Ampir sadayana urang nganggo jasa toko online, anu hartosna engké atanapi engké urang résiko janten korban sniffers JavaScript - kode khusus anu panyerang dilaksanakeun dina situs wéb pikeun maok data kartu bank, alamat, login sareng kecap akses pangguna. .
Ampir 400 pangguna situs wéb British Airways sareng aplikasi sélulér parantos kapangaruhan ku sniffers, ogé nganjang ka halaman wéb Inggris raksasa olahraga FILA sareng distributor tikét Amérika Ticketmaster. PayPal, Chase Paymenttech, USAePay, Moneris - ieu sareng seueur sistem pamayaran sanésna katépaan.
Analis Ancaman AKAL Grup-IB Viktor Okorokov ceramah ngeunaan kumaha sniffers infiltrate kode ramatloka sarta maok informasi pembayaran, kitu ogé CRMs naon maranéhna nyerang.
"Ancaman disumputkeun"
Ieu jadi kajadian nu keur lila JS sniffers tetep kaluar tina tetempoan analis anti-virus, sarta bank jeung sistem pamayaran teu ningali aranjeunna salaku anceman serius. Jeung sagemblengna sia. ahli Grup-IB
Hayu urang cicing di jéntré ngeunaan opat kulawarga sniffers diajar salila pangajaran.
ReactGet Kulawarga
Sniffers tina kulawarga ReactGet dipaké pikeun maok data kartu bank dina situs balanja online. Sniffer tiasa dianggo sareng sajumlah ageung sistem pamayaran anu béda anu dianggo dina situs éta: hiji nilai parameter pakait sareng hiji sistem pamayaran, sareng versi sniffer anu dideteksi individu tiasa dianggo pikeun maok kredensial, ogé maok data kartu bank tina pamayaran. bentuk sababaraha sistem pembayaran sakaligus, kawas nu disebut sniffer universal. Kapanggih yén dina sababaraha kasus, panyerang ngalaksanakeun serangan phishing ka pangurus toko online pikeun kéngingkeun aksés kana panel administrasi situs.
Kampanye anu ngagunakeun kulawarga sniffers ieu dimimitian dina Méi 2017; situs anu ngajalankeun platform CMS sareng Magento, Bigcommerce, sareng Shopify diserang.
Kumaha ReactGet dilaksanakeun kana kode toko online
Salian palaksanaan "klasik" naskah liwat tautan, operator kulawarga sniffers ReactGet ngagunakeun téknik khusus: ngagunakeun kode JavaScript, aranjeunna mariksa naha alamat ayeuna dimana pangguna parantos nyayogikeun kriteria anu tangtu. Kodeu jahat ngan bakal dieksekusi upami substringna aya dina URL ayeuna parios atawa hiji hambalan Checkout, hiji halaman/, kaluar / onepag, Checkout / hiji, ckout / hiji. Ku kituna, kodeu sniffer bakal dieksekusi persis dina momen nalika pamaké proceeds mayar purchases sarta ngasupkeun informasi pembayaran kana formulir dina loka.
Sniffer Ieu ngagunakeun téhnik non-standar. Pangmayaran korban sareng data pribadi dikumpulkeun babarengan sareng disandi nganggo dasar64, lajeng string anu dihasilkeun dipaké salaku parameter pikeun ngirim pamundut ka ramatloka panyerang '. Seringna, jalur ka gerbang niru file JavaScript, contona resp.js, data.js jeung saterusna, tapi numbu ka file gambar ogé dipaké, GIF и JPG. Anu unik nyaéta yén sniffer nyiptakeun objék gambar ukuran 1 x 1 piksel sareng nganggo tautan anu ditampi sateuacana salaku parameter. src Gambar. Nyaéta, pikeun pangguna, pamundut sapertos kitu dina lalu lintas bakal katingali sapertos pamundut gambar biasa. Téhnik anu sami dianggo dina kulawarga sniffers ImageID. Salaku tambahan, téknik ngagunakeun gambar 1 ku 1 piksel dianggo dina seueur skrip analitik online anu sah, anu ogé tiasa nyasabkeun pangguna.
Analisis Vérsi
Analisis domain aktip anu dianggo ku operator sniffer ReactGet ngungkabkeun seueur vérsi anu béda pikeun kulawarga sniffers ieu. Vérsi béda dina ayana atanapi henteuna obfuscation, sarta sajaba, unggal sniffer dirancang pikeun sistem pembayaran husus nu ngolah pangmayaran kartu bank pikeun toko online. Saatos nyortir nilai parameter anu cocog sareng nomer vérsi, spesialis Grup-IB nampi daptar lengkep ngeunaan variasi sniffer anu sayogi, sareng ku nami widang formulir anu dipilarian unggal sniffer dina kode halaman, aranjeunna ngaidentipikasi sistem pamayaran. nu sniffer dituju.
Daptar sniffers sareng sistem pembayaran anu saluyu
URL Sniffer | Sistem pamayaran |
---|---|
|
Ngotorisasi.Net |
Cardsave | |
|
Ngotorisasi.Net |
Ngotorisasi.Net | |
|
eWAY Rapid |
Ngotorisasi.Net | |
Adyen | |
|
USAePay |
Ngotorisasi.Net | |
USAePay | |
|
Ngotorisasi.Net |
Moneris | |
USAePay | |
PayPal | |
Sage Pay | |
Verisign | |
PayPal | |
belang | |
|
Realex |
PayPal | |
LinkPoint | |
PayPal | |
PayPal | |
DataCash | |
|
PayPal |
|
Ngotorisasi.Net |
|
Ngotorisasi.Net |
Ngotorisasi.Net | |
Ngotorisasi.Net | |
|
Verisign |
|
Ngotorisasi.Net |
Moneris | |
|
Sage Pay |
|
USAePay |
|
Ngotorisasi.Net |
|
Ngotorisasi.Net |
|
ANZ eGate |
|
Ngotorisasi.Net |
|
Moneris |
|
Sage Pay |
Sage Pay | |
|
Ngudag Paymenttech |
|
Ngotorisasi.Net |
|
Adyen |
PsiGate | |
Sumber Cyber | |
ANZ eGate | |
Realex | |
|
USAePay |
|
Ngotorisasi.Net |
|
Ngotorisasi.Net |
|
ANZ eGate |
|
PayPal |
|
PayPal |
Realex | |
|
Sage Pay |
|
PayPal |
|
Verisign |
Ngotorisasi.Net | |
|
Verisign |
Ngotorisasi.Net | |
|
ANZ eGate |
PayPal | |
Sumber Cyber | |
|
Ngotorisasi.Net |
|
Sage Pay |
Realex | |
|
Sumber Cyber |
PayPal | |
PayPal | |
|
PayPal |
|
Verisign |
|
eWAY Rapid |
|
Sage Pay |
Sage Pay | |
|
Verisign |
Ngotorisasi.Net | |
Ngotorisasi.Net | |
|
Mimiti Data Global Gateway |
Ngotorisasi.Net | |
Ngotorisasi.Net | |
Moneris | |
|
Ngotorisasi.Net |
|
PayPal |
|
Verisign |
|
USAePay |
USAePay | |
Ngotorisasi.Net | |
Verisign | |
PayPal | |
|
Ngotorisasi.Net |
belang | |
|
Ngotorisasi.Net |
eWAY Rapid | |
|
Sage Pay |
Ngotorisasi.Net | |
|
Braintree |
|
Braintree |
|
PayPal |
|
Sage Pay |
|
Sage Pay |
|
Ngotorisasi.Net |
|
PayPal |
|
Ngotorisasi.Net |
Verisign | |
|
PayPal |
|
Ngotorisasi.Net |
|
belang |
|
Ngotorisasi.Net |
eWAY Rapid | |
Sage Pay | |
|
Ngotorisasi.Net |
Braintree | |
|
PayPal |
|
Sage Pay |
Sage Pay | |
|
Ngotorisasi.Net |
PayPal | |
Ngotorisasi.Net | |
|
Verisign |
|
Ngotorisasi.Net |
|
Ngotorisasi.Net |
|
Ngotorisasi.Net |
|
Ngotorisasi.Net |
|
Sage Pay |
Sage Pay | |
|
Westpac PayWay |
|
PayFort |
|
PayPal |
|
Ngotorisasi.Net |
|
belang |
|
Mimiti Data Global Gateway |
|
PsiGate |
Ngotorisasi.Net | |
Ngotorisasi.Net | |
|
Moneris |
|
Ngotorisasi.Net |
Sage Pay | |
|
Verisign |
Moneris | |
PayPal | |
|
LinkPoint |
|
Westpac PayWay |
Ngotorisasi.Net | |
|
Moneris |
|
PayPal |
Adyen | |
PayPal | |
Ngotorisasi.Net | |
USAePay | |
EBizCharge | |
|
Ngotorisasi.Net |
|
Verisign |
Verisign | |
Ngotorisasi.Net | |
|
PayPal |
|
Moneris |
Ngotorisasi.Net | |
|
PayPal |
PayPal | |
Westpac PayWay | |
Ngotorisasi.Net | |
|
Ngotorisasi.Net |
Sage Pay | |
|
Verisign |
|
Ngotorisasi.Net |
|
PayPal |
|
PayFort |
Sumber Cyber | |
PayPal Payflow Pro | |
|
Ngotorisasi.Net |
|
Ngotorisasi.Net |
Verisign | |
|
Ngotorisasi.Net |
|
Ngotorisasi.Net |
Sage Pay | |
Ngotorisasi.Net | |
|
belang |
|
Ngotorisasi.Net |
Ngotorisasi.Net | |
Verisign | |
|
PayPal |
Ngotorisasi.Net | |
|
Ngotorisasi.Net |
Sage Pay | |
|
Ngotorisasi.Net |
|
Ngotorisasi.Net |
|
PayPal |
|
Flint |
|
PayPal |
Sage Pay | |
Verisign | |
|
Ngotorisasi.Net |
|
Ngotorisasi.Net |
|
belang |
|
Zebra gajih |
Sage Pay | |
|
Ngotorisasi.Net |
Mimiti Data Global Gateway | |
|
Ngotorisasi.Net |
|
eWAY Rapid |
Adyen | |
|
PayPal |
Jasa Merchant QuickBooks | |
Verisign | |
|
Sage Pay |
Verisign | |
|
Ngotorisasi.Net |
|
Ngotorisasi.Net |
Sage Pay | |
|
Ngotorisasi.Net |
|
eWAY Rapid |
Ngotorisasi.Net | |
|
ANZ eGate |
|
PayPal |
Sumber Cyber | |
|
Ngotorisasi.Net |
Sage Pay | |
|
Realex |
Sumber Cyber | |
|
PayPal |
|
PayPal |
|
PayPal |
|
Verisign |
eWAY Rapid | |
|
Sage Pay |
|
Sage Pay |
|
Verisign |
Ngotorisasi.Net | |
|
Ngotorisasi.Net |
|
Mimiti Data Global Gateway |
Ngotorisasi.Net | |
Ngotorisasi.Net | |
|
Moneris |
|
Ngotorisasi.Net |
|
PayPal |
sandi sniffer
Salah sahiji kaunggulan sniffers JavaScript anu damel di sisi klien halaman wéb nyaéta fleksibilitasna: kode jahat anu dipasang dina halaman wéb tiasa maok jinis data naon waé, boh data pamayaran atanapi login sareng kecap akses tina akun pangguna. Spesialis Grup-IB mendakan conto sniffer milik kulawarga ReactGet, dirancang pikeun maok alamat email sareng kecap akses pangguna situs.
Simpang jeung ImageID sniffer
Salila analisa salah sahiji toko kainféksi, éta kapanggih yén situs na ieu kainféksi dua kali: salian kode jahat sniffer kulawarga ReactGet, kode sniffer kulawarga ImageID dideteksi. Tumpang tindih ieu tiasa janten bukti yén operator tukangeun duanana sniffers ngagunakeun téknik anu sami pikeun nyuntik kode jahat.
sniffer universal
Analisis salah sahiji ngaran domain pakait sareng infrastruktur sniffer ReactGet ngungkabkeun yén pangguna anu sami parantos ngadaptarkeun tilu nami domain sanés. Tilu domain ieu niru domain situs web kahirupan nyata sareng saacanna dianggo pikeun host sniffers. Nalika nganalisis kodeu tilu situs anu sah, sniffer anu teu dipikanyaho dideteksi, sareng analisa salajengna nunjukkeun yén éta mangrupikeun versi anu langkung saé tina sniffer ReactGet. Kabéh versi diawaskeun saméméhna tina kulawarga sniffers ieu aimed dina sistem pembayaran tunggal, nyaeta, unggal sistem pembayaran diperlukeun versi husus tina sniffer nu. Tapi, dina hal ieu, versi universal sniffer kapanggih anu sanggup maok inpormasi tina bentuk anu aya hubunganana sareng 15 sistem pembayaran anu béda sareng modul situs e-commerce pikeun pamayaran online.
Janten, dina awal padamelan, sniffer milarian kolom bentuk dasar anu ngandung inpormasi pribadi korban: nami lengkep, alamat fisik, nomer telepon.
The sniffer lajeng searched leuwih 15 awalan béda pakait jeung sistem pembayaran béda jeung modul pembayaran online.
Salajengna, data pribadi korban sareng inpormasi pamayaran dikumpulkeun babarengan sareng dikirim ka situs anu dikontrol ku panyerang: dina kasus khusus ieu, dua versi sniffer ReactGet universal kapanggih, ayana dina dua situs anu diretas. Sanajan kitu, duanana versi dikirim data dipaling ka situs hacked sarua zoobashop.com.
Analisis awalan anu digunakeun ku sniffer pikeun milarian widang anu ngandung inpormasi pamayaran korban ngamungkinkeun urang pikeun nangtukeun yén sampel sniffer ieu ditujukeun pikeun sistem pamayaran ieu:
- Ngotorisasi.Net
- Verisign
- Data Kahiji
- USAePay
- belang
- PayPal
- ANZ eGate
- Braintree
- DataCash (MasterCard)
- Pangmayaran Realex
- PsiGate
- Sistem pamayaran Heartland
Alat naon anu dianggo pikeun maok inpormasi pamayaran?
Alat anu munggaran, kapanggih nalika analisa infrastruktur panyerang, dianggo pikeun ngabingungkeun naskah jahat anu tanggung jawab pikeun maling kartu bank. Skrip bash nganggo CLI proyék kapanggih dina salah sahiji host panyerang
Alat kapanggih kadua dirancang pikeun ngahasilkeun kode jawab loading sniffer utama. Alat ieu ngahasilkeun kode JavaScript anu mariksa naha pangguna aya dina halaman pamayaran ku cara milarian string alamat pangguna ayeuna. parios, gorobag sareng saterasna, sareng upami hasilna positip, kodeu ngamuat sniffer utama tina server panyerang. Pikeun nyumputkeun kagiatan jahat, sadaya jalur, kalebet garis uji pikeun nangtukeun halaman pamayaran, ogé tautan ka sniffer, disandikeun nganggo dasar64.
Serangan phishing
Analisis infrastruktur jaringan panyerang ngungkabkeun yén grup kriminal sering ngagunakeun phishing pikeun kéngingkeun aksés ka panel administrasi toko online target. Panyerang ngadaptarkeun domain anu sacara visual mirip sareng domain toko, teras nyebarkeun formulir login panel administrasi Magento palsu. Upami suksés, panyerang bakal kéngingkeun aksés kana panel administrasi Magento CMS, anu masihan aranjeunna kasempetan pikeun ngédit komponén halaman wéb sareng ngalaksanakeun sniffer pikeun maok data kartu kiridit.
infrastruktur
Домен | Tanggal kapanggihna / penampilan |
---|---|
mediapack.info | 04.05.2017 |
adsgetapi.com | 15.06.2017 |
simcounter.com | 14.08.2017 |
mageanalytics.com | 22.12.2017 |
maxstatics.com | 16.01.2018 |
reactjsapi.com | 19.01.2018 |
mxcounter.com | 02.02.2018 |
apitstatus.com | 01.03.2018 |
orderracker.com | 20.04.2018 |
tagtracking.com | 25.06.2018 |
adsapigate.com | 12.07.2018 |
trust-tracker.com | 15.07.2018 |
fbstatspartner.com | 02.10.2018 |
billgetstatus.com | 12.10.2018 |
www.aldenmlilhouse.com | 20.10.2018 |
balletbeautlful.com | 20.10.2018 |
bargaljunkie.com | 20.10.2018 |
payselector.com | 21.10.2018 |
tagsmediaget.com | 02.11.2018 |
hs-payments.com | 16.11.2018 |
ordercheckpays.com | 19.11.2018 |
geisseie.com | 24.11.2018 |
gtmproc.com | 29.11.2018 |
livegetpay.com | 18.12.2018 |
sydneysalonsupplies.com | 18.12.2018 |
newrelicnet.com | 19.12.2018 |
nr-public.com | 03.01.2019 |
cloudodesc.com | 04.01.2019 |
ajaxstatic.com | 11.01.2019 |
livecheckpay.com | 21.01.2019 |
asianfoodgracer.com | 25.01.2019 |
Kulawarga G-Analytics
Kulawarga sniffers ieu dianggo pikeun maok kartu palanggan ti toko online. Ngaran domain pangheulana dipaké ku grup ieu didaptarkeun dina April 2016, nu bisa nunjukkeun yén grup mimiti aktivitas dina pertengahan 2016.
Dina kampanye ayeuna, grup ngagunakeun ngaran domain nu niru jasa real-hirup, kayaning Google Analytics na jQuery, masking aktivitas sniffers kalawan Aksara sah jeung ngaran domain sarupa leuwih sah. Situs anu ngajalankeun Magento CMS diserang.
Kumaha G-Analytics dilaksanakeun kana kode toko online
A fitur has kulawarga ieu pamakéan rupa métode pikeun maok informasi pembayaran pamaké. Salian suntikan klasik kode JavaScript kana sisi klien situs, kelompok kriminal ogé ngagunakeun téknik suntikan kode kana sisi server situs, nyaéta skrip PHP anu ngolah data anu diasupkeun ku pangguna. Téhnik ieu bahaya sabab ngajadikeun panalungtik pihak katilu hésé pikeun ngadeteksi kode jahat. Spesialis Grup-IB mendakan versi sniffer anu dipasang dina kode PHP situs, nganggo domain salaku gerbang. dittm.org.
Versi awal sniffer ogé kapanggih anu ngagunakeun domain anu sarua pikeun ngumpulkeun data dipaling dittm.org, Tapi versi ieu dimaksudkeun pikeun instalasi di sisi klien hiji toko online.
Grup éta engké ngarobih taktikna sareng mimiti langkung difokuskeun pikeun nyumputkeun kagiatan jahat sareng kamuflase.
Dina awal 2017, grup mimiti ngagunakeun domain jquery-js.com, masquerading salaku CDN pikeun jQuery: nalika bade ka situs panyerang, pamaké dialihkeun ka situs sah. jquery.com.
Sareng dina pertengahan 2018, grup ngadopsi nami domain g-analytics.com sarta mimiti nyamur kagiatan sniffer urang salaku layanan Google Analytics sah.
Analisis Vérsi
Salila analisa domain anu dipaké pikeun nyimpen kode sniffer, éta kapanggih yén situs ngandung angka nu gede ngarupakeun versi, nu béda dina ayana obfuscation, kitu ogé ayana atawa henteuna kode unreachable ditambahkeun kana file pikeun ngaganggu perhatian. sareng nyumputkeun kode jahat.
Total dina situs jquery-js.com Genep versi sniffers diidentifikasi. Sniffers ieu ngirimkeun data anu dipaling ka alamat anu aya dina halaman wéb anu sami sareng sniffer sorangan: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
domain engké g-analytics.com, dipaké ku grup dina serangan saprak pertengahan 2018, boga fungsi minangka gudang pikeun leuwih sniffers. Dina total, 16 versi béda tina sniffer kapanggih. Dina hal ieu, gerbang pikeun ngirim data dipaling ieu disguised salaku tumbu ka format gambar GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Monetisasi data anu dipaling
Grup kriminal monetizes data dipaling ku ngajual kartu ngaliwatan toko jero taneuh husus dijieun nu nyadiakeun layanan ka carders. Analisis domain anu dianggo ku panyerang ngamungkinkeun urang pikeun nangtukeun éta google-analytics.cm didaptarkeun ku pangguna anu sami sareng domain cardz.vc. Domain cardz.vc nujul kana toko ngajual kartu bank dipaling Cardsurfs (Flysurfs), nu miboga popularitas deui dina poé aktivitas platform dagang underground AlphaBay salaku toko ngajual kartu bank dipaling maké sniffer a.
Nganalisis domain analitik.nyaéta, lokasina dina server sarua salaku domain dipaké ku sniffers pikeun ngumpulkeun data dipaling, spesialis Grup-IB manggihan hiji file ngandung log cookie stealer, nu sigana geus engké ditinggalkeun ku developer. Salah sahiji éntri dina log ngandung domain iozoz.com, nu saméméhna dipaké dina salah sahiji sniffers aktip dina 2016. Presumably, domain ieu saméméhna dipaké ku panyerang pikeun ngumpulkeun kartu dipaling maké sniffer a. domain ieu didaptarkeun ka alamat surélék [email dijaga], nu ieu ogé dipaké pikeun ngadaptar domain cardz.su и cardz.vc, patali jeung toko carding Cardsurfs.
Dumasar data diala, bisa dianggap yén G-Analytics kulawarga sniffers jeung toko underground ngajual kartu bank Cardsurfs dikelola ku jalma anu sarua, sarta toko dipaké pikeun ngajual kartu bank dipaling maké sniffer nu.
infrastruktur
Домен | Tanggal kapanggihna / penampilan |
---|---|
iozoz.com | 08.04.2016 |
dittm.org | 10.09.2016 |
jquery-js.com | 02.01.2017 |
g-analytics.com | 31.05.2018 |
google-analytics.is | 21.11.2018 |
analitik.kana | 04.12.2018 |
google-analytics.to | 06.12.2018 |
google-analytics.cm | 28.12.2018 |
analitik.nyaéta | 28.12.2018 |
googlc-analytics.cm | 17.01.2019 |
kulawarga Illum
Illum mangrupakeun kulawarga sniffers dipaké pikeun nyerang toko online ngajalankeun Magento CMS. Salian ngenalkeun kode jahat, operator sniffer ieu ogé nganggo bubuka bentuk pembayaran palsu anu lengkep anu ngirim data ka gerbang anu dikontrol ku panyerang.
Nalika nganalisis infrastruktur jaringan anu dianggo ku operator sniffer ieu, sajumlah ageung skrip jahat, eksploitasi, bentuk pamayaran palsu, kitu ogé kumpulan conto sareng sniffers jahat ti pesaing kacatet. Dumasar inpormasi ngeunaan tanggal penampilan nami domain anu dianggo ku grup, éta tiasa dianggap yén kampanye dimimitian dina ahir 2016.
Kumaha Illum dilaksanakeun kana kode toko online
Versi mimiti sniffer anu kapanggih dilebetkeun langsung kana kode situs anu dikompromi. Data dipaling dikirim ka cdn.illum [.]pw/records.php, Gerbang ieu disandikeun ngagunakeun dasar64.
Engké, versi rangkep tina sniffer kapanggih anu ngagunakeun gerbang béda - records.nstatistics[.]com/records.php.
nurutkeun
Analisis situs wéb panyerang
Spesialis Grup-IB mendakan sareng nganalisa halaman wéb anu dianggo ku grup kriminal ieu pikeun nyimpen alat sareng ngumpulkeun inpormasi anu dipaling.
Diantara alat anu aya dina server panyerang nyaéta skrip sareng eksploitasi pikeun ningkatkeun hak istimewa dina OS Linux: contona, Linux Privilege Escalation Check Script anu dikembangkeun ku Mike Czumak, ogé garapan pikeun CVE-2009-1185.
Para panyerang ngagunakeun dua eksploitasi langsung pikeun nyerang toko online:
Ogé, nalika analisa server, rupa-rupa conto sniffers sareng bentuk pembayaran palsu kapanggih, dianggo ku panyerang pikeun ngumpulkeun inpormasi pamayaran tina situs anu diretas. Sakumaha anjeun tiasa tingali tina daptar di handap, sababaraha naskah dijieun individual pikeun tiap situs hacked, bari solusi universal dipaké pikeun CMS tangtu sarta gateways pamayaran. Contona, naskah segapay_standart.js и segapay_onpage.js dirancang pikeun palaksanaan dina situs ngagunakeun gateway pembayaran Sage Pay.
Daptar skrip pikeun sagala rupa gateway pamayaran
naskah | Gerbang pamayaran |
---|---|
|
//request.payrightnow[.]cf/checkpayment.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
//request.payrightnow[.]cf/checkpayment.php | |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//cdn.illum[.]pw/records.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
//request.payrightnow[.]cf/checkpayment.php | |
|
//cdn.illum[.]pw/records.php |
//payrightnow[.]cf/?payment= | |
|
//payrightnow[.]cf/?payment= |
|
//paymentnow[.]tk/?payment= |
Host pembayaran ayeuna[.]tk, dipaké salaku gerbang dina naskah payment_forminsite.js, kapanggih salaku subjectAltName dina sababaraha sertipikat anu aya hubunganana sareng jasa CloudFlare. Sajaba ti éta, host ngandung naskah jahat.js. Ditilik ku nami naskah, éta tiasa dianggo salaku bagian tina eksploitasi CVE-2016-4010, hatur nuhun anu tiasa nyuntik kode jahat kana footer situs anu ngajalankeun CMS Magento. Host ngagunakeun naskah ieu salaku gerbang request.requestnet[.]tkngagunakeun sertipikat anu sami sareng host pembayaran ayeuna[.]tk.
Bentuk pembayaran palsu
Gambar di handap nembongkeun conto formulir pikeun ngasupkeun data kartu. Formulir ieu dianggo pikeun nyusup toko online sareng maok data kartu.
Angka di handap ieu nunjukkeun conto bentuk pembayaran PayPal palsu anu dianggo ku panyerang pikeun nyusup situs nganggo metode pamayaran ieu.
infrastruktur
Домен | Tanggal kapanggihna / penampilan |
---|---|
cdn.illum.pw | 27/11/2016 |
records.nstatistics.com | 06/09/2018 |
request.payrightnow.cf | 25/05/2018 |
paymentnow.tk | 16/07/2017 |
pamayaran-line.tk | 01/03/2018 |
paymentpal.cf | 04/09/2017 |
requestnet.tk | 28/06/2017 |
kulawarga CoffeeMokko
Kulawarga sniffers CoffeMokko, dirancang pikeun maok kartu bank ti pamaké toko online, geus dipaké saprak sahenteuna Méi 2017. Panginten, operator kulawarga sniffers ieu mangrupikeun grup kriminal Grup 1, anu dijelaskeun ku spesialis RiskIQ di 2016. Situs anu ngajalankeun CMS sapertos Magento, OpenCart, WordPress, osCommerce, sareng Shopify diserang.
Kumaha CoffeMokko dilaksanakeun kana kode toko online
Operator kulawarga ieu nyiptakeun sniffers unik pikeun unggal inféksi: file sniffer aya dina diréktori. src atawa js dina server panyerang. Incorporation kana kode situs dilumangsungkeun via link langsung ka sniffer nu.
Kode sniffer hardcodes ngaran widang formulir ti mana data perlu dipaling. Sniffer ogé mariksa naha pangguna aya dina halaman pamayaran ku mariksa daptar kecap konci sareng alamat pangguna ayeuna.
Sababaraha vérsi sniffer anu dipendakan éta kabur sareng ngandung senar énkripsi dimana sumber daya utama disimpen: éta ngandung nami widang formulir pikeun sagala rupa sistem pamayaran, ogé alamat gerbang dimana data anu dipaling kedah dikirim.
Inpormasi pamayaran anu dipaling dikirim ka skrip dina server panyerang sapanjang jalan /savePayment/index.php atawa /tr/index.php. Presumably, Aksara ieu dipaké pikeun ngirim data ti gerbang ka server utama, nu consolidates data ti sagala sniffers. Pikeun nyumputkeun data anu dikirimkeun, sadaya inpormasi pamayaran korban énkripsi nganggo dasar64, lajeng sababaraha substitusi karakter lumangsung:
- karakter "e" diganti ku ":"
- simbol "w" diganti ku "+"
- karakter "o" diganti ku "%"
- karakter "d" diganti ku "#"
- karakter "a" diganti ku "-"
- simbol "7" diganti ku "^"
- karakter "h" diganti ku "_"
- simbol "T" diganti ku "@"
- karakter "0" diganti ku "/"
- karakter "Y" diganti ku "*"
Salaku hasil tina substitusi karakter disandikeun ngagunakeun dasar64 Data teu tiasa dikodekeun tanpa ngalakukeun konvérsi sabalikna.
Ieu mangrupikeun sempalan kode sniffer anu teu acan kabur sapertos kieu:
Analisis Infrastruktur
Dina kampanye awal, panyerang ngadaptarkeun nami domain anu sami sareng situs balanja online anu sah. domain maranéhanana bisa béda ti sah hiji-hiji simbol atawa TLD sejen. Domain kadaptar dipaké pikeun nyimpen kode sniffer, link nu ieu study dina kode toko.
Grup ieu ogé nganggo nami domain anu ngingetkeun kana plugin jQuery populér (slickjs[.]org pikeun situs ngagunakeun plugin nu slick.js), gateway pembayaran (sagecdn[.]org pikeun situs anu nganggo sistem pembayaran Sage Pay).
Engké, grup mimiti nyieun domain nu ngaranna euweuh hubunganana jeung domain toko urang atawa téma toko.
Unggal domain pakait jeung situs nu diréktori dijieun /js atawa /src. Skrip Sniffer disimpen dina diréktori ieu: hiji sniffer pikeun tiap inféksi anyar. Sniffer dipasang dina kode halaman wéb ngalangkungan tautan langsung, tapi dina kasus anu jarang, panyerang ngarobih salah sahiji file halaman wéb sareng nambihan kode jahat ka dinya.
Analisis Kode
Algoritma obfuscation munggaran
Dina sababaraha conto anu kapanggih tina sniffers kulawarga ieu, kode ieu obfuscated sarta ngandung data énkripsi dipikabutuh pikeun sniffer pikeun digawé: hususna, alamat sniffer gate, daptar widang formulir pembayaran, sarta dina sababaraha kasus, kode palsu. formulir pamayaran. Dina kode di jero fungsina, sumberdaya énkripsi ngagunakeun XOR ku konci anu disalurkeun salaku argumen pikeun fungsi anu sami.
Ku decrypting string jeung konci luyu, unik pikeun tiap sampel, Anjeun bisa meunangkeun string ngandung sakabéh string ti kode sniffer dipisahkeun ku karakter SEPARATOR.
Algoritma obfuscation kadua
Dina conto engké tina sniffers kulawarga ieu, mékanisme obfuscation béda dipaké: dina hal ieu, data ieu énkripsi ngagunakeun algoritma timer ditulis. A string ngandung data énkripsi dipikabutuh pikeun sniffer pikeun beroperasi ieu diliwatan salaku argumen pikeun fungsi dekripsi.
Ngagunakeun konsol browser, anjeun tiasa ngadekrip data énkripsi sarta ménta hiji Asép Sunandar Sunarya ngandung sumberdaya sniffer.
Sambungan ka serangan MageCart mimiti
Salila analisa salah sahiji domain dipaké ku grup salaku gateway pikeun ngumpulkeun data dipaling, éta kapanggih yén domain ieu hosted hiji infrastruktur pikeun maling kartu kiridit, idéntik jeung nu dipaké ku Grup 1, salah sahiji grup munggaran,
Dua file kapanggih dina host kulawarga CoffeMokko of sniffers:
- mage.js - file ngandung kode sniffer Grup 1 sareng alamat gerbang js-cdn.link
- mag.php - Aksara PHP jawab ngumpulkeun data dipaling ku sniffer nu
Eusi file mage.js
Ogé ditangtukeun yén domain pangheubeulna dipaké ku grup tukangeun kulawarga sniffers CoffeMokko didaptarkeun dina 17 Méi 2017:
- link-js[.]link
- info-js[.]link
- track-js[.]link
- map-js[.]link
- smart-js[.]link
Format nami domain ieu cocog sareng nami domain Grup 1 anu dianggo dina serangan 2016.
Dumasar kana fakta-fakta anu dipendakan, tiasa disangka yén aya hubungan antara operator sniffers CoffeMokko sareng grup kriminal Grup 1. Panginten, operator CoffeMokko tiasa nginjeum alat sareng parangkat lunak ti anu miheulaan pikeun maok kartu. Sanajan kitu, éta leuwih gampang yén grup kriminal tukangeun pamakéan kulawarga CoffeMokko of sniffers nyaéta jalma anu sarua anu ngalaksanakeun serangan Grup 1. Saatos publikasi laporan munggaran ngeunaan kagiatan grup kriminal urang, sakabéh ngaran domain maranéhanana éta. diblokir sarta alat-alat anu diulik dina jéntré tur digambarkeun. Grup éta kapaksa istirahat, nyaring alat internalna sareng nyerat deui kode sniffer supados neraskeun seranganna sareng tetep teu kadeteksi.
infrastruktur
Домен | Tanggal kapanggihna / penampilan |
---|---|
link-js.link | 17.05.2017 |
info-js.link | 17.05.2017 |
track-js.link | 17.05.2017 |
map-js.link | 17.05.2017 |
smart-js.link | 17.05.2017 |
adorebeauty.org | 03.09.2017 |
kaamanan-payment.su | 03.09.2017 |
braincdn.org | 04.09.2017 |
sagecdn.org | 04.09.2017 |
slickjs.org | 04.09.2017 |
oakandfort.org | 10.09.2017 |
citywlnery.org | 15.09.2017 |
dobell.su | 04.10.2017 |
childrensplayclothing.org | 31.10.2017 |
jewsondirect.com | 05.11.2017 |
shop-rnib.org | 15.11.2017 |
closetlondon.org | 16.11.2017 |
misshaus.org | 28.11.2017 |
battery-force.org | 01.12.2017 |
kik-vape.org | 01.12.2017 |
greatfurnituretradingco.org | 02.12.2017 |
etradesupply.org | 04.12.2017 |
replacemyremote.org | 04.12.2017 |
all-about-sneakers.org | 05.12.2017 |
mage-checkout.org | 05.12.2017 |
nililotan.org | 07.12.2017 |
lamoodbighat.net | 08.12.2017 |
walletgear.org | 10.12.2017 |
dahlie.org | 12.12.2017 |
davidsfootwear.org | 20.12.2017 |
blackriverimaging.org | 23.12.2017 |
exrpesso.org | 02.01.2018 |
taman.su | 09.01.2018 |
pmtonline.su | 12.01.2018 |
otocap.org | 15.01.2018 |
christohperward.org | 27.01.2018 |
coffeetea.org | 31.01.2018 |
energycoffe.org | 31.01.2018 |
energytea.org | 31.01.2018 |
teacoffe.net | 31.01.2018 |
adaptivecss.org | 01.03.2018 |
coffeemokko.com | 01.03.2018 |
londontea.net | 01.03.2018 |
ukcoffe.com | 01.03.2018 |
labbe.biz | 20.03.2018 |
batterynart.com | 03.04.2018 |
btosports.net | 09.04.2018 |
chicksaddlery.net | 16.04.2018 |
paypay.org | 11.05.2018 |
ar500arnor.com | 26.05.2018 |
authorizecdn.com | 28.05.2018 |
slickmin.com | 28.05.2018 |
bannerbuzz.info | 03.06.2018 |
kandypens.net | 08.06.2018 |
mylrendyphone.com | 15.06.2018 |
freshchat.info | 01.07.2018 |
3lift.org | 02.07.2018 |
abtasty.net | 02.07.2018 |
mechat.info | 02.07.2018 |
zoplm.com | 02.07.2018 |
zapaljs.com | 02.09.2018 |
foodandcot.com | 15.09.2018 |
freshdepor.com | 15.09.2018 |
swapastore.com | 15.09.2018 |
verywellfitnesse.com | 15.09.2018 |
elegrina.com | 18.11.2018 |
majsurplus.com | 19.11.2018 |
top5value.com | 19.11.2018 |
sumber: www.habr.com