Karibu sisi sote tunatumia huduma za maduka ya mtandaoni, ambayo ina maana kwamba mapema au baadaye tunapata hatari ya kuwa mwathirika wa JavaScript sniffers - kanuni maalum ambayo washambuliaji hutekeleza kwenye tovuti ili kuiba data ya kadi ya benki, anwani, kuingia na nywila za watumiaji. .
Takriban watumiaji 400 wa tovuti ya British Airways na maombi ya simu tayari wameathiriwa na wanusaji, pamoja na wageni waliotembelea tovuti ya Uingereza ya kampuni kubwa ya michezo ya FILA na msambazaji tikiti wa Marekani wa Ticketmaster. PayPal, Chase Paymenttech, USAePay, Moneris - mifumo hii na mingine mingi ya malipo iliambukizwa.
Mchambuzi wa Kikundi cha Ujasusi cha Threat Intelligence Group-IB Viktor Okorokov anazungumza kuhusu jinsi wanusaji wanavyopenyeza msimbo wa tovuti na kuiba taarifa za malipo, na vilevile ni CRM gani wanazoshambulia.
"Tishio lililofichwa"
Ilifanyika kwamba kwa muda mrefu wavutaji wa JS walibakia mbali na wachambuzi wa kupambana na virusi, na mabenki na mifumo ya malipo haikuwaona kuwa tishio kubwa. Na bure kabisa. Wataalam wa Group-IB Maduka 2440 ya mtandaoni yaliyoambukizwa, ambayo wageni wake - jumla ya watu milioni 1,5 kwa siku - walikuwa katika hatari ya maelewano. Miongoni mwa wahasiriwa sio watumiaji tu, bali pia maduka ya mtandaoni, mifumo ya malipo na benki zilizotoa kadi zilizoathirika.
Kundi-IB likawa utafiti wa kwanza wa soko la giza la wavutaji nyara, miundombinu yao na mbinu za uchumaji mapato, ambazo huwaletea waundaji wao mamilioni ya dola. Tulitambua familia 38 za wanusaji, ambapo 12 pekee ndizo zilizojulikana hapo awali na watafiti.
Wacha tukae kwa undani juu ya familia nne za wavutaji waliosoma wakati wa utafiti.
ReactGet Familia
Wanusaji wa familia ya ReactGet hutumiwa kuiba data ya kadi ya benki kwenye tovuti za ununuzi mtandaoni. Mnusaji anaweza kufanya kazi na idadi kubwa ya mifumo tofauti ya malipo inayotumiwa kwenye tovuti: thamani ya parameta moja inalingana na mfumo mmoja wa malipo, na matoleo ya mtu binafsi yaliyogunduliwa ya mnusaji yanaweza kutumika kuiba sifa, na pia kuiba data ya kadi ya benki kutoka kwa malipo. aina za mifumo kadhaa ya malipo mara moja, kama vile anayeitwa mnusi wa ulimwengu wote. Ilibainika kuwa katika baadhi ya matukio, wavamizi hufanya mashambulizi ya kuhadaa ili kupata maelezo ya kibinafsi kwa wasimamizi wa duka la mtandaoni ili kupata ufikiaji wa paneli ya usimamizi ya tovuti.
Kampeni ya kutumia familia hii ya wavutaji sigara ilianza Mei 2017; tovuti zinazoendesha mifumo ya CMS na Magento, Bigcommerce, na Shopify zilishambuliwa.
Jinsi ReactGet inatekelezwa katika msimbo wa duka la mtandaoni
Mbali na utekelezaji wa hati "ya kawaida" kupitia kiungo, waendeshaji wa familia ya wavutaji wa ReactGet hutumia mbinu maalum: kwa kutumia msimbo wa JavaScript, wanaangalia ikiwa anwani ya sasa ambapo mtumiaji iko inakidhi vigezo fulani. Msimbo hasidi utatekelezwa ikiwa tu kamba ndogo iko katika URL ya sasa Checkout au malipo ya hatua moja, ukurasa mmoja/, nje / ukurasa mmoja, malipo / moja, piga / moja. Kwa hivyo, msimbo wa kunusa utatekelezwa haswa wakati mtumiaji atakapoendelea kulipia ununuzi na kuingiza maelezo ya malipo kwenye fomu iliyo kwenye tovuti.
Mvutaji huyu hutumia mbinu isiyo ya kawaida. Malipo ya mwathirika na data ya kibinafsi hukusanywa pamoja na kusimba kwa kutumia msingi64, na kisha kamba inayotokana inatumika kama kigezo cha kutuma ombi kwa tovuti ya washambuliaji. Mara nyingi, njia ya lango inaiga faili ya JavaScript, kwa mfano resp.js, data.js na kadhalika, lakini viungo vya faili za picha hutumiwa pia, GIF и JPG. Upekee ni kwamba mnusaji huunda kipengee cha picha chenye kipimo cha pikseli 1 kwa 1 na hutumia kiungo kilichopokelewa hapo awali kama kigezo. src Picha. Hiyo ni, kwa mtumiaji ombi kama hilo katika trafiki litaonekana kama ombi la picha ya kawaida. Mbinu sawa ilitumika katika familia ya ImageID ya wavutaji. Zaidi ya hayo, mbinu ya kutumia picha ya pikseli 1 kwa 1 inatumika katika hati nyingi halali za uchanganuzi mtandaoni, ambazo zinaweza pia kupotosha mtumiaji.
Uchambuzi wa toleo
Uchanganuzi wa vikoa vinavyotumika vinavyotumiwa na waendeshaji wa kunusa wa ReactGet ulifunua matoleo mengi tofauti ya familia hii ya wavutaji. Matoleo yanatofautiana kwa kuwepo au kutokuwepo kwa obfuscation, na kwa kuongeza, kila sniffer imeundwa kwa mfumo maalum wa malipo ambao hushughulikia malipo ya kadi ya benki kwa maduka ya mtandaoni. Baada ya kupanga thamani ya paramu inayolingana na nambari ya toleo, wataalam wa Kikundi-IB walipokea orodha kamili ya tofauti zinazopatikana za kunusa, na kwa majina ya sehemu za fomu ambazo kila mnusi hutafuta kwenye nambari ya ukurasa, waligundua mifumo ya malipo. ambayo mnusaji analenga.
Orodha ya wanusaji na mifumo yao ya malipo inayolingana
| URL ya kunusa | Mfumo wa malipo |
|---|---|
| Idhini.Net | |
| Hifadhi ya kadi | |
| Idhini.Net | |
| Idhini.Net | |
| eWAY Haraka | |
| Idhini.Net | |
| Adyen | |
| USAePay | |
| Idhini.Net | |
| USAePay | |
| Idhini.Net | |
| Moneris | |
| USAePay | |
| PayPal | |
| Sage Pay | |
| Verisign | |
| PayPal | |
| Mstari | |
| Realex | |
| PayPal | |
| LinkPoint | |
| PayPal | |
| PayPal | |
| DataCash | |
| PayPal | |
| Idhini.Net | |
| Idhini.Net | |
| Idhini.Net | |
| Idhini.Net | |
| Verisign | |
| Idhini.Net | |
| Moneris | |
| Sage Pay | |
| USAePay | |
| Idhini.Net | |
| Idhini.Net | |
| ANZ eGate | |
| Idhini.Net | |
| Moneris | |
| Sage Pay | |
| Sage Pay | |
| Chase Paymentech | |
| Idhini.Net | |
| Adyen | |
| PsiGate | |
| Chanzo cha Cyber | |
| ANZ eGate | |
| Realex | |
| USAePay | |
| Idhini.Net | |
| Idhini.Net | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| Realex | |
| Sage Pay | |
| PayPal | |
| Verisign | |
| Idhini.Net | |
| Verisign | |
| Idhini.Net | |
| ANZ eGate | |
| PayPal | |
| Chanzo cha Cyber | |
| Idhini.Net | |
| Sage Pay | |
| Realex | |
| Chanzo cha Cyber | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Haraka | |
| Sage Pay | |
| Sage Pay | |
| Verisign | |
| Idhini.Net | |
| Idhini.Net | |
| First Data Global Gateway | |
| Idhini.Net | |
| Idhini.Net | |
| Moneris | |
| Idhini.Net | |
| PayPal | |
| Verisign | |
| USAePay | |
| USAePay | |
| Idhini.Net | |
| Verisign | |
| PayPal | |
| Idhini.Net | |
| Mstari | |
| Idhini.Net | |
| eWAY Haraka | |
| Sage Pay | |
| Idhini.Net | |
| Braintree | |
| Braintree | |
| PayPal | |
| Sage Pay | |
| Sage Pay | |
| Idhini.Net | |
| PayPal | |
| Idhini.Net | |
| Verisign | |
| PayPal | |
| Idhini.Net | |
| Mstari | |
| Idhini.Net | |
| eWAY Haraka | |
| Sage Pay | |
| Idhini.Net | |
| Braintree | |
| PayPal | |
| Sage Pay | |
| Sage Pay | |
| Idhini.Net | |
| PayPal | |
| Idhini.Net | |
| Verisign | |
| Idhini.Net | |
| Idhini.Net | |
| Idhini.Net | |
| Idhini.Net | |
| Sage Pay | |
| Sage Pay | |
| Westpac PayWay | |
| PayFort | |
| PayPal | |
| Idhini.Net | |
| Mstari | |
| First Data Global Gateway | |
| PsiGate | |
| Idhini.Net | |
| Idhini.Net | |
| Moneris | |
| Idhini.Net | |
| Sage Pay | |
| Verisign | |
| Moneris | |
| PayPal | |
| LinkPoint | |
| Westpac PayWay | |
| Idhini.Net | |
| Moneris | |
| PayPal | |
| Adyen | |
| PayPal | |
| Idhini.Net | |
| USAePay | |
| EBizCharge | |
| Idhini.Net | |
| Verisign | |
| Verisign | |
| Idhini.Net | |
| PayPal | |
| Moneris | |
| Idhini.Net | |
| PayPal | |
| PayPal | |
| Westpac PayWay | |
| Idhini.Net | |
| Idhini.Net | |
| Sage Pay | |
| Verisign | |
| Idhini.Net | |
| PayPal | |
| PayFort | |
| Chanzo cha Cyber | |
| PayPal Payflow Pro | |
| Idhini.Net | |
| Idhini.Net | |
| Verisign | |
| Idhini.Net | |
| Idhini.Net | |
| Sage Pay | |
| Idhini.Net | |
| Mstari | |
| Idhini.Net | |
| Idhini.Net | |
| Verisign | |
| PayPal | |
| Idhini.Net | |
| Idhini.Net | |
| Sage Pay | |
| Idhini.Net | |
| Idhini.Net | |
| PayPal | |
| Flint | |
| PayPal | |
| Sage Pay | |
| Verisign | |
| Idhini.Net | |
| Idhini.Net | |
| Mstari | |
| Zebra yenye mafuta | |
| Sage Pay | |
| Idhini.Net | |
| First Data Global Gateway | |
| Idhini.Net | |
| eWAY Haraka | |
| Adyen | |
| PayPal | |
| Huduma za Wauzaji wa QuickBooks | |
| Verisign | |
| Sage Pay | |
| Verisign | |
| Idhini.Net | |
| Idhini.Net | |
| Sage Pay | |
| Idhini.Net | |
| eWAY Haraka | |
| Idhini.Net | |
| ANZ eGate | |
| PayPal | |
| Chanzo cha Cyber | |
| Idhini.Net | |
| Sage Pay | |
| Realex | |
| Chanzo cha Cyber | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Haraka | |
| Sage Pay | |
| Sage Pay | |
| Verisign | |
| Idhini.Net | |
| Idhini.Net | |
| First Data Global Gateway | |
| Idhini.Net | |
| Idhini.Net | |
| Moneris | |
| Idhini.Net | |
| PayPal |
Nenosiri la kunusa
Mojawapo ya faida za wavutaji wa JavaScript wanaofanya kazi kwenye upande wa mteja wa tovuti ni matumizi mengi: msimbo hasidi uliopachikwa kwenye tovuti unaweza kuiba aina yoyote ya data, iwe data ya malipo au kuingia na nenosiri la akaunti ya mtumiaji. Wataalamu wa Kundi-IB waligundua sampuli ya mnusi wa familia ya ReactGet, iliyoundwa ili kuiba barua pepe na manenosiri ya watumiaji wa tovuti.
Makutano na kivuta pumzi cha ImageID
Wakati wa uchambuzi wa moja ya maduka yaliyoambukizwa, iligunduliwa kuwa tovuti yake iliambukizwa mara mbili: pamoja na msimbo mbaya wa ReactGet wa sniffer ya familia, kanuni ya mpiga picha wa familia ya ImageID iligunduliwa. Mwingiliano huu unaweza kuwa ushahidi kwamba waendeshaji nyuma ya wavutaji wote wawili hutumia mbinu sawa kuingiza msimbo hasidi.
Mnusa wa ulimwengu wote
Uchanganuzi wa mojawapo ya majina ya kikoa yanayohusishwa na miundombinu ya kunusa ya ReactGet ulibaini kuwa mtumiaji yuleyule alikuwa amesajili majina mengine matatu ya vikoa. Vikoa hivi vitatu viliiga vikoa vya tovuti za maisha halisi na hapo awali vilitumiwa kupangisha wavutaji. Wakati wa kuchanganua msimbo wa tovuti tatu halali, mnusi asiyejulikana aligunduliwa, na uchanganuzi zaidi ulionyesha kuwa lilikuwa toleo lililoboreshwa la kinusi cha ReactGet. Matoleo yote yaliyofuatiliwa hapo awali ya familia hii ya sniffers yalikuwa na lengo la mfumo mmoja wa malipo, yaani, kila mfumo wa malipo ulihitaji toleo maalum la sniffer. Walakini, katika kesi hii, toleo la ulimwengu wote la mnusaji liligunduliwa ambalo lina uwezo wa kuiba habari kutoka kwa fomu zinazohusiana na mifumo 15 tofauti ya malipo na moduli za tovuti za e-commerce kwa kufanya malipo ya mtandaoni.
Kwa hiyo, mwanzoni mwa kazi, sniffer alitafuta mashamba ya fomu ya msingi yenye maelezo ya kibinafsi ya mhasiriwa: jina kamili, anwani ya kimwili, nambari ya simu.
Kisha mvuta pumzi alitafuta zaidi ya viambishi awali 15 vinavyolingana na mifumo tofauti ya malipo na moduli za malipo mtandaoni.
Kisha, data ya kibinafsi ya mwathiriwa na maelezo ya malipo yalikusanywa pamoja na kutumwa kwa tovuti inayodhibitiwa na mshambuliaji: katika kesi hii, matoleo mawili ya ulimwengu wa ReactGet sniffer yaligunduliwa, yaliyo kwenye tovuti mbili tofauti zilizodukuliwa. Hata hivyo, matoleo yote mawili yalituma data iliyoibiwa kwenye tovuti moja iliyodukuliwa zoobashop.com.
Uchanganuzi wa viambishi awali ambavyo mnusi alitumia kutafuta sehemu zilizo na maelezo ya malipo ya mwathiriwa ulituruhusu kubaini kuwa sampuli hii ya mnusi ililenga mifumo ifuatayo ya malipo:
- Idhini.Net
- Verisign
- Takwimu za kwanza
- USAePay
- Mstari
- PayPal
- ANZ eGate
- Braintree
- DataCash (MasterCard)
- Malipo ya Realex
- PsiGate
- Mifumo ya Malipo ya Heartland
Ni zana gani zinazotumiwa kuiba maelezo ya malipo?
Zana ya kwanza, iliyogunduliwa wakati wa uchanganuzi wa miundombinu ya washambuliaji, hutumiwa kuficha hati mbaya zinazohusika na wizi wa kadi za benki. Hati ya bash inayotumia CLI ya mradi iligunduliwa kwa mwenyeji mmoja wa mshambuliaji kugeuza otomatiki upotoshaji wa msimbo wa kunusa.
Zana ya pili iliyogunduliwa imeundwa kutoa msimbo unaohusika na upakiaji wa mnusi mkuu. Zana hii hutengeneza msimbo wa JavaScript ambao hukagua ikiwa mtumiaji yuko kwenye ukurasa wa malipo kwa kutafuta anwani ya sasa ya mtumiaji kwa masharti. Checkout, gari na kadhalika, na ikiwa matokeo ni chanya, basi msimbo hupakia sniffer kuu kutoka kwa seva ya washambuliaji. Ili kuficha shughuli hasidi, mistari yote, ikijumuisha mistari ya majaribio ya kubainisha ukurasa wa malipo, pamoja na kiungo cha mnusi, husimbwa kwa kutumia. msingi64.
Mashambulizi ya hadaa
Uchanganuzi wa miundomsingi ya mtandao wa washambuliaji ulibaini kuwa kikundi cha wahalifu mara nyingi hutumia hadaa kupata ufikiaji wa jopo la usimamizi la duka linalolengwa la mtandaoni. Wavamizi husajili kikoa ambacho kinafanana kwa macho na kikoa cha duka, na kisha kupeleka fomu bandia ya kuingia kwenye jopo la usimamizi la Magento juu yake. Ikifaulu, wavamizi watapata idhini ya kufikia jopo la usimamizi la Magento CMS, ambalo linawapa fursa ya kuhariri vipengele vya tovuti na kutekeleza mnusi ili kuiba data ya kadi ya mkopo.
Miundombinu
| Jina la Jina | Tarehe ya ugunduzi/kuonekana |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apittatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagstracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trust-tracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geissee.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| Cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
Familia ya G-Analytics
Familia hii ya wanusaji hutumiwa kuiba kadi za wateja kutoka kwa maduka ya mtandaoni. Jina la kwanza la kikoa lililotumiwa na kikundi lilisajiliwa Aprili 2016, ambayo inaweza kuonyesha kuwa kikundi kilianza shughuli katikati ya 2016.
Katika kampeni ya sasa, kikundi kinatumia majina ya vikoa yanayoiga huduma za maisha halisi, kama vile Google Analytics na jQuery, kuficha shughuli za wavutaji kwa hati halali na majina ya vikoa sawa na halali. Tovuti zinazoendesha Magento CMS zilishambuliwa.
Jinsi G-Analytics inavyotekelezwa katika msimbo wa duka la mtandaoni
Kipengele tofauti cha familia hii ni matumizi ya mbinu mbalimbali kuiba maelezo ya malipo ya mtumiaji. Kando na udungaji wa kawaida wa msimbo wa JavaScript kwenye upande wa mteja wa tovuti, kikundi cha wahalifu pia kilitumia mbinu za kuingiza msimbo kwenye upande wa seva ya tovuti, yaani hati za PHP zinazochakata data iliyoingizwa na mtumiaji. Mbinu hii ni hatari kwa sababu inafanya iwe vigumu kwa watafiti wengine kugundua msimbo hasidi. Wataalamu wa Kundi-IB waligundua toleo la mnusi lililopachikwa katika msimbo wa PHP wa tovuti, kwa kutumia kikoa kama lango. dittm.org.
Toleo la awali la mnusi pia liligunduliwa ambalo linatumia kikoa sawa kukusanya data iliyoibwa dittm.org, lakini toleo hili limekusudiwa kusakinishwa kwa upande wa mteja wa duka la mtandaoni.
Kikundi baadaye kilibadilisha mbinu zake na kuanza kuzingatia zaidi kuficha shughuli mbaya na kuficha.
Mwanzoni mwa 2017, kikundi kilianza kutumia kikoa jquery-js.com, kujifanya CDN kwa jQuery: wakati wa kwenda kwenye tovuti ya washambuliaji, mtumiaji huelekezwa kwenye tovuti halali. jquery.com.
Na katikati ya 2018, kikundi kilipitisha jina la kikoa g-analytics.com na kuanza kuficha shughuli za mnusaji kama huduma halali ya Google Analytics.
Uchambuzi wa toleo
Wakati wa uchambuzi wa vikoa vinavyotumiwa kuhifadhi msimbo wa sniffer, iligundua kuwa tovuti ina idadi kubwa ya matoleo, ambayo yanatofautiana mbele ya obfuscation, pamoja na kuwepo au kutokuwepo kwa msimbo usioweza kufikiwa ulioongezwa kwenye faili ili kuvuruga tahadhari. na ufiche msimbo hasidi.
Jumla kwenye wavuti jquery-js.com Matoleo sita ya wanusaji yalitambuliwa. Wanusaji hawa hutuma data iliyoibiwa kwa anwani iliyo kwenye tovuti sawa na mnusi yenyewe: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Baadaye kikoa g-analytics.com, iliyotumiwa na kundi hilo katika mashambulizi tangu katikati ya mwaka wa 2018, inatumika kama hifadhi ya wavutaji zaidi. Kwa jumla, matoleo 16 tofauti ya mnusa yaligunduliwa. Katika hali hii, lango la kutuma data iliyoibiwa lilifichwa kama kiungo cha umbizo la picha GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Uchumaji wa mapato ya data iliyoibiwa
Kikundi cha wahalifu huchuma mapato ya data iliyoibiwa kwa kuuza kadi kupitia duka maalum lililoundwa chini ya ardhi ambalo hutoa huduma kwa wahudumu wa kadi. Uchanganuzi wa vikoa vinavyotumiwa na wavamizi ulituruhusu kubaini hilo google-analytics.cm ilisajiliwa na mtumiaji sawa na kikoa kadiz.vc. Kikoa kadiz.vc inarejelea duka linalouza kadi za benki zilizoibiwa Cardsurfs (Flysurfs), ambalo lilipata umaarufu katika siku za shughuli za jukwaa la biashara la chini ya ardhi la AlphaBay kama duka la kuuza kadi za benki zilizoibiwa kwa kutumia mnusa.
Kuchambua kikoa uchambuzi.ni, ziko kwenye seva sawa na vikoa vinavyotumiwa na wavutaji kukusanya data iliyoibwa, wataalamu wa Kundi-IB waligundua faili iliyo na kumbukumbu za wizi wa vidakuzi, ambayo inaonekana kuwa iliachwa baadaye na msanidi programu. Moja ya maingizo kwenye kumbukumbu yalikuwa na kikoa iozoz.com, ambayo hapo awali ilitumika katika mojawapo ya vinusa vilivyotumika mwaka wa 2016. Huenda kikoa hiki kilitumiwa hapo awali na mvamizi kukusanya kadi zilizoibwa kwa kutumia mnusi. Kikoa hiki kilisajiliwa kwa anwani ya barua pepe [barua pepe inalindwa], ambayo pia ilitumika kusajili vikoa kadiz.su и kadiz.vc, inayohusiana na duka la kadi Cardsurfs.
Kulingana na data iliyopatikana, inaweza kudhaniwa kuwa familia ya G-Analytics ya wavutaji sigara na duka la chini la ardhi linalouza kadi za benki Kadi za kuvinjari hudhibitiwa na watu sawa, na duka hutumiwa kuuza kadi za benki zilizoibiwa kwa kutumia sniffer.
Miundombinu
| Jina la Jina | Tarehe ya ugunduzi/kuonekana |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| uchambuzi.kwa | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| uchambuzi.ni | 28.12.2018 |
| google-analytics.cm | 17.01.2019 |
Familia ya Illum
Illum ni familia ya wanusaji wanaotumiwa kushambulia maduka ya mtandaoni yanayoendesha Magento CMS. Mbali na kutambulisha msimbo hasidi, waendeshaji wa mnusi huyu pia hutumia uanzishaji wa fomu kamili za malipo bandia ambazo hutuma data kwenye milango inayodhibitiwa na wavamizi.
Wakati wa kuchambua miundombinu ya mtandao inayotumiwa na waendeshaji wa sniffer hii, idadi kubwa ya scripts mbaya, ushujaa, fomu za malipo ya bandia, pamoja na mkusanyiko wa mifano na sniffers mbaya kutoka kwa washindani zilibainishwa. Kulingana na habari kuhusu tarehe za kuonekana kwa majina ya kikoa yaliyotumiwa na kikundi, inaweza kuzingatiwa kuwa kampeni ilianza mwishoni mwa 2016.
Jinsi Illum inatekelezwa katika msimbo wa duka la mtandaoni
Matoleo ya kwanza ya mnusaji aliyegunduliwa yalipachikwa moja kwa moja kwenye msimbo wa tovuti iliyoathiriwa. Data iliyoibiwa ilitumwa kwa cdn.illum[.]pw/records.php, lango lilisimbwa kwa kutumia msingi64.
Baadaye, toleo lililowekwa kifurushi la mnusa liligunduliwa ambalo linatumia lango tofauti - records.nstatistics[.]com/records.php.
Kulingana na Willem de Groot, mtangazaji huyo huyo alitumiwa katika vuta pumzi, ambayo ilitekelezwa , inayomilikiwa na chama cha siasa cha Ujerumani CSU.
Uchambuzi wa tovuti ya washambuliaji
Wataalamu wa Group-IB waligundua na kuchanganua tovuti inayotumiwa na kikundi hiki cha wahalifu kuhifadhi zana na kukusanya taarifa zilizoibwa.
Miongoni mwa zana zilizopatikana kwenye seva ya washambuliaji zilikuwa hati na ushujaa kwa kuongezeka kwa marupurupu katika Mfumo wa Uendeshaji wa Linux: kwa mfano, Hati ya Kukagua Kuongeza Upendeleo wa Linux iliyotengenezwa na Mike Czumak, na vile vile unyonyaji wa CVE-2009-1185.
Washambuliaji walitumia matukio mawili moja kwa moja kushambulia maduka ya mtandaoni: yenye uwezo wa kuingiza msimbo hasidi ndani data_msingi_ya_config kwa kutumia CVE-2016-4010, hutumia athari ya RCE katika programu-jalizi za CMS Magento, ikiruhusu msimbo kiholela kutekelezwa kwenye seva ya wavuti iliyo hatarini.
Pia, wakati wa uchambuzi wa seva, sampuli mbalimbali za wavutaji na fomu za malipo bandia ziligunduliwa, zinazotumiwa na washambuliaji kukusanya taarifa za malipo kutoka kwa tovuti zilizovamiwa. Kama unavyoona kutoka kwenye orodha iliyo hapa chini, hati zingine ziliundwa kibinafsi kwa kila tovuti iliyodukuliwa, ilhali suluhisho la jumla lilitumika kwa CMS fulani na lango la malipo. Kwa mfano, maandishi segapay_standart.js и segapay_onpage.js iliyoundwa kwa ajili ya utekelezaji kwenye tovuti kwa kutumia lango la malipo la Sage Pay.
Orodha ya hati za lango mbalimbali za malipo
| Hati | Njia ya malipo |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdierenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?malipo= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?malipo= |
| [.]pw/magento/payment_forminsite.js | //paymentnow[.]tk/?malipo= |
Mwenyeji paynow[.]tk, hutumika kama lango katika hati payment_forminsite.js, iligunduliwa kama subjectAltName katika vyeti kadhaa vinavyohusiana na huduma ya CloudFlare. Kwa kuongeza, mwenyeji alikuwa na hati uovu.js. Kwa kuzingatia jina la hati, inaweza kutumika kama sehemu ya utumiaji wa CVE-2016-4010, shukrani ambayo inawezekana kuingiza msimbo hasidi kwenye sehemu ya chini ya tovuti inayoendesha CMS Magento. Mwenyeji alitumia hati hii kama lango request.requestnet[.]tkkwa kutumia cheti sawa na mwenyeji paynow[.]tk.
Fomu za malipo bandia
Takwimu hapa chini inaonyesha mfano wa fomu ya kuingiza data ya kadi. Fomu hii ilitumika kupenyeza duka la mtandaoni na kuiba data ya kadi.
Kielelezo kifuatacho kinaonyesha mfano wa fomu bandia ya malipo ya PayPal ambayo ilitumiwa na wavamizi kujipenyeza kwenye tovuti kwa kutumia njia hii ya kulipa.
Miundombinu
| Jina la Jina | Tarehe ya ugunduzi/kuonekana |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| ombi.kulipa sasa hivi.cf | 25/05/2018 |
| paynow.tk | 16/07/2017 |
| malipo-line.tk | 01/03/2018 |
| paypal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
Familia ya CoffeeMokko
Familia ya CoffeMokko ya wanusaji, iliyoundwa kuiba kadi za benki kutoka kwa watumiaji wa duka la mtandaoni, imekuwa ikitumika tangu angalau Mei 2017. Inawezekana, waendeshaji wa familia hii ya kunusa ni kundi la wahalifu la 1, lililoelezewa na wataalamu wa RiskIQ mnamo 2016. Tovuti zinazoendesha CMS kama vile Magento, OpenCart, WordPress, osCommerce, na Shopify zilishambuliwa.
Jinsi CoffeMokko inatekelezwa katika msimbo wa duka la mtandaoni
Waendeshaji wa familia hii huunda viboreshaji vya kipekee kwa kila maambukizi: faili ya sniffer iko kwenye saraka. src au js kwenye seva ya washambuliaji. Uingizaji katika msimbo wa tovuti unafanywa kupitia kiungo cha moja kwa moja kwa mpiga risasiji.
Msimbo wa kunusa huweka misimbo ngumu ya majina ya sehemu za fomu ambazo data inahitaji kuibiwa. Mnusaji pia hukagua ikiwa mtumiaji yuko kwenye ukurasa wa malipo kwa kuangalia orodha ya maneno muhimu yenye anwani ya sasa ya mtumiaji.
Baadhi ya matoleo yaliyogunduliwa ya mnusi yalifichwa na yalikuwa na mfuatano uliosimbwa ambao safu kuu ya rasilimali ilihifadhiwa: ilikuwa na majina ya sehemu za fomu za mifumo mbalimbali ya malipo, pamoja na anwani ya lango ambalo data iliyoibiwa inapaswa kutumwa.
Taarifa ya malipo iliyoibiwa ilitumwa kwa hati kwenye seva ya washambuliaji njiani /savePayment/index.php au /tr/index.php. Inawezekana, hati hii inatumiwa kutuma data kutoka kwa lango hadi kwa seva kuu, ambayo huunganisha data kutoka kwa wavutaji wote. Ili kuficha data iliyotumwa, maelezo yote ya malipo ya mwathiriwa yanasimbwa kwa njia fiche msingi64, na kisha uingizwaji wa herufi kadhaa hufanyika:
- herufi ya "e" inabadilishwa na ":"
- alama ya "w" inabadilishwa na "+"
- herufi "o" inabadilishwa na "%"
- herufi "d" inabadilishwa na "#"
- herufi "a" inabadilishwa na "-"
- ishara "7" inabadilishwa na "^"
- herufi "h" inabadilishwa na "_"
- alama ya "T" inabadilishwa na "@"
- herufi "0" inabadilishwa na "/"
- herufi "Y" inabadilishwa na "*"
Kama matokeo ya uingizwaji wa herufi zilizosimbwa kwa kutumia msingi64 Data haiwezi kutatuliwa bila kufanya ubadilishaji wa kinyume.
Hivi ndivyo kipande cha msimbo wa kunusa ambacho hakijafichuliwa kinavyoonekana:
Uchambuzi wa Miundombinu
Katika kampeni za mapema, washambuliaji walisajili majina ya vikoa sawa na yale ya tovuti halali za ununuzi mtandaoni. Kikoa chao kinaweza kutofautiana na moja halali kwa ishara moja au TLD nyingine. Vikoa vilivyosajiliwa vilitumiwa kuhifadhi msimbo wa kunusa, kiungo ambacho kilipachikwa katika msimbo wa duka.
Kikundi hiki pia kilitumia majina ya kikoa kukumbusha programu-jalizi maarufu za jQuery (slickjs[.]org kwa tovuti zinazotumia programu-jalizi mjanja.js), milango ya malipo (sagecdn[.]org kwa tovuti zinazotumia mfumo wa malipo wa Sage Pay).
Baadaye, kikundi kilianza kuunda vikoa ambavyo majina yake hayakuwa na uhusiano wowote na kikoa cha duka au mandhari ya duka.
Kila kikoa kililingana na tovuti ambayo saraka iliundwa /js au / src. Hati za kunusa zilihifadhiwa katika saraka hii: kivuta pumzi kimoja kwa kila maambukizi mapya. Mnusaji alipachikwa kwenye msimbo wa tovuti kupitia kiungo cha moja kwa moja, lakini katika hali nadra, wavamizi walirekebisha faili mojawapo ya tovuti na kuongeza msimbo hasidi kwake.
Uchambuzi wa Kanuni
Algorithm ya kwanza ya kutatiza
Katika baadhi ya sampuli zilizogunduliwa za wavutaji wa familia hii, msimbo huo ulifichwa na ulikuwa na data iliyosimbwa muhimu kwa mvutaji kufanya kazi: haswa, anwani ya lango la mnusaji, orodha ya uwanja wa fomu za malipo, na wakati mwingine, nambari ya bandia. fomu ya malipo. Katika msimbo ndani ya chaguo la kukokotoa, rasilimali zilisimbwa kwa kutumia simu za kwa ufunguo ambao ulipitishwa kama hoja kwa kazi sawa.
Kwa kusimbua mfuatano kwa ufunguo unaofaa, wa kipekee kwa kila sampuli, unaweza kupata mfuatano ulio na mifuatano yote kutoka kwa msimbo wa kunusa iliyotenganishwa na herufi ya kitenganishi.
Algorithm ya pili ya upotoshaji
Katika sampuli za baadaye za wavutaji wa familia hii, utaratibu tofauti wa kufichua ulitumiwa: katika kesi hii, data ilisimbwa kwa kutumia algoriti iliyojiandika. Mfuatano ulio na data iliyosimbwa kwa njia fiche muhimu kwa mnusi kufanya kazi ulipitishwa kama hoja ya chaguo za kukokotoa za usimbuaji.
Kwa kutumia kiweko cha kivinjari, unaweza kusimbua data iliyosimbwa kwa njia fiche na kupata safu iliyo na rasilimali za kunusa.
Uunganisho wa mashambulizi ya mapema ya MageCart
Wakati wa uchanganuzi wa kikoa kimojawapo kinachotumiwa na kikundi kama lango la kukusanya data zilizoibwa, ilibainika kuwa kikoa hiki kilikuwa na miundombinu ya wizi wa kadi ya mkopo, sawa na ile iliyotumiwa na Kundi 1, moja ya vikundi vya kwanza. na wataalamu wa RiskIQ.
Faili mbili zilipatikana kwa mwenyeji wa familia ya CoffeMokko ya wanusaji:
- mage.js — faili iliyo na msimbo wa kunusa wa Kikundi 1 na anwani ya lango js-cdn.link
- mag.php - Hati ya PHP inayohusika na kukusanya data iliyoibiwa na mnusi
Yaliyomo kwenye faili ya mage.js
Pia ilibainishwa kuwa vikoa vya mapema vilivyotumiwa na kikundi nyuma ya familia ya CoffeMokko ya wavutaji vilisajiliwa mnamo Mei 17, 2017:
- link-js[.] kiungo
- info-js[.] kiungo
- track-js[.] kiungo
- ramani-js[.] kiungo
- smart-js[.] kiungo
Muundo wa majina haya ya vikoa unalingana na majina ya kikoa ya Kundi 1 ambayo yalitumika katika mashambulizi ya 2016.
Kulingana na ukweli uliogunduliwa, inaweza kudhaniwa kuwa kuna uhusiano kati ya waendeshaji wa wavutaji wa CoffeMokko na kikundi cha wahalifu cha Kundi la 1. Yamkini, waendeshaji wa CoffeMokko wangeweza kuazima zana na programu kutoka kwa watangulizi wao ili kuiba kadi. Hata hivyo, kuna uwezekano zaidi kwamba kundi la wahalifu lililo nyuma ya matumizi ya familia ya CoffeMokko ya wanusaji ni watu wale wale waliofanya mashambulizi ya Kundi la 1. Kufuatia kuchapishwa kwa ripoti ya kwanza ya shughuli za kikundi cha wahalifu, majina yao yote ya kikoa yalikuwa. imefungwa na zana zilisomwa kwa undani na kuelezewa. Kundi hilo lililazimika kuchukua mapumziko, kuboresha zana zake za ndani na kuandika upya msimbo wa kunusa ili kuendeleza mashambulizi yake na kubaki bila kutambuliwa.
Miundombinu
| Jina la Jina | Tarehe ya ugunduzi/kuonekana |
|---|---|
| kiungo-js.kiungo | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| ramani-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| malipo ya usalama.su | 03.09.2017 |
| bongocdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| duka-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverrimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| mbuga.su | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| kahawa.org | 31.01.2018 |
| energycoffe.org | 31.01.2018 |
| energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| authorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitnesse.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
Chanzo: mapenzi.com