Скоро свако од нас користи услуге онлајн продавница, што значи да пре или касније ризикујемо да постанемо жртва ЈаваСцрипт сниффера - специјалног кода који нападачи убацују у веб локацију да би украли податке о банковној картици, адресе, корисничка имена и лозинке .
Скоро 400 корисника веб-сајта и мобилне апликације Бритиш ервејза већ је погођено њушкама, као и посетиоци веб-сајта британског спортског гиганта ФИЛА и америчког дистрибутера карата Тицкетмастер. ПаиПал, Цхасе Паименттецх, УСАеПаи, Монерис - ови и многи други системи плаћања су заражени.
Аналитичар Тхреат Интеллигенце Гроуп-ИБ Виктор Окороков говори о томе како њушкари инфилтрирају код веб локације и краду информације о плаћању, као и које ЦРМ-ове нападају.
"Скривена претња"
Тако се десило да су дуго времена ЈС-сниффери остали ван видокруга антивирусних аналитичара, а банке и платни системи у њима нису видели озбиљну претњу. И апсолутно узалуд. Стручњаци групе-ИБ 2440 заражених онлајн продавница, чији су посетиоци – укупно око 1,5 милиона људи дневно – били у опасности од компромиса. Међу жртвама нису само корисници, већ и онлајн продавнице, платни системи и банке које су издале компромитоване картице.
Група-ИБ је постала прва студија даркнет тржишта њушкача, њихове инфраструктуре и начина монетизације, доносећи милионе долара њиховим креаторима. Идентификовали смо 38 породица њушкала, од којих је само 12 раније било познато истраживачима.
Хајде да се детаљније задржимо на четири породице њушкача проучаваних током студије.
РеацтГет породица
Сниффери из РеацтГет породице се користе за крађу података о банковним картицама на сајтовима за куповину на мрежи. Сниффер може да ради са великим бројем различитих система плаћања који се користе на сајту: једна вредност параметра одговара једном систему плаћања, а појединачне откривене верзије сниффера могу се користити за крађу акредитива, као и за крађу података о банковној картици са платне форме неколико система плаћања одједном, попут такозваног универзалног њушкала. Утврђено је да у неким случајевима нападачи врше пхисхинг нападе на администраторе онлајн продавница како би добили приступ административном панелу сајта.
Кампања која користи ову породицу њушкала почела је у мају 2017. Нападнути су сајтови који користе ЦМС и платформе Магенто, Бигцоммерце, Схопифи.
Како је РеацтГет уграђен у код онлајн продавнице
Поред „класичног“ убризгавања скрипте путем везе, оператери њушкања породице РеацтГет користе посебну технику: користећи ЈаваСцрипт код, проверава да ли тренутна адреса на којој се корисник налази испуњава одређене критеријуме. Злонамерни код ће се покренути само ако тренутни УРЛ садржи подстринг провера или наплата у једном кораку, једна страна/, оут/онепаг, одјава/један, цкоут/оне. Дакле, сниффер код ће бити извршен тачно у тренутку када корисник настави са плаћањем куповине и унесе податке о плаћању у образац на сајту.
Овај њушкало користи нестандардну технику. Подаци о плаћању и лични подаци жртве се прикупљају заједно, кодирани помоћу басеКСНУМКС, а затим се резултујући стринг користи као параметар за слање захтева злонамерном сајту. Најчешће, пут до капије имитира ЈаваСцрипт датотеку, на пример респ.јс, дата.јс и тако даље, али се користе и везе до датотека слика, ГИФ и Јпг. Посебност је у томе што њушкало креира објекат слике величине 1 са 1 пиксел и користи претходно добијену везу као параметар срц Слике. То јест, за корисника ће такав захтев у саобраћају изгледати као захтев за обичну слику. Слична техника је коришћена у породици њушкача ИмагеИД. Поред тога, техника слике величине 1к1 пиксела се користи у многим легитимним скриптама за онлајн аналитику, што такође може да доведе корисника у заблуду.
Анализа верзија
Анализа активних домена које користе РеацтГет оператери њушкања открила је много различитих верзија ове породице њушкала. Верзије се разликују по присуству или одсуству прикривања, а поред тога, сваки њушкало је дизајниран за одређени систем плаћања који обрађује плаћања банковним картицама за онлајн продавнице. Након што су сортирали вредност параметра који одговара броју верзије, стручњаци Групе-ИБ су добили комплетну листу доступних варијација њушкала, а према називима поља обрасца које сваки њушкар тражи у коду странице, одредили су системе плаћања. које њушкало циља.
Листа њушкала и њихових одговарајућих система плаћања
| Сниффер УРЛ | Систем плаћања |
|---|---|
| Аутхоризе.Нет | |
| Цардсаве | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| еВАИ Рапид | |
| Аутхоризе.Нет | |
| Адиен | |
| УСАеПаи | |
| Аутхоризе.Нет | |
| УСАеПаи | |
| Аутхоризе.Нет | |
| Монерис | |
| УСАеПаи | |
| ПаиПал | |
| Саге Паи | |
| верисигн | |
| ПаиПал | |
| пруга | |
| Реалек | |
| ПаиПал | |
| ЛинкПоинт | |
| ПаиПал | |
| ПаиПал | |
| датацасх | |
| ПаиПал | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| верисигн | |
| Аутхоризе.Нет | |
| Монерис | |
| Саге Паи | |
| УСАеПаи | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| АНЗ еГате | |
| Аутхоризе.Нет | |
| Монерис | |
| Саге Паи | |
| Саге Паи | |
| Цхасе Паиментецх | |
| Аутхоризе.Нет | |
| Адиен | |
| ПсиГате | |
| Сајбер извор | |
| АНЗ еГате | |
| Реалек | |
| УСАеПаи | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| АНЗ еГате | |
| ПаиПал | |
| ПаиПал | |
| Реалек | |
| Саге Паи | |
| ПаиПал | |
| верисигн | |
| Аутхоризе.Нет | |
| верисигн | |
| Аутхоризе.Нет | |
| АНЗ еГате | |
| ПаиПал | |
| Сајбер извор | |
| Аутхоризе.Нет | |
| Саге Паи | |
| Реалек | |
| Сајбер извор | |
| ПаиПал | |
| ПаиПал | |
| ПаиПал | |
| верисигн | |
| еВАИ Рапид | |
| Саге Паи | |
| Саге Паи | |
| верисигн | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| Фирст Дата Глобал Гатеваи | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| Монерис | |
| Аутхоризе.Нет | |
| ПаиПал | |
| верисигн | |
| УСАеПаи | |
| УСАеПаи | |
| Аутхоризе.Нет | |
| верисигн | |
| ПаиПал | |
| Аутхоризе.Нет | |
| пруга | |
| Аутхоризе.Нет | |
| еВАИ Рапид | |
| Саге Паи | |
| Аутхоризе.Нет | |
| Брејнтри | |
| Брејнтри | |
| ПаиПал | |
| Саге Паи | |
| Саге Паи | |
| Аутхоризе.Нет | |
| ПаиПал | |
| Аутхоризе.Нет | |
| верисигн | |
| ПаиПал | |
| Аутхоризе.Нет | |
| пруга | |
| Аутхоризе.Нет | |
| еВАИ Рапид | |
| Саге Паи | |
| Аутхоризе.Нет | |
| Брејнтри | |
| ПаиПал | |
| Саге Паи | |
| Саге Паи | |
| Аутхоризе.Нет | |
| ПаиПал | |
| Аутхоризе.Нет | |
| верисигн | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| Саге Паи | |
| Саге Паи | |
| Вестпац ПаиВаи | |
| паифорт | |
| ПаиПал | |
| Аутхоризе.Нет | |
| пруга | |
| Фирст Дата Глобал Гатеваи | |
| ПсиГате | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| Монерис | |
| Аутхоризе.Нет | |
| Саге Паи | |
| верисигн | |
| Монерис | |
| ПаиПал | |
| ЛинкПоинт | |
| Вестпац ПаиВаи | |
| Аутхоризе.Нет | |
| Монерис | |
| ПаиПал | |
| Адиен | |
| ПаиПал | |
| Аутхоризе.Нет | |
| УСАеПаи | |
| ЕБизЦхарге | |
| Аутхоризе.Нет | |
| верисигн | |
| верисигн | |
| Аутхоризе.Нет | |
| ПаиПал | |
| Монерис | |
| Аутхоризе.Нет | |
| ПаиПал | |
| ПаиПал | |
| Вестпац ПаиВаи | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| Саге Паи | |
| верисигн | |
| Аутхоризе.Нет | |
| ПаиПал | |
| паифорт | |
| Сајбер извор | |
| ПаиПал Паифлов Про | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| верисигн | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| Саге Паи | |
| Аутхоризе.Нет | |
| пруга | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| верисигн | |
| ПаиПал | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| Саге Паи | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| ПаиПал | |
| Кремен | |
| ПаиПал | |
| Саге Паи | |
| верисигн | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| пруга | |
| Фат Зебра | |
| Саге Паи | |
| Аутхоризе.Нет | |
| Фирст Дата Глобал Гатеваи | |
| Аутхоризе.Нет | |
| еВАИ Рапид | |
| Адиен | |
| ПаиПал | |
| КуицкБоокс Мерцхант Сервицес | |
| верисигн | |
| Саге Паи | |
| верисигн | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| Саге Паи | |
| Аутхоризе.Нет | |
| еВАИ Рапид | |
| Аутхоризе.Нет | |
| АНЗ еГате | |
| ПаиПал | |
| Сајбер извор | |
| Аутхоризе.Нет | |
| Саге Паи | |
| Реалек | |
| Сајбер извор | |
| ПаиПал | |
| ПаиПал | |
| ПаиПал | |
| верисигн | |
| еВАИ Рапид | |
| Саге Паи | |
| Саге Паи | |
| верисигн | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| Фирст Дата Глобал Гатеваи | |
| Аутхоризе.Нет | |
| Аутхоризе.Нет | |
| Монерис | |
| Аутхоризе.Нет | |
| ПаиПал |
Пассворд сниффер
Једна од предности ЈаваСцрипт њушкала који раде на страни клијента веб локације је његова свестраност: злонамерни код уграђен у веб локацију може украсти било коју врсту података, било да су то информације о плаћању или логин и лозинка са корисничког налога. Стручњаци Гроуп-ИБ открили су узорак њушкала који припада породици РеацтГет, дизајниран да краде адресе е-поште и лозинке корисника сајта.
Укрштање са ИмагеИД сниффером
Током анализе једне од заражених продавница, установљено је да је њена веб страница два пута заражена: поред злонамерног кода њушкала породице РеацтГет, пронађен је и код њушкала породице ИмагеИД. Ово преклапање може бити доказ да оператери који стоје иза употребе оба њушка користе сличне технике за убацивање злонамерног кода.
Универзални њушкало
Током анализе једног од имена домена који се односи на РеацтГет инфраструктуру сниффера, установљено је да је исти корисник регистровао још три имена домена. Ова три домена су имитирала домене сајтова из стварног живота и раније су коришћена за хостовање њушкача. Приликом анализе кода три легитимна сајта, пронађен је непознати њушкало, а даља анализа је показала да се ради о побољшаној верзији РеацтГет снифера. Све претходно праћене верзије ове породице њушкала биле су циљане на један систем плаћања, односно за сваки платни систем је била потребна посебна верзија њушкала. Међутим, у овом случају је откривена универзална верзија њушкала, способна да украде информације из образаца који се односе на 15 различитих система плаћања и модула сајтова за е-трговину за онлајн плаћања.
Дакле, на почетку рада, њушкач је тражио основна поља обрасца која садрже личне податке жртве: пуно име, физичку адресу, број телефона.
Сниффер је затим претражио преко 15 различитих префикса који одговарају различитим системима плаћања и модулима за онлајн плаћања.
Затим су лични подаци жртве и информације о плаћању прикупљени заједно и послати на локацију коју контролише нападач: у овом конкретном случају, пронађене су две верзије РеацтГет универзалног њушкала које се налазе на две различите хаковане локације. Међутим, обе верзије су послале украдене податке на исти хаковани сајт. зообасхоп.цом.
Анализа префикса које је њушкало користио да пронађе поља која садрже информације о плаћању жртве утврдила је да је овај узорак њушкара циљао следеће системе плаћања:
- Аутхоризе.Нет
- верисигн
- Први подаци
- УСАеПаи
- пруга
- ПаиПал
- АНЗ еГате
- Брејнтри
- Дата Цасх (МастерЦард)
- Реалек плаћања
- ПсиГате
- Хеартланд Паимент Системс
Који алати се користе за крађу информација о плаћању
Први алат откривен током анализе инфраструктуре нападача служи за прикривање злонамерних скрипти одговорних за крађу банковних картица. Басх скрипта која користи ЦЛИ пројекта пронађена је на једном од хостова нападача. да аутоматизује замагљивање кода за њушкање.
Други откривени алат је дизајниран да генерише код одговоран за учитавање главног њушкала. Ова алатка генерише ЈаваСцрипт код који проверава да ли је корисник на страници за наплату тако што претражује тренутну адресу корисника за стрингове провера, колица и тако даље, а ако је резултат позитиван, онда код учитава главни сниффер са сервера уљеза. Да би се сакрила злонамерна активност, сви редови, укључујући тест линије за одређивање странице плаћања, као и линк ка њушкалу, су кодирани помоћу басеКСНУМКС.
Пхисхинг напади
Током анализе мрежне инфраструктуре нападача, утврђено је да криминална група често користи пхисхинг да би дошла до административног панела циљане онлајн продавнице. Нападачи региструју домен који изгледа као домен продавнице, а затим на њега постављају лажни образац за пријаву администратора Магенто-а. Ако успеју, нападачи ће добити приступ административном панелу Магенто ЦМС-а, који им даје могућност да уређују компоненте сајта и имплементирају њушкало за крађу података о кредитној картици.
Инфраструктура
| Домаин | Датум открића/појављивања |
|---|---|
| медиапацк.инфо | 04.05.2017 |
| адсгетапи.цом | 15.06.2017 |
| симцоунтер.цом | 14.08.2017 |
| магеаналитицс.цом | 22.12.2017 |
| макстатис.цом | 16.01.2018 |
| реацтјсапи.цом | 19.01.2018 |
| мкцоунтер.цом | 02.02.2018 |
| апитстатус.цом | 01.03.2018 |
| ордеррацкер.цом | 20.04.2018 |
| тагтрацкинг.цом | 25.06.2018 |
| адсапигате.цом | 12.07.2018 |
| трусттрацкер.цом | 15.07.2018 |
| фбстатспартнер.цом | 02.10.2018 |
| биллгетстатус.цом | 12.10.2018 |
| алденмлилхоусе.цом | 20.10.2018 |
| баллетбеаутлфул.цом | 20.10.2018 |
| баргалњункие.цом | 20.10.2018 |
| паиселецтор.цом | 21.10.2018 |
| тагсмедиагет.цом | 02.11.2018 |
| хс-паиментс.цом | 16.11.2018 |
| ордерцхецкпаис.цом | 19.11.2018 |
| геиссеие.цом | 24.11.2018 |
| гтмпроц.цом | 29.11.2018 |
| ливегетпаи.цом | 18.12.2018 |
| сиднеисалонсупплиес.цом | 18.12.2018 |
| неврелицнет.цом | 19.12.2018 |
| нр-публиц.цом | 03.01.2019 |
| цлоудодесц.цом | 04.01.2019 |
| ајакстатиц.цом | 11.01.2019 |
| ливецхецкпаи.цом | 21.01.2019 |
| асианфоодграцер.цом | 25.01.2019 |
Породица Г-аналитике
Ова породица њушкала се користи за крађу корисничких картица из онлајн продавница. Први назив домена који је користила група регистрован је у априлу 2016. године, што може указивати на почетак активности групе средином 2016. године.
У тренутној кампањи, група користи имена домена која опонашају услуге из стварног живота као што су Гоогле Аналитицс и јКуери, маскирајући активност њушкања легитимним скриптама и легитимним именима домена. Веб локације које раде под ЦМС Магенто су нападнуте.
Како је Г-Аналитицс имплементиран у коду продавнице на мрежи
Посебност ове породице је употреба различитих метода крађе података о плаћању корисника. Поред класичне ЈаваСцрипт ињекције у клијентску страну сајта, криминална група је користила и технику убацивања кода на серверску страну сајта, односно ПХП скрипте које обрађују унос корисника. Ова техника је опасна по томе што истраживачима трећих страна отежава откривање злонамерног кода. Стручњаци Гроуп-ИБ открили су верзију њушкала уграђену у ПХП код сајта, користећи домен као капију диттм.орг.
Откривена је и рана верзија њушкала који користи исти домен за прикупљање украдених података. диттм.орг, али ова верзија је већ намењена за инсталацију на страни клијента онлајн продавнице.
Касније је група променила тактику и почела да обраћа више пажње на прикривање злонамерних активности и камуфлаже.
Почетком 2017. група је почела да користи домен јкуери-јс.цоммаскирање у ЦДН за јКуери: преусмерава корисника на легитимну локацију када оде на злонамерну локацију јкуери.цом.
А средином 2018. група је усвојила име домена г-аналитицс.цом и почео да прикрива активност њушкача као легитимну услугу Гоогле аналитике.
Анализа верзија
Током анализе домена који се користе за чување сниффер кода, установљено је да сајт има велики број верзија које се разликују по присуству замагљивања, као и по присуству или одсуству недоступног кода који је додат у фајл ради одвлачења пажње. и сакрити злонамерни код.
Укупно на сајту јкуери-јс.цом идентификовано је шест верзија њушкала. Ови њушкари шаљу украдене податке на адресу која се налази на истој локацији као и сам сниффер: хккпс://јкуери-јс[.]цом/латест/јкуери.мин.јс:
- хккпс://јкуери-јс[.]цом/јкуери.мин.јс
- хккпс://јкуери-јс[.]цом/јкуери.2.2.4.мин.јс
- хккпс://јкуери-јс[.]цом/јкуери.1.8.3.мин.јс
- хккпс://јкуери-јс[.]цом/јкуери.1.6.4.мин.јс
- хккпс://јкуери-јс[.]цом/јкуери.1.4.4.мин.јс
- хккпс://јкуери-јс[.]цом/јкуери.1.12.4.мин.јс
Касније домен г-аналитицс.цом, који група користи у нападима од средине 2018. године, служи као складиште за више њушкала. Укупно је откривено 16 различитих верзија њушкала. У овом случају, капија за слање украдених података била је маскирана као линк до слике формата ГИФ: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= КСНУМКС:
- хккпс://г-аналитицс[.]цом/либс/1.0.1/аналитицс.јс
- хккпс://г-аналитицс[.]цом/либс/1.0.10/аналитицс.јс
- хккпс://г-аналитицс[.]цом/либс/1.0.11/аналитицс.јс
- хккпс://г-аналитицс[.]цом/либс/1.0.12/аналитицс.јс
- хккпс://г-аналитицс[.]цом/либс/1.0.13/аналитицс.јс
- хккпс://г-аналитицс[.]цом/либс/1.0.14/аналитицс.јс
- хккпс://г-аналитицс[.]цом/либс/1.0.15/аналитицс.јс
- хккпс://г-аналитицс[.]цом/либс/1.0.16/аналитицс.јс
- хккпс://г-аналитицс[.]цом/либс/1.0.3/аналитицс.јс
- хккпс://г-аналитицс[.]цом/либс/1.0.4/аналитицс.јс
- хккпс://г-аналитицс[.]цом/либс/1.0.5/аналитицс.јс
- хккпс://г-аналитицс[.]цом/либс/1.0.6/аналитицс.јс
- хккпс://г-аналитицс[.]цом/либс/1.0.7/аналитицс.јс
- хккпс://г-аналитицс[.]цом/либс/1.0.8/аналитицс.јс
- хккпс://г-аналитицс[.]цом/либс/1.0.9/аналитицс.јс
- хккпс://г-аналитицс[.]цом/либс/аналитицс.јс
Монетизација украдених података
Криминална група монетизује украдене податке продајом картица преко посебно креиране подземне продавнице која пружа услуге картичарима. Анализа домена које су користили нападачи омогућила је да се то утврди гоогле-аналитицс.цм је регистрован од стране истог корисника као и домен цардз.вц. Домаин цардз.вц односи се на Цардсурфс (Флисурфс), продавницу која продаје украдене банковне картице, која је стекла популарност током АлпхаБаи подземног тржишта као продавница која продаје банковне картице украдене помоћу њушкала.
Анализирање домена аналитички.је, који се налази на истом серверу као и домени које користе њушкари за прикупљање украдених података, стручњаци Групе-ИБ открили су датотеку која садржи дневнике крађе колачића, коју је, изгледа, касније програмер напустио. Један од уноса у дневнику је садржао домен иозоз.цом, који је раније коришћен у једном од њушкача активних 2016. Претпоставља се да је овај домен раније користио нападач за прикупљање картица украдених помоћу њушкала. Овај домен је регистрован на адресу е-поште [емаил заштићен], који је коришћен и за регистрацију домена цардз.су и цардз.вцу вези са карданицом Цардсурфс.
На основу добијених података може се претпоставити да породицу њушкала Г-Аналитицс и подземну продавницу банковних картица Цардсурфс воде исти људи, а продавница се користи за продају банковних картица украдених помоћу њушкала.
Инфраструктура
| Домаин | Датум открића/појављивања |
|---|---|
| иозоз.цом | 08.04.2016 |
| диттм.орг | 10.09.2016 |
| јкуери-јс.цом | 02.01.2017 |
| г-аналитицс.цом | 31.05.2018 |
| гоогле-аналитицс.ис | 21.11.2018 |
| аналитички.то | 04.12.2018 |
| гоогле-аналитицс.то | 06.12.2018 |
| гоогле-аналитицс.цм | 28.12.2018 |
| аналитички.је | 28.12.2018 |
| гооглелц-аналитицс.цм | 17.01.2019 |
Иллум породица
Иллум је породица њушкала који се користи за напад на онлајн продавнице које користе Магенто ЦМС. Поред увођења злонамерног кода, оператери овог њушкала користе и увођење пуноправних лажних образаца плаћања који шаљу податке на капије које контролишу нападачи.
Приликом анализе мрежне инфраструктуре коју користе оператери овог снифера, уочен је велики број злонамерних скрипти, експлоатација, лажних образаца плаћања, као и збирка примера са злонамерним сниффер конкурентима. На основу података о датумима појављивања имена домена које користи група, може се претпоставити да почетак кампање пада на крај 2016. године.
Како је Иллум имплементиран у коду онлине продавнице
Прве откривене верзије њушкала су уграђене директно у код компромитованог сајта. Украдени подаци су послати на цдн.иллум[.]пв/рецордс.пхп, капија је кодирана помоћу басеКСНУМКС.
Касније је откривена упакована верзија њушкала користећи другу капију - рецордс.нстатистицс[.]цом/рецордс.пхп.
Према Виллем де Гроот, исти хост је коришћен у њушкалу који је имплементиран , у власништву немачке политичке партије ЦСУ.
Анализа места напада
Стручњаци Групе-ИБ открили су и анализирали сајт који користи ова криминална група за складиштење алата и прикупљање украдених информација.
Међу алаткама које су пронађене на серверу нападача пронађене су скрипте и експлоатације за ескалацију привилегија у Линук ОС-у: на пример, скрипта за проверу ескалације привилегија Линук-а, коју је развио Мике Цзумак, као и експлоат за ЦВЕ-2009-1185.
Нападачи су користили два експлоатације директно за напад на онлајн продавнице: способан да убаци злонамерни код цоре_цонфиг_дата коришћењем ЦВЕ-2016-4010, искоришћава РЦЕ рањивост у Магенто ЦМС додацима, омогућавајући извршавање произвољног кода на рањивом веб серверу.
Такође, током анализе сервера пронађени су различити узорци њушкала и лажних образаца за плаћање које су нападачи користили за прикупљање информација о плаћању са хакованих сајтова. Као што можете видети из листе испод, неке скрипте су креиране појединачно за сваки хаковани сајт, док је универзално решење коришћено за одређене ЦМС и гејтвејеве за плаћање. На пример, скрипте сегапаи_стандард.јс и сегапаи_онпаге.јс дизајниран за уградњу на сајтове који користе Саге Паи пролаз за плаћање.
Листа скрипти за различите гејтвејеве плаћања
| Скрипта | Паимент Гатеваи |
|---|---|
| [.]пв/мјс_специал/висиондирецт.цо.ук.јс | //рекуест.паиригхтнов[.]цф/цхецкпаимент.пхп |
| [.]пв/мјс_специал/топдиренсхоп.нл.јс | //рекуест.паиригхтнов[.]цф/аллдата.пхп |
| [.]пв/мјс_специал/тиендаленово.ес.јс | //рекуест.паиригхтнов[.]цф/аллдата.пхп |
| [.]пв/мјс_специал/про-болт.цом.јс | //рекуест.паиригхтнов[.]цф/аллдата.пхп |
| [.]пв/мјс_специал/плае.цо.јс | //рекуест.паиригхтнов[.]цф/аллдата.пхп |
| [.]пв/мјс_специал/оттоленгхи.цо.ук.јс | //рекуест.паиригхтнов[.]цф/аллдата.пхп |
| [.]пв/мјс_специал/олдтимецанди.цом.јс | //рекуест.паиригхтнов[.]цф/цхецкпаимент.пхп |
| [.]пв/мјс_специал/милоок.ее.јс | //цдн.иллум[.]пв/рецордс.пхп |
| [.]пв/мјс_специал/лулуандски.цом.јс | //рекуест.паиригхтнов[.]цф/цхецкпаимент.пхп |
| [.]пв/мјс_специал/јулеп.цом.јс | //цдн.иллум[.]пв/рецордс.пхп |
| [.]пв/мјс_специал/гимцомпани.ес.јс | //рекуест.паиригхтнов[.]цф/аллдата.пхп |
| [.]пв/мјс_специал/гротекадосхоп.нл.јс | //рекуест.паиригхтнов[.]цф/аллдата.пхп |
| [.]пв/мјс_специал/фусхи.цо.ук.јс | //рекуест.паиригхтнов[.]цф/цхецкпаимент.пхп |
| [.]пв/мјс_специал/фареастфлора.цом.јс | //рекуест.паиригхтнов[.]цф/цхецкпаимент.пхп |
| [.]пв/мјс_специал/цомпуиндиа.цом.јс | //рекуест.паиригхтнов[.]цф/аллдата.пхп |
| [.]пв/мјс/сегапаи_стандарт.јс | //цдн.иллум[.]пв/рецордс.пхп |
| [.]пв/мјс/сегапаи_онпаге.јс | //цдн.иллум[.]пв/рецордс.пхп |
| [.]пв/мјс/реплаце_стандард.јс | //рекуест.паиригхтнов[.]цф/цхецкпаимент.пхп |
| [.]пв/мјс/алл_инпутс.јс | //цдн.иллум[.]пв/рецордс.пхп |
| [.]пв/мјс/адд_инпутс_стандарт.јс | //рекуест.паиригхтнов[.]цф/цхецкпаимент.пхп |
| [.]пв/магенто/паимент_стандард.јс | //цдн.иллум[.]пв/рецордс.пхп |
| [.]пв/магенто/паимент_редирецт.јс | //паиригхтнов[.]цф/?паимент= |
| [.]пв/магенто/паимент_редцрипт.јс | //паиригхтнов[.]цф/?паимент= |
| [.]пв/магенто/паимент_форминсите.јс | //паиментнов[.]тк/?паимент= |
Домаћин паинов[.]тк, који се користи као капија у сценарију паимент_форминсите.јс, откривено је као субјецтАлтНаме у неколико сертификата везаних за услугу ЦлоудФларе. Поред тога, сценарио се налазио на домаћину евил.јс. Судећи по називу скрипте, могао је да се користи као део искоришћавања ЦВЕ-2016-4010, захваљујући којем је могуће убацити злонамерни код у подножје сајта на коме је инсталиран Магенто ЦМС. Ова скрипта је користила хост као капију рекуест.рекуестнет[.]тк, користећи исти сертификат као и хост паинов[.]тк.
Лажни обрасци за плаћање
На слици испод приказан је пример обрасца за унос података о картици. Овај образац је коришћен за инфилтрирање на веб локацију продавнице на мрежи и крађу података о картици.
Следећа слика је пример лажног ПаиПал обрасца плаћања који су користили нападачи да би се инфилтрирали на сајтове користећи овај начин плаћања.
Инфраструктура
| Домаин | Датум открића/појављивања |
|---|---|
| цдн.иллум.пв | 27/11/2016 |
| рецордс.нстатистицс.цом | 06/09/2018 |
| рекуест.паиригхтнов.цф | 25/05/2018 |
| паиментнов.тк | 16/07/2017 |
| паи-лине.тк | 01/03/2018 |
| паиментпал.цф | 04/09/2017 |
| рекуестнет.тк | 28/06/2017 |
ЦоффееМокко породица
ЦоффеМокко породица њушкала дизајнираних за крађу банковних картица корисника онлајн продавница користи се најмање од маја 2017. године. Претпоставља се да су оператери ове породице њушкала криминална група Групе 1, коју су стручњаци РискИК описали 2016. Нападнуте су веб странице које користе ЦМС као што су Магенто, ОпенЦарт, ВордПресс, осЦоммерце, Схопифи.
Како је ЦоффеМокко уграђен у код онлине продавнице
Оператери ове породице креирају јединствене сниффере за сваку инфекцију: датотека сниффера се налази у директоријуму срц или js на серверу нападача. Имплементација у код сајта се врши директном везом до сниффера.
Код њушкања чврсто кодира имена поља обрасца из којих желите да украдете податке. Сниффер такође проверава да ли је корисник на страници за одјаву тако што проверава листу кључних речи у односу на тренутну адресу корисника.
Неке откривене верзије њушкала биле су замагљене и садржале су шифровани низ који је чувао главни низ ресурса: садржао је називе поља обрасца за различите системе плаћања, као и адресу капије на коју треба послати украдене податке.
Украдене информације о плаћању су успут послате у скрипту на серверу нападача. /савеПаимент/индек.пхп или /тр/индек.пхп. Претпоставља се да се ова скрипта користи за слање података са капије на главни сервер, који консолидује податке са свих њушкала. Да би се сакрили пренесени подаци, све информације о плаћању жртве се кодирају помоћу басеКСНУМКС, а затим се дешава неколико замена карактера:
- знак "е" је замењен са ":"
- симбол "в" је замењен са "+"
- знак "о" је замењен са "%"
- знак "д" је замењен са "#"
- знак "а" је замењен са "-"
- симбол "7" је замењен са "^"
- знак "х" је замењен са "_"
- симбол "Т" се замењује са "@"
- знак "0" је замењен са "/"
- знак "И" је замењен са "*"
Као резултат замена карактера кодираних са басеКСНУМКС подаци се не могу декодирати без инверзне трансформације.
Овако изгледа фрагмент кода сниффера који није замагљен:
Анализа инфраструктуре
У раним кампањама, нападачи су регистровали имена домена слична онима на легитимним сајтовима за куповину на мрежи. Њихов домен се може разликовати од легитимног по једном или другом ТЛД-у. Регистровани домени су коришћени за чување сниффер кода, веза до које је била уграђена у код продавнице.
Ова група је такође користила имена домена која подсећају на популарне јКуери додатке (слицкјс[.]орг за сајтове који користе додатак слицк.јс), гејтвеји за плаћање (сагецдн[.]орг за сајтове који користе систем плаћања Саге Паи).
Касније је група почела да креира домене чије име није имало никакве везе ни са доменом продавнице ни са темом продавнице.
Сваки домен је одговарао сајту на коме је директоријум креиран /јс или / срц. Сниффер скрипте су ускладиштене у овом директоријуму: један сниффер за сваку нову инфекцију. Сниффер је уведен у код сајта путем директне везе, али су у ретким случајевима нападачи модификовали један од фајлова сајта и додали злонамерни код у њега.
Анализа кода
Први алгоритам замагљивања
У неким узорцима њушкала из ове породице, код је био замагљен и садржао је шифроване податке неопходне за рад њушкача: посебно, адресу улаза њушкача, листу поља обрасца за плаћање, а у неким случајевима и лажни код обрасца за плаћање. У коду унутар функције, ресурси су шифровани са КСОР помоћу кључа који је прослеђен као аргумент истој функцији.
Дешифровањем стринга са одговарајућим кључем, јединственим за сваки узорак, можете добити стринг који садржи све редове из кода за њушкање одвојене знаком за раздвајање.
Други алгоритам замагљивања
У каснијим узорцима ове породице њушкала, коришћен је другачији механизам замагљивања: у овом случају подаци су шифровани коришћењем алгоритма који је сам написао. Низ који садржи шифроване податке потребне да би њушкало радио је прослеђен као аргумент функцији дешифровања.
Користећи конзолу претраживача, можете дешифровати шифроване податке и добити низ који садржи ресурсе њушкања.
Веза са раним МагеЦарт нападима
Анализом једног од домена које група користи као капију за прикупљање украдених података, установљено је да је на овом домену распоређена инфраструктура за крађу кредитних картица, идентична оној коју користи Група 1, једна од првих група, РискИК специјалисти.
Два фајла су пронађена на домаћину породице њушкала ЦоффеМокко:
- маге.јс — датотека која садржи код групе 1 сниффер са адресом капије јс-цдн.линк
- маг.пхп - ПХП скрипта одговорна за прикупљање података које је украо њушкач
Садржај датотеке маге.јс
Такође је утврђено да су најранији домени које је користила група иза породице њушкала ЦоффеМокко регистровани 17. маја 2017:
- линк-јс[.]линк
- инфо-јс[.]линк
- трацк-јс[.]линк
- мап-јс[.]линк
- смарт-јс[.]линк
Формат ових имена домена је исти као имена домена Групе 1 који су коришћени у нападима 2016.
На основу откривених чињеница може се претпоставити да постоји веза између оператера њушкања ЦоффеМокко и криминалне групе 1. Претпоставља се да су ЦоффеМокко оператери можда позајмили алате и софтвер за крађу картица од својих претходника. Међутим, вероватније је да су криминална група која стоји иза употребе њушкала породице ЦоффеМокко исти људи који су извршили нападе у оквиру активности Групе 1. Након објављивања првог извештаја о активностима криминалне групе, сви њихови имена домена су блокирана, а алати су детаљно проучени и описани. Група је била приморана да направи паузу, фино подеси своје интерне алате и препише код за њушкање како би наставила са нападима и остала непримећена.
Инфраструктура
| Домаин | Датум открића/појављивања |
|---|---|
| линк-јс.линк | 17.05.2017 |
| инфо-јс.линк | 17.05.2017 |
| трацк-јс.линк | 17.05.2017 |
| мап-јс.линк | 17.05.2017 |
| смарт-јс.линк | 17.05.2017 |
| адоребеаути.орг | 03.09.2017 |
| сецурити-паимент.су | 03.09.2017 |
| браинцдн.орг | 04.09.2017 |
| сагецдн.орг | 04.09.2017 |
| слицкјс.орг | 04.09.2017 |
| оакандфорт.орг | 10.09.2017 |
| цитивлнери.орг | 15.09.2017 |
| добелл.су | 04.10.2017 |
| цхилдсплаицлотхинг.орг | 31.10.2017 |
| јевсондирецт.цом | 05.11.2017 |
| схоп-рниб.орг | 15.11.2017 |
| цлосетлондон.орг | 16.11.2017 |
| миссхаус.орг | 28.11.2017 |
| баттери-форце.орг | 01.12.2017 |
| кик-вапе.орг | 01.12.2017 |
| греатфурнитуретрадингцо.орг | 02.12.2017 |
| етрадесуппли.орг | 04.12.2017 |
| реплацемиремоте.орг | 04.12.2017 |
| алл-абоут-снеакерс.орг | 05.12.2017 |
| маге-цхецкоут.орг | 05.12.2017 |
| нилилотан.орг | 07.12.2017 |
| ламоодбигхатс.нет | 08.12.2017 |
| валлетгеар.орг | 10.12.2017 |
| дахлие.орг | 12.12.2017 |
| давидсфоотвеар.орг | 20.12.2017 |
| блацкриверимагинг.орг | 23.12.2017 |
| екрпессо.орг | 02.01.2018 |
| паркс.су | 09.01.2018 |
| пмтонлине.су | 12.01.2018 |
| оттоцап.орг | 15.01.2018 |
| цхристохпервард.орг | 27.01.2018 |
| цоффетеа.орг | 31.01.2018 |
| енергицоффе.орг | 31.01.2018 |
| енергитеа.орг | 31.01.2018 |
| теацоффе.нет | 31.01.2018 |
| адаптивецсс.орг | 01.03.2018 |
| цоффемокко.цом | 01.03.2018 |
| лондонтеа.нет | 01.03.2018 |
| укцоффе.цом | 01.03.2018 |
| лаббе.биз | 20.03.2018 |
| баттеринарт.цом | 03.04.2018 |
| бтоспортс.нет | 09.04.2018 |
| цхицксаддлери.нет | 16.04.2018 |
| паипаипаи.орг | 11.05.2018 |
| ар500арнор.цом | 26.05.2018 |
| аутхоризецдн.цом | 28.05.2018 |
| слицкмин.цом | 28.05.2018 |
| баннербузз.инфо | 03.06.2018 |
| кандипенс.нет | 08.06.2018 |
| милрендипхоне.цом | 15.06.2018 |
| фресхцхат.инфо | 01.07.2018 |
| 3лифт.орг | 02.07.2018 |
| абтасти.нет | 02.07.2018 |
| мецхат.инфо | 02.07.2018 |
| зоплм.цом | 02.07.2018 |
| запаљс.цом | 02.09.2018 |
| фоодандцот.цом | 15.09.2018 |
| фресхдепор.цом | 15.09.2018 |
| сваппасторе.цом | 15.09.2018 |
| веривеллфитнесс.цом | 15.09.2018 |
| елегрина.цом | 18.11.2018 |
| мајсурплус.цом | 19.11.2018 |
| топ5валуе.цом | 19.11.2018 |
Извор: ввв.хабр.цом