuar i sniffer ReactGet. Të gjitha versionet e gjurmuara më parë të kësaj familjeje sniffers ishin në shënjestër në një sistem të vetëm pagese, domethënë kërkohej një version i veçantë i snifferit për çdo sistem pagese. Megjithatë, në këtë rast, u zbulua një version universal i sniffer, i aftë për të vjedhur informacion nga formularët që lidhen me 15 sisteme të ndryshme pagesash dhe module të faqeve të tregtisë elektronike për pagesat në internet.
Pra, në fillim të punës, nuhatësi kërkoi për fushat bazë të formularit që përmbanin të dhënat personale të viktimës: emrin e plotë, adresën fizike, numrin e telefonit.
Sniffer më pas kërkoi mbi 15 prefikse të ndryshme që korrespondojnë me sisteme dhe module të ndryshme pagesash për pagesat online.
Më pas, të dhënat personale të viktimës dhe informacioni i pagesës u mblodhën së bashku dhe u dërguan në një sit të kontrolluar nga sulmuesi: në këtë rast të veçantë, dy versione të sniffer universal ReactGet u gjetën të vendosura në dy sajte të ndryshme të hakuara. Megjithatë, të dy versionet dërguan të dhënat e vjedhura në të njëjtin sajt të hakuar. zoobashop.com.
Një analizë e prefikseve të përdorura nga sniffer për të gjetur fushat që përmbajnë informacionin e pagesës së viktimës përcaktoi se ky mostër snifer synonte sistemet e mëposhtme të pagesave:
- Authorize.Net
- Verisign
- Të dhënat e para
- USAePay
- Shirit
- PayPal
- ANZ eGate
- Braintree
- Paratë e të dhënave (MasterCard)
- Pagesat Realex
- PsiGate
- Sistemet e Pagesave Heartland
Cilat mjete përdoren për të vjedhur informacionin e pagesës
Mjeti i parë i zbuluar gjatë analizës së infrastrukturës së sulmuesve shërben për të errësuar skriptet me qëllim të keq që janë përgjegjës për vjedhjen e kartave bankare. Një skript bash duke përdorur CLI-në e projektit u gjet në një nga hostet e sulmuesve.
Mjeti i dytë i zbuluar është krijuar për të gjeneruar kodin përgjegjës për ngarkimin e snifferit kryesor. Ky mjet gjeneron një kod JavaScript që kontrollon nëse përdoruesi është në faqen e arkës duke kërkuar adresën aktuale të përdoruesit për vargjet arkë, qerre dhe kështu me radhë, dhe nëse rezultati është pozitiv, atëherë kodi ngarkon snifferin kryesor nga serveri i ndërhyrës. Për të fshehur aktivitetin me qëllim të keq, të gjitha linjat, duke përfshirë linjat e testimit për përcaktimin e faqes së pagesës, si dhe një lidhje me sniffer, kodohen duke përdorur base64.
Sulmet e phishing
Gjatë analizës së infrastrukturës së rrjetit të sulmuesve, u konstatua se grupi kriminal shpesh përdor phishing për të hyrë në panelin administrativ të dyqanit online të synuar. Sulmuesit regjistrojnë një domen që duket si një domen dyqani dhe më pas vendosin një formular të rremë hyrjeje të administratorit Magento në të. Nëse janë të suksesshëm, sulmuesit do të kenë akses në panelin e administratorit të Magento CMS, i cili u jep atyre mundësinë për të redaktuar komponentët e faqes dhe për të zbatuar një sniffer për të vjedhur të dhënat e kartës së kreditit.
Infrastrukturë
Домен | Data e zbulimit/shfaqjes |
---|---|
mediapack.info | 04.05.2017 |
adsgetapi.com | 15.06.2017 |
simcounter.com | 14.08.2017 |
mageanalytics.com | 22.12.2017 |
maxstatics.com | 16.01.2018 |
reactjsapi.com | 19.01.2018 |
mxcounter.com | 02.02.2018 |
apitstatus.com | 01.03.2018 |
orderracker.com | 20.04.2018 |
tagtracking.com | 25.06.2018 |
adsapigate.com | 12.07.2018 |
trusttracker.com | 15.07.2018 |
fbstatspartner.com | 02.10.2018 |
billgetstatus.com | 12.10.2018 |
www.aldenmlilhouse.com | 20.10.2018 |
balletbeautlful.com | 20.10.2018 |
bargalnjunkie.com | 20.10.2018 |
payselector.com | 21.10.2018 |
tagsmediaget.com | 02.11.2018 |
hs-payments.com | 16.11.2018 |
ordercheckpays.com | 19.11.2018 |
geisseie.com | 24.11.2018 |
gtmproc.com | 29.11.2018 |
livegetpay.com | 18.12.2018 |
sydneysalonsupplies.com | 18.12.2018 |
newrelicnet.com | 19.12.2018 |
nr-public.com | 03.01.2019 |
cloudodesc.com | 04.01.2019 |
ajaxstatic.com | 11.01.2019 |
livecheckpay.com | 21.01.2019 |
asianfoodgracer.com | 25.01.2019 |
Familja G-Analytics
Kjo familje snifferësh përdoret për të vjedhur kartat e klientëve nga dyqanet online. Emri i parë i domain-it i përdorur nga grupi u regjistrua në prill 2016, gjë që mund të tregojë fillimin e aktivitetit të grupit në mesin e vitit 2016.
Në fushatën aktuale, grupi përdor emra domenesh që imitojnë shërbimet e jetës reale si Google Analytics dhe jQuery, duke maskuar aktivitetin e sniffer me skriptet legjitime dhe emra domenesh me pamje legjitime. Faqet e internetit që funksionojnë nën CMS Magento u sulmuan.
Si zbatohet G-Analytics në kodin e dyqanit në internet
Një tipar dallues i kësaj familjeje është përdorimi i metodave të ndryshme të vjedhjes së informacionit të pagesës së përdoruesit. Përveç injektimit klasik JavaScript në anën e klientit të faqes, grupi kriminal përdori gjithashtu teknikën e injektimit të kodit në anën e serverit të faqes, përkatësisht skriptet PHP që përpunojnë hyrjen e përdoruesit. Kjo teknikë është e rrezikshme sepse e bën të vështirë për studiuesit e palëve të treta zbulimin e kodit me qëllim të keq. Specialistët e Group-IB zbuluan një version të sniffer të ngulitur në kodin PHP të faqes, duke përdorur domenin si një portë dittm.org.
U zbulua gjithashtu një version i hershëm i një sniffer që përdor të njëjtin domen për të mbledhur të dhëna të vjedhura. dittm.org, por ky version është menduar tashmë për instalim në anën e klientit të dyqanit online.
Më vonë, grupi ndryshoi taktikat e tij dhe filloi t'i kushtonte më shumë vëmendje fshehjes së aktivitetit keqdashës dhe kamuflimit.
Në fillim të vitit 2017, grupi filloi të përdorë domenin jquery-js.commaskuar si CDN për jQuery: ridrejton përdoruesin në një sajt legjitim kur shkon në një sajt me qëllim të keq jquery.com.
Dhe në mesin e vitit 2018, grupi miratoi një emër domain g-analytics.com dhe filloi të maskonte aktivitetin e nuhatësit si një shërbim legjitim i Google Analytics.
Analiza e versionit
Gjatë analizës së domeneve të përdorura për të ruajtur kodin sniffer, u zbulua se faqja ka një numër të madh versionesh që ndryshojnë në prani të turbullimit, si dhe pranisë ose mungesës së kodit të paarritshëm të shtuar në skedar për të tërhequr vëmendjen. dhe fsheh kodin me qëllim të keq.
Gjithsej në sit jquery-js.com u identifikuan gjashtë versione të nuhatësve. Këta sniffer dërgojnë të dhënat e vjedhura në një adresë të vendosur në të njëjtin sajt me vetë sniffer: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Domeni i mëvonshëm g-analytics.com, i përdorur nga grupi në sulme që nga mesi i vitit 2018, shërben si një depo për më shumë sniffers. Në total, u zbuluan 16 versione të ndryshme të nuhatësit. Në këtë rast, porta për dërgimin e të dhënave të vjedhura ishte maskuar si një lidhje me një imazh të formatit GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Monetizimi i të dhënave të vjedhura
Grupi kriminal fiton para nga të dhënat e vjedhura duke shitur karta përmes një dyqani nëntokësor të krijuar posaçërisht që u ofron shërbime kardarëve. Një analizë e domeneve të përdorura nga sulmuesit bëri të mundur përcaktimin e kësaj google-analytics.cm është regjistruar nga i njëjti përdorues si domeni cardz.vc. Domeni cardz.vc i referohet Cardsurfs (Flysurfs), një dyqan që shet karta bankare të vjedhura, i cili fitoi popullaritet gjatë tregut nëntokësor AlphaBay si një dyqan që shet karta bankare të vjedhura duke përdorur një sniffer.
Duke analizuar domenin analitike.është, i vendosur në të njëjtin server me domenet e përdorura nga sniffers për të mbledhur të dhëna të vjedhura, specialistët e Group-IB gjetën një skedar që përmban regjistrat e vjedhësve të Cookie, i cili, me sa duket, u braktis më vonë nga zhvilluesi. Një nga hyrjet në regjistër përmbante një domen iozoz.com, e cila ishte përdorur më parë në një nga sniferët aktiv në vitin 2016. Me sa duket, ky domen është përdorur më parë nga një sulmues për të mbledhur kartat e vjedhura duke përdorur një sniffer. Ky domen është regjistruar në një adresë emaili [email mbrojtur], e cila u përdor edhe për regjistrimin e domeneve cardz.su и cardz.vclidhur me dyqanin e kartonave Cardsurfs.
Bazuar në të dhënat e marra, mund të supozohet se familja sniffer G-Analytics dhe dyqani nëntokësor i kartave bankare Cardsurfs drejtohen nga të njëjtët njerëz, dhe dyqani përdoret për të shitur kartat bankare të vjedhura duke përdorur një sniffer.
Infrastrukturë
Домен | Data e zbulimit/shfaqjes |
---|---|
iozoz.com | 08.04.2016 |
dittm.org | 10.09.2016 |
jquery-js.com | 02.01.2017 |
g-analytics.com | 31.05.2018 |
google-analytics.is | 21.11.2018 |
analitike.të | 04.12.2018 |
google-analytics.to | 06.12.2018 |
google-analytics.cm | 28.12.2018 |
analitike.është | 28.12.2018 |
googlelc-analytics.cm | 17.01.2019 |
Familja Illum
Illum është një familje snifferësh që përdoren për të sulmuar dyqanet në internet që përdorin Magento CMS. Përveç futjes së kodit me qëllim të keq, operatorët e këtij sniffer përdorin edhe futjen e formularëve të plotë të falsifikimit të pagesave që dërgojnë të dhëna në portat e kontrolluara nga sulmuesit.
Gjatë analizimit të infrastrukturës së rrjetit të përdorur nga operatorët e këtij sniffer, u vunë re një numër i madh skriptesh me qëllim të keq, shfrytëzime, forma false pagese, si dhe një koleksion shembujsh me konkurrentë me qëllim të keq. Bazuar në informacionin për datat e shfaqjes së emrave të domeneve të përdorura nga grupi, mund të supozohet se fillimi i fushatës bie në fund të vitit 2016.
Si zbatohet Illum në kodin e një dyqani online
Versionet e para të zbuluara të sniffer u futën drejtpërdrejt në kodin e faqes së komprometuar. Të dhënat e vjedhura janë dërguar në cdn.illum[.]pw/records.php, porta u kodua duke përdorur base64.
Më vonë, një version i paketuar i nuhatësit u zbulua duke përdorur një portë tjetër - regjistrimet.nstatistics[.]com/records.php.
Sipas
Analiza e vendit të sulmit
Specialistët e Group-IB zbuluan dhe analizuan faqen e përdorur nga ky grup kriminal për ruajtjen e mjeteve dhe mbledhjen e informacionit të vjedhur.
Ndër mjetet e gjetura në serverin e sulmuesit u gjetën skripta dhe shfrytëzime për përshkallëzimin e privilegjeve në Linux OS: për shembull, Linux Privilege Check Script, i zhvilluar nga Mike Czumak, si dhe një shfrytëzim për CVE-2009-1185.
Sulmuesit përdorën dy shfrytëzime direkt për të sulmuar dyqanet online:
Gjithashtu, gjatë analizës së serverit, u gjetën mostra të ndryshme sniffers dhe formularësh fals pagese, të përdorura nga sulmuesit për të mbledhur informacione pagesash nga faqet e hakuara. Siç mund ta shihni nga lista e mëposhtme, disa skripte u krijuan individualisht për çdo faqe të hakuar, ndërsa një zgjidhje universale u përdor për disa CMS dhe porta pagese. Për shembull, skriptet segapay_standard.js и segapay_onpage.js projektuar për t'u ngulitur në sajte duke përdorur portën e pagesës Sage Pay.
Lista e skripteve për porta të ndryshme pagese
Script | Porta e Pagesave |
---|---|
|
//request.payrightnow[.]cf/checkpayment.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
//request.payrightnow[.]cf/checkpayment.php | |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//cdn.illum[.]pw/records.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
//request.payrightnow[.]cf/checkpayment.php | |
|
//cdn.illum[.]pw/records.php |
//payrightnow[.]cf/?payment= | |
|
//payrightnow[.]cf/?payment= |
|
//paymentnow[.]tk/?payment= |
mikpritës pagesa tani[.]tk, përdoret si një portë në një skenar pagesa_forminsite.js, u zbulua si Emri i subjektit në disa certifikata që lidhen me shërbimin CloudFlare. Për më tepër, skenari ishte vendosur në host e keqe.js. Duke gjykuar nga emri i skriptit, ai mund të ishte përdorur si pjesë e shfrytëzimit të CVE-2016-4010, falë të cilit është e mundur të injektohet kodi keqdashës në fundin e një faqeje që ekzekuton Magento CMS. Ky skenar përdorte hostin si portë kërkesë.kërkesënet[.]tk, duke përdorur të njëjtën certifikatë si hosti pagesa tani[.]tk.
Forma të rreme pagese
Figura më poshtë tregon një shembull të një formulari për futjen e të dhënave të kartës. Ky formular është përdorur për të depërtuar në një faqe interneti të dyqanit online dhe për të vjedhur të dhënat e kartës.
Figura e mëposhtme është një shembull i një formulari të rremë pagese PayPal që është përdorur nga sulmuesit për të depërtuar në sajte duke përdorur këtë mënyrë pagese.
Infrastrukturë
Домен | Data e zbulimit/shfaqjes |
---|---|
cdn.illum.pw | 27/11/2016 |
records.nstatistics.com | 06/09/2018 |
kërkesë.payrightnow.cf | 25/05/2018 |
pagesa tani.tk | 16/07/2017 |
pagesa-line.tk | 01/03/2018 |
Paypal.cf | 04/09/2017 |
requestnet.tk | 28/06/2017 |
Familja CoffeeMokko
Familja e nuhatësve CoffeMokko e krijuar për të vjedhur kartat bankare të përdoruesve të dyqaneve online është përdorur të paktën që nga maji 2017. Me sa duket, operatorët e kësaj familjeje të nuhatësve janë grupi kriminal i Grupit 1, i përshkruar nga ekspertët e RiskIQ në vitin 2016. U sulmuan faqet e internetit që përdorin CMS të tilla si Magento, OpenCart, WordPress, osCommerce, Shopify.
Si është futur CoffeMokko në kodin e një dyqani online
Operatorët e kësaj familje krijojnë sniffer unikë për çdo infeksion: skedari sniffer ndodhet në drejtori src ose js në serverin e sulmuesit. Zbatimi në kodin e faqes kryhet nga një lidhje e drejtpërdrejtë me sniffer.
Kodi sniffer kodon fort emrat e fushave të formularit nga të cilat dëshironi të vidhni të dhëna. Sniffer gjithashtu kontrollon nëse përdoruesi është në faqen e arkës duke kontrolluar listën e fjalëve kyçe kundrejt adresës aktuale të përdoruesit.
Disa versione të zbuluara të sniffer ishin të turbullt dhe përmbanin një varg të koduar që ruante grupin kryesor të burimeve: ai përmbante emrat e fushave të formularit për sisteme të ndryshme pagesash, si dhe adresën e portës në të cilën duheshin dërguar të dhënat e vjedhura.
Informacioni i vjedhur i pagesës u dërgua në një skenar në serverin e sulmuesve gjatë rrugës. /savePayment/index.php ose /tr/index.php. Me sa duket, ky skript përdoret për të dërguar të dhëna nga porta në serverin kryesor, i cili konsolidon të dhënat nga të gjithë sniffers. Për të fshehur të dhënat e transmetuara, të gjitha informacionet e pagesës së viktimës kodohen duke përdorur base64, dhe më pas ndodhin disa zëvendësime të karaktereve:
- karakteri "e" zëvendësohet me ":"
- simboli "w" zëvendësohet me "+"
- karakteri "o" zëvendësohet me "%"
- karakteri "d" zëvendësohet me "#"
- karakteri "a" zëvendësohet me "-"
- simboli "7" zëvendësohet me "^"
- karakteri "h" zëvendësohet me "_"
- simboli "T" zëvendësohet me "@"
- karakteri "0" zëvendësohet me "/"
- karakteri "Y" zëvendësohet me "*"
Si rezultat i zëvendësimeve të karaktereve të koduara me base64 të dhënat nuk mund të deshifrohen pa transformim të anasjelltë.
Kështu duket një fragment i kodit sniffer që nuk është turbulluar:
Analiza e Infrastrukturës
Në fushatat e hershme, sulmuesit regjistruan emra domenesh të ngjashëm me ato të faqeve legjitime të blerjeve në internet. Domeni i tyre mund të ndryshojë nga TLD-ja e ligjshme një nga një karakter ose një tjetër. Domenet e regjistruara u përdorën për të ruajtur kodin sniffer, lidhja me të cilën ishte e ngulitur në kodin e dyqanit.
Ky grup përdorte gjithashtu emra domenesh që të kujtojnë shtojcat e njohura jQuery (slickjs[.]org për faqet që përdorin shtojcën shkëlqyeshëm.js), portat e pagesave (sagecdn[.]org për faqet që përdorin sistemin e pagesave Sage Pay).
Më vonë, grupi filloi të krijonte domene, emri i të cilëve nuk kishte të bënte as me domenin e dyqanit dhe as me temën e dyqanit.
Çdo domen korrespondonte me faqen në të cilën u krijua drejtoria /js ose / src. Skriptet Sniffer u ruajtën në këtë direktori: një sniffer për çdo infeksion të ri. Sniffer u fut në kodin e faqes përmes një lidhjeje të drejtpërdrejtë, por në raste të rralla, sulmuesit modifikuan një nga skedarët e faqes dhe shtuan kodin me qëllim të keq në të.
Analiza e kodit
Algoritmi i parë i turbullimit
Në disa mostra nuhatëse të kësaj familjeje, kodi ishte i turbullt dhe përmbante të dhëna të koduara të nevojshme për funksionimin e sniferit: në veçanti, adresën e portës së sniferit, një listë të fushave të formularit të pagesës dhe në disa raste, një kod të rremë formulari pagese. Në kodin brenda funksionit, burimet u koduan me XOR nga çelësi që kaloi si argument për të njëjtin funksion.
Duke deshifruar vargun me çelësin përkatës, unik për çdo mostër, mund të merrni një varg që përmban të gjitha linjat nga kodi sniffer të ndara nga një karakter ndarës.
Algoritmi i dytë i turbullimit
Në mostrat e mëvonshme të kësaj familjeje të nuhatësve, u përdor një mekanizëm i ndryshëm mjegullimi: në këtë rast, të dhënat u koduan duke përdorur një algoritëm të shkruar vetë. Një varg që përmban të dhëna të koduara të nevojshme për funksionimin e snifferit u kalua si argument në funksionin e deshifrimit.
Duke përdorur tastierën e shfletuesit, mund të deshifroni të dhënat e koduara dhe të merrni një grup që përmban burimet sniffer.
Lidhje me sulmet e hershme MageCart
Në një analizë të një prej domeneve të përdorura nga grupi si një portë për të mbledhur të dhëna të vjedhura, u zbulua se ky domen kishte vendosur një infrastrukturë për vjedhjen e kartave të kreditit, identike me atë të përdorur nga Grupi 1, një nga grupet e para,
Dy skedarë u gjetën në hostin e familjes sniffer CoffeMokko:
- magjistar.js — skedari që përmban kodin sniffer të Grupit 1 me adresën e portës js-cdn.link
- mag.php - Skripti PHP përgjegjës për mbledhjen e të dhënave të vjedhura nga sniffer
Përmbajtja e skedarit mage.js
Gjithashtu është përcaktuar se domenet më të hershme të përdorura nga grupi pas familjes sniffer CoffeMokko janë regjistruar më 17 maj 2017:
- lidhje-js[.]lidhje
- info-js[.]lidhje
- track-js[.]lidhje
- harta-js[.]lidhje
- smart-js[.]lidhje
Formati i këtyre emrave të domeneve është i njëjtë me emrat e domeneve të Grupit 1 që u përdorën në sulmet e vitit 2016.
Në bazë të fakteve të zbuluara, mund të supozohet se ka një lidhje mes operatorëve snifer CoffeMokko dhe grupit kriminal të Grupit 1. Me sa duket, operatorët CoffeMokko mund të kenë huazuar mjete dhe softuer për të vjedhur kartat nga paraardhësit e tyre. Megjithatë, ka më shumë gjasa që grupi kriminal që qëndron pas përdorimit të nuhatësve të familjes CoffeMokko të jenë të njëjtët persona që kanë kryer sulmet si pjesë e aktiviteteve të Grupit 1. Pas publikimit të raportit të parë për aktivitetet e grupit kriminal, të gjithë emrat e domeneve u bllokuan dhe mjetet u studiuan dhe u përshkruan në detaje. Grupi u detyrua të bënte një pushim, të rregullonte mjetet e tyre të brendshme dhe të rishkruante kodin sniffer në mënyrë që të vazhdonin sulmet e tyre dhe të qëndronin pa u vënë re.
Infrastrukturë
Домен | Data e zbulimit/shfaqjes |
---|---|
lidhje-js.lidhje | 17.05.2017 |
info-js.link | 17.05.2017 |
track-js.link | 17.05.2017 |
map-js.link | 17.05.2017 |
smart-js.link | 17.05.2017 |
adorebeauty.org | 03.09.2017 |
siguri-pagesë.su | 03.09.2017 |
braincdn.org | 04.09.2017 |
sagecdn.org | 04.09.2017 |
slickjs.org | 04.09.2017 |
oakandfort.org | 10.09.2017 |
citywlnery.org | 15.09.2017 |
dobell.su | 04.10.2017 |
veshje për fëmijë.org | 31.10.2017 |
jewsondirect.com | 05.11.2017 |
shop-rnib.org | 15.11.2017 |
closetlondon.org | 16.11.2017 |
misshaus.org | 28.11.2017 |
bateri-force.org | 01.12.2017 |
kik-vape.org | 01.12.2017 |
greatfurnituretradingco.org | 02.12.2017 |
etradesupply.org | 04.12.2017 |
zëvendësoj myremote.org | 04.12.2017 |
all-about-sneakers.org | 05.12.2017 |
mage-checkout.org | 05.12.2017 |
nililotan.org | 07.12.2017 |
lamoodbighat.net | 08.12.2017 |
walletgear.org | 10.12.2017 |
dahlie.org | 12.12.2017 |
davidsfootwear.org | 20.12.2017 |
blackriverimaging.org | 23.12.2017 |
exrpesso.org | 02.01.2018 |
parqe.su | 09.01.2018 |
pmtonline.com | 12.01.2018 |
otocap.org | 15.01.2018 |
christohperward.org | 27.01.2018 |
kafenea.org | 31.01.2018 |
Energycoffe.org | 31.01.2018 |
Energytea.org | 31.01.2018 |
çaji.net | 31.01.2018 |
adaptivecss.org | 01.03.2018 |
coffemokko.com | 01.03.2018 |
londontea.net | 01.03.2018 |
ukcoffe.com | 01.03.2018 |
labe.biz | 20.03.2018 |
baterinart.com | 03.04.2018 |
btosports.net | 09.04.2018 |
shaka zogjsh.net | 16.04.2018 |
paypaypay.org | 11.05.2018 |
ar500arnor.com | 26.05.2018 |
autorizecdn.com | 28.05.2018 |
slickmin.com | 28.05.2018 |
bannerbuzz.info | 03.06.2018 |
kandypens.net | 08.06.2018 |
mylrendyphone.com | 15.06.2018 |
freshchat.info | 01.07.2018 |
3lift.org | 02.07.2018 |
abtasty.net | 02.07.2018 |
mechat.info | 02.07.2018 |
zoplm.com | 02.07.2018 |
zapaljs.com | 02.09.2018 |
foodandcot.com | 15.09.2018 |
freshdepor.com | 15.09.2018 |
swappastore.com | 15.09.2018 |
verywellfitness.com | 15.09.2018 |
elegrinë.com | 18.11.2018 |
majsurplus.com | 19.11.2018 |
top5value.com | 19.11.2018 |
Burimi: www.habr.com