ஏறக்குறைய நாம் அனைவரும் ஆன்லைன் ஸ்டோர்களின் சேவைகளைப் பயன்படுத்துகிறோம், அதாவது விரைவில் அல்லது பின்னர் ஜாவாஸ்கிரிப்ட் ஸ்னிஃபர்ஸுக்கு பலியாகும் அபாயத்தை நாங்கள் இயக்குகிறோம் - வங்கி அட்டை தரவு, முகவரிகள், உள்நுழைவுகள் மற்றும் பயனர்களின் கடவுச்சொற்களைத் திருடுவதற்கு தாக்குபவர்கள் இணையதளத்தில் செயல்படுத்தும் சிறப்புக் குறியீடு. .
பிரிட்டிஷ் ஏர்வேஸ் இணையதளம் மற்றும் மொபைல் அப்ளிகேஷனின் கிட்டத்தட்ட 400 பயனர்கள் ஏற்கனவே மோப்பக்காரர்களால் பாதிக்கப்பட்டுள்ளனர், அதே போல் விளையாட்டு நிறுவனமான FILA மற்றும் அமெரிக்க டிக்கெட் விநியோகஸ்தர் டிக்கெட்மாஸ்டரின் பிரிட்டிஷ் வலைத்தளத்தைப் பார்வையிடுபவர்களும் ஏற்கனவே பாதிக்கப்பட்டுள்ளனர். PayPal, Chase Paymenttech, USAePay, Moneris - இவை மற்றும் பல கட்டண முறைகள் பாதிக்கப்பட்டுள்ளன.
அச்சுறுத்தல் நுண்ணறிவு குழு-IB ஆய்வாளர் விக்டர் ஒகோரோகோவ், இணையதளக் குறியீட்டில் ஊடுருவி, பணம் செலுத்தும் தகவலை எவ்வாறு திருடுகிறார்கள், மேலும் அவர்கள் தாக்கும் CRMகளைப் பற்றி பேசுகிறார்.
"மறைக்கப்பட்ட அச்சுறுத்தல்"
நீண்ட காலமாக JS ஸ்னிஃபர்கள் வைரஸ் எதிர்ப்பு ஆய்வாளர்களின் பார்வைக்கு வெளியே இருந்தனர், மேலும் வங்கிகள் மற்றும் கட்டண முறைகள் அவர்களை ஒரு தீவிர அச்சுறுத்தலாக பார்க்கவில்லை. மற்றும் முற்றிலும் வீண். குழு-IB நிபுணர்கள் 2440 பாதிக்கப்பட்ட ஆன்லைன் கடைகள், அதன் பார்வையாளர்கள் - ஒரு நாளைக்கு மொத்தம் சுமார் 1,5 மில்லியன் மக்கள் - சமரசம் ஆபத்தில் உள்ளனர். பாதிக்கப்பட்டவர்களில் பயனர்கள் மட்டுமல்ல, ஆன்லைன் கடைகள், பணம் செலுத்தும் அமைப்புகள் மற்றும் சமரசம் செய்யப்பட்ட அட்டைகளை வழங்கிய வங்கிகளும் அடங்கும்.
குரூப்-ஐபி ஸ்னிஃபர்களுக்கான டார்க்நெட் சந்தை, அவற்றின் உள்கட்டமைப்பு மற்றும் பணமாக்குவதற்கான முறைகள் பற்றிய முதல் ஆய்வு ஆனது, இது அவர்களின் படைப்பாளர்களுக்கு மில்லியன் கணக்கான டாலர்களைக் கொண்டுவருகிறது. 38 ஸ்னிஃபர் குடும்பங்களை நாங்கள் அடையாளம் கண்டுள்ளோம், அதில் 12 குடும்பங்கள் மட்டுமே ஆராய்ச்சியாளர்களுக்கு முன்னர் தெரிந்திருந்தன.
ஆய்வின் போது ஆய்வு செய்யப்பட்ட மோப்பம் பிடித்தவர்களின் நான்கு குடும்பங்களைப் பற்றி விரிவாகப் பார்ப்போம்.
ReactGet குடும்பம்
ஆன்லைன் ஷாப்பிங் தளங்களில் வங்கி அட்டைத் தரவைத் திருட ReactGet குடும்பத்தின் ஸ்னிஃபர்கள் பயன்படுத்தப்படுகின்றன. தளத்தில் பயன்படுத்தப்படும் பல்வேறு கட்டண அமைப்புகளுடன் ஸ்னிஃபர் வேலை செய்ய முடியும்: ஒரு அளவுரு மதிப்பு ஒரு கட்டண முறைக்கு ஒத்திருக்கிறது, மேலும் ஸ்னிஃபரின் தனிப்பட்ட கண்டறியப்பட்ட பதிப்புகள் நற்சான்றிதழ்களைத் திருடுவதற்கும், பணம் செலுத்துவதில் இருந்து வங்கி அட்டைத் தரவைத் திருடுவதற்கும் பயன்படுத்தப்படலாம். யுனிவர்சல் ஸ்னிஃபர் என அழைக்கப்படும் பல கட்டண முறைகளின் வடிவங்கள். சில சந்தர்ப்பங்களில், தளத்தின் நிர்வாகக் குழுவை அணுகுவதற்காக ஆன்லைன் ஸ்டோர் நிர்வாகிகள் மீது தாக்குதல் நடத்துபவர்கள் ஃபிஷிங் தாக்குதல்களை நடத்துவது கண்டறியப்பட்டது.
இந்த ஸ்னிஃபர் குடும்பத்தைப் பயன்படுத்தி ஒரு பிரச்சாரம் மே 2017 இல் தொடங்கியது; CMS மற்றும் Magento, Bigcommerce மற்றும் Shopify இயங்குதளங்களில் இயங்கும் தளங்கள் தாக்கப்பட்டன.
ஆன்லைன் ஸ்டோரின் குறியீட்டில் ReactGet எவ்வாறு செயல்படுத்தப்படுகிறது
ஒரு இணைப்பு வழியாக ஒரு ஸ்கிரிப்டை "கிளாசிக்" செயல்படுத்துவதோடு, ஸ்னிஃபர்களின் ரியாக்ட்ஜெட் குடும்பத்தின் ஆபரேட்டர்கள் ஒரு சிறப்பு நுட்பத்தைப் பயன்படுத்துகின்றனர்: ஜாவாஸ்கிரிப்ட் குறியீட்டைப் பயன்படுத்தி, பயனர் இருக்கும் தற்போதைய முகவரி குறிப்பிட்ட அளவுகோல்களை சந்திக்கிறதா என்பதை அவர்கள் சரிபார்க்கிறார்கள். தற்போதைய URL இல் சப்ஸ்ட்ரிங் இருந்தால் மட்டுமே தீங்கிழைக்கும் குறியீடு செயல்படுத்தப்படும் புதுப்பித்து அல்லது ஒரு படி செக்அவுட், ஒரு பக்கம்/, வெளியே/ஒன்பேக், செக்அவுட்/ஒன்று, ckout/ஒன்று. எனவே, ஸ்னிஃபர் குறியீடு பயனர் வாங்குவதற்கு பணம் செலுத்தத் தொடங்கும் தருணத்தில் சரியாகச் செயல்படுத்தப்படும் மற்றும் தளத்தில் உள்ள படிவத்தில் கட்டணத் தகவலை உள்ளிடும்.
இந்த ஸ்னிஃபர் தரமற்ற நுட்பத்தைப் பயன்படுத்துகிறது. பாதிக்கப்பட்டவரின் பணம் மற்றும் தனிப்பட்ட தரவு ஆகியவை ஒன்றாகச் சேகரிக்கப்பட்டு, குறியாக்கம் செய்யப்படுகிறது அடிப்படை 64, அதன் விளைவாக வரும் சரம் தாக்குபவர்களின் இணையதளத்திற்கு கோரிக்கையை அனுப்ப அளவுருவாகப் பயன்படுத்தப்படுகிறது. பெரும்பாலும், வாயிலுக்கான பாதை ஜாவாஸ்கிரிப்ட் கோப்பைப் பின்பற்றுகிறது, எடுத்துக்காட்டாக resp.js, data.js மற்றும் பல, ஆனால் படக் கோப்புகளுக்கான இணைப்புகளும் பயன்படுத்தப்படுகின்றன, GIF, и JPG,. தனித்தன்மை என்னவென்றால், ஸ்னிஃபர் 1 க்கு 1 பிக்சல் அளவுள்ள படப் பொருளை உருவாக்கி, முன்பு பெற்ற இணைப்பை அளவுருவாகப் பயன்படுத்துகிறது. மூல படங்கள். அதாவது, பயனருக்கு போக்குவரத்தில் அத்தகைய கோரிக்கை ஒரு சாதாரண படத்திற்கான கோரிக்கையாக இருக்கும். ஸ்னிஃபர்களின் ImageID குடும்பத்திலும் இதேபோன்ற நுட்பம் பயன்படுத்தப்பட்டது. கூடுதலாக, 1 பை 1 பிக்சல் படத்தைப் பயன்படுத்தும் நுட்பம் பல முறையான ஆன்லைன் பகுப்பாய்வு ஸ்கிரிப்ட்களில் பயன்படுத்தப்படுகிறது, இது பயனரை தவறாக வழிநடத்தும்.
பதிப்பு பகுப்பாய்வு
ReactGet ஸ்னிஃபர் ஆபரேட்டர்கள் பயன்படுத்தும் செயலில் உள்ள டொமைன்களின் பகுப்பாய்வு இந்த ஸ்னிஃபர் குடும்பத்தின் பல்வேறு பதிப்புகளை வெளிப்படுத்தியது. பதிப்புகள் தெளிவின்மையின் இருப்பு அல்லது இல்லாமை ஆகியவற்றில் வேறுபடுகின்றன, மேலும் ஒவ்வொரு ஸ்னிஃபரும் ஒரு குறிப்பிட்ட கட்டண முறைக்காக வடிவமைக்கப்பட்டுள்ளது, இது ஆன்லைன் ஸ்டோர்களுக்கான வங்கி அட்டை கொடுப்பனவுகளை செயல்படுத்துகிறது. பதிப்பு எண்ணுடன் தொடர்புடைய அளவுருவின் மதிப்பின் மூலம் வரிசைப்படுத்தப்பட்ட பின்னர், குழு-IB நிபுணர்கள் கிடைக்கக்கூடிய ஸ்னிஃபர் மாறுபாடுகளின் முழுமையான பட்டியலைப் பெற்றனர், மேலும் ஒவ்வொரு ஸ்னிஃபரும் பக்கக் குறியீட்டில் தேடும் படிவ புலங்களின் பெயர்களால், அவர்கள் கட்டண முறைகளை அடையாளம் கண்டனர். என்று மோப்பம் பிடித்தது.
ஸ்னிஃபர்களின் பட்டியல் மற்றும் அவற்றுடன் தொடர்புடைய கட்டண முறைகள்
| ஸ்னிஃபர் URL | கட்டண அமைப்பு |
|---|---|
| அங்கீகாரம்.நெட் | |
| அட்டை சேமிப்பு | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| eWAY ரேபிட் | |
| அங்கீகாரம்.நெட் | |
| Adyen | |
| USAePay | |
| அங்கீகாரம்.நெட் | |
| USAePay | |
| அங்கீகாரம்.நெட் | |
| மோனெரிஸ் | |
| USAePay | |
| பேபால் | |
| முனிவர் ஊதியம் | |
| வெரிசைன் | |
| பேபால் | |
| கோடுகள் | |
| Realex | |
| பேபால் | |
| LinkPoint | |
| பேபால் | |
| பேபால் | |
| டேட்டா கேஷ் | |
| பேபால் | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| வெரிசைன் | |
| அங்கீகாரம்.நெட் | |
| மோனெரிஸ் | |
| முனிவர் ஊதியம் | |
| USAePay | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| ANZ eGate | |
| அங்கீகாரம்.நெட் | |
| மோனெரிஸ் | |
| முனிவர் ஊதியம் | |
| முனிவர் ஊதியம் | |
| சேஸ் பேமென்டெக் | |
| அங்கீகாரம்.நெட் | |
| Adyen | |
| PsiGate | |
| சைபர் ஆதாரம் | |
| ANZ eGate | |
| Realex | |
| USAePay | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| ANZ eGate | |
| பேபால் | |
| பேபால் | |
| Realex | |
| முனிவர் ஊதியம் | |
| பேபால் | |
| வெரிசைன் | |
| அங்கீகாரம்.நெட் | |
| வெரிசைன் | |
| அங்கீகாரம்.நெட் | |
| ANZ eGate | |
| பேபால் | |
| சைபர் ஆதாரம் | |
| அங்கீகாரம்.நெட் | |
| முனிவர் ஊதியம் | |
| Realex | |
| சைபர் ஆதாரம் | |
| பேபால் | |
| பேபால் | |
| பேபால் | |
| வெரிசைன் | |
| eWAY ரேபிட் | |
| முனிவர் ஊதியம் | |
| முனிவர் ஊதியம் | |
| வெரிசைன் | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| முதல் டேட்டா குளோபல் கேட்வே | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| மோனெரிஸ் | |
| அங்கீகாரம்.நெட் | |
| பேபால் | |
| வெரிசைன் | |
| USAePay | |
| USAePay | |
| அங்கீகாரம்.நெட் | |
| வெரிசைன் | |
| பேபால் | |
| அங்கீகாரம்.நெட் | |
| கோடுகள் | |
| அங்கீகாரம்.நெட் | |
| eWAY ரேபிட் | |
| முனிவர் ஊதியம் | |
| அங்கீகாரம்.நெட் | |
| ஸ்டோர்நோவே | |
| ஸ்டோர்நோவே | |
| பேபால் | |
| முனிவர் ஊதியம் | |
| முனிவர் ஊதியம் | |
| அங்கீகாரம்.நெட் | |
| பேபால் | |
| அங்கீகாரம்.நெட் | |
| வெரிசைன் | |
| பேபால் | |
| அங்கீகாரம்.நெட் | |
| கோடுகள் | |
| அங்கீகாரம்.நெட் | |
| eWAY ரேபிட் | |
| முனிவர் ஊதியம் | |
| அங்கீகாரம்.நெட் | |
| ஸ்டோர்நோவே | |
| பேபால் | |
| முனிவர் ஊதியம் | |
| முனிவர் ஊதியம் | |
| அங்கீகாரம்.நெட் | |
| பேபால் | |
| அங்கீகாரம்.நெட் | |
| வெரிசைன் | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| முனிவர் ஊதியம் | |
| முனிவர் ஊதியம் | |
| வெஸ்ட்பேக் பேவே | |
| PayFort | |
| பேபால் | |
| அங்கீகாரம்.நெட் | |
| கோடுகள் | |
| முதல் டேட்டா குளோபல் கேட்வே | |
| PsiGate | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| மோனெரிஸ் | |
| அங்கீகாரம்.நெட் | |
| முனிவர் ஊதியம் | |
| வெரிசைன் | |
| மோனெரிஸ் | |
| பேபால் | |
| LinkPoint | |
| வெஸ்ட்பேக் பேவே | |
| அங்கீகாரம்.நெட் | |
| மோனெரிஸ் | |
| பேபால் | |
| Adyen | |
| பேபால் | |
| அங்கீகாரம்.நெட் | |
| USAePay | |
| EBizCharge | |
| அங்கீகாரம்.நெட் | |
| வெரிசைன் | |
| வெரிசைன் | |
| அங்கீகாரம்.நெட் | |
| பேபால் | |
| மோனெரிஸ் | |
| அங்கீகாரம்.நெட் | |
| பேபால் | |
| பேபால் | |
| வெஸ்ட்பேக் பேவே | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| முனிவர் ஊதியம் | |
| வெரிசைன் | |
| அங்கீகாரம்.நெட் | |
| பேபால் | |
| PayFort | |
| சைபர் ஆதாரம் | |
| பேபால் பேஃப்ளோ ப்ரோ | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| வெரிசைன் | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| முனிவர் ஊதியம் | |
| அங்கீகாரம்.நெட் | |
| கோடுகள் | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| வெரிசைன் | |
| பேபால் | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| முனிவர் ஊதியம் | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| பேபால் | |
| பிளின்ட் | |
| பேபால் | |
| முனிவர் ஊதியம் | |
| வெரிசைன் | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| கோடுகள் | |
| கொழுத்த வரிக்குதிரை | |
| முனிவர் ஊதியம் | |
| அங்கீகாரம்.நெட் | |
| முதல் டேட்டா குளோபல் கேட்வே | |
| அங்கீகாரம்.நெட் | |
| eWAY ரேபிட் | |
| Adyen | |
| பேபால் | |
| குவிக்புக்ஸில் வணிக சேவைகள் | |
| வெரிசைன் | |
| முனிவர் ஊதியம் | |
| வெரிசைன் | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| முனிவர் ஊதியம் | |
| அங்கீகாரம்.நெட் | |
| eWAY ரேபிட் | |
| அங்கீகாரம்.நெட் | |
| ANZ eGate | |
| பேபால் | |
| சைபர் ஆதாரம் | |
| அங்கீகாரம்.நெட் | |
| முனிவர் ஊதியம் | |
| Realex | |
| சைபர் ஆதாரம் | |
| பேபால் | |
| பேபால் | |
| பேபால் | |
| வெரிசைன் | |
| eWAY ரேபிட் | |
| முனிவர் ஊதியம் | |
| முனிவர் ஊதியம் | |
| வெரிசைன் | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| முதல் டேட்டா குளோபல் கேட்வே | |
| அங்கீகாரம்.நெட் | |
| அங்கீகாரம்.நெட் | |
| மோனெரிஸ் | |
| அங்கீகாரம்.நெட் | |
| பேபால் |
கடவுச்சொல் மோப்பம்
ஒரு வலைத்தளத்தின் கிளையன்ட் பக்கத்தில் பணிபுரியும் ஜாவாஸ்கிரிப்ட் ஸ்னிஃபர்களின் நன்மைகளில் ஒன்று, அவற்றின் பல்துறைத்திறன்: இணையதளத்தில் உட்பொதிக்கப்பட்ட தீங்கிழைக்கும் குறியீடு எந்த வகையான தரவையும் திருடலாம், அது கட்டணத் தரவு அல்லது பயனர் கணக்கின் உள்நுழைவு மற்றும் கடவுச்சொல். குழு-IB நிபுணர்கள், ReactGet குடும்பத்தைச் சேர்ந்த ஸ்னிஃபரின் மாதிரியைக் கண்டுபிடித்தனர், இது தள பயனர்களின் மின்னஞ்சல் முகவரிகள் மற்றும் கடவுச்சொற்களைத் திருட வடிவமைக்கப்பட்டுள்ளது.
இமேஜ்ஐடி ஸ்னிஃபருடன் குறுக்குவெட்டு
பாதிக்கப்பட்ட கடைகளில் ஒன்றின் பகுப்பாய்வின் போது, அதன் தளம் இரண்டு முறை பாதிக்கப்பட்டுள்ளது கண்டறியப்பட்டது: ReactGet குடும்ப ஸ்னிஃபரின் தீங்கிழைக்கும் குறியீட்டைத் தவிர, ImageID குடும்ப ஸ்னிஃபரின் குறியீடு கண்டறியப்பட்டது. இரண்டு ஸ்னிஃபர்களுக்கும் பின்னால் உள்ள ஆபரேட்டர்கள் தீங்கிழைக்கும் குறியீட்டை உட்செலுத்துவதற்கு ஒரே மாதிரியான நுட்பங்களைப் பயன்படுத்துகின்றனர் என்பதற்கு இந்த ஒன்றுடன் ஒன்று சான்றாக இருக்கலாம்.
உலகளாவிய மோப்பக்காரர்
ரியாக்ட்ஜெட் ஸ்னிஃபர் உள்கட்டமைப்புடன் தொடர்புடைய டொமைன் பெயர்களில் ஒன்றின் பகுப்பாய்வு, அதே பயனர் மற்ற மூன்று டொமைன் பெயர்களைப் பதிவு செய்திருப்பது தெரியவந்தது. இந்த மூன்று டொமைன்களும் நிஜ வாழ்க்கை இணையதளங்களின் டொமைன்களைப் பின்பற்றி, முன்பு ஸ்னிஃபர்களை ஹோஸ்ட் செய்ய பயன்படுத்தப்பட்டன. மூன்று முறையான தளங்களின் குறியீட்டை பகுப்பாய்வு செய்யும் போது, ஒரு அறியப்படாத ஸ்னிஃபர் கண்டறியப்பட்டது, மேலும் இது ரியாக்ட்ஜெட் ஸ்னிஃபரின் மேம்படுத்தப்பட்ட பதிப்பு என்பதைக் காட்டியது. இந்த ஸ்னிஃபர் குடும்பத்தின் முன்னர் கண்காணிக்கப்பட்ட அனைத்து பதிப்புகளும் ஒரே கட்டண முறையை இலக்காகக் கொண்டவை, அதாவது ஒவ்வொரு கட்டண முறைக்கும் ஸ்னிஃபரின் சிறப்பு பதிப்பு தேவைப்பட்டது. இருப்பினும், இந்த வழக்கில், ஸ்னிஃபரின் உலகளாவிய பதிப்பு கண்டுபிடிக்கப்பட்டது, இது 15 வெவ்வேறு கட்டண முறைகள் மற்றும் ஆன்லைன் பணம் செலுத்துவதற்காக ஈ-காமர்ஸ் தளங்களின் தொகுதிகள் தொடர்பான படிவங்களிலிருந்து தகவல்களைத் திருடும் திறன் கொண்டது.
எனவே, வேலையின் தொடக்கத்தில், பாதிக்கப்பட்டவரின் தனிப்பட்ட தகவல்களைக் கொண்ட அடிப்படை படிவ புலங்களை மோப்பக்காரர் தேடினார்: முழு பெயர், உடல் முகவரி, தொலைபேசி எண்.
ஸ்னிஃபர் பின்னர் வெவ்வேறு கட்டண முறைகள் மற்றும் ஆன்லைன் கட்டண தொகுதிகளுடன் தொடர்புடைய 15 வெவ்வேறு முன்னொட்டுகளைத் தேடினார்.
அடுத்து, பாதிக்கப்பட்டவரின் தனிப்பட்ட தரவு மற்றும் கட்டணத் தகவல்கள் ஒன்றாகச் சேகரிக்கப்பட்டு, தாக்குபவர்களால் கட்டுப்படுத்தப்படும் தளத்திற்கு அனுப்பப்பட்டன: இந்த குறிப்பிட்ட வழக்கில், இரண்டு வெவ்வேறு ஹேக் செய்யப்பட்ட தளங்களில் அமைந்துள்ள உலகளாவிய ரியாக்ட்ஜெட் ஸ்னிஃபரின் இரண்டு பதிப்புகள் கண்டுபிடிக்கப்பட்டன. இருப்பினும், இரண்டு பதிப்புகளும் திருடப்பட்ட தரவை ஒரே ஹேக் செய்யப்பட்ட தளத்திற்கு அனுப்பியது zoobashop.com.
பாதிக்கப்பட்டவரின் கட்டணத் தகவலைக் கொண்ட புலங்களைத் தேட ஸ்னிஃபர் பயன்படுத்திய முன்னொட்டுகளின் பகுப்பாய்வு, இந்த ஸ்னிஃபர் மாதிரி பின்வரும் கட்டண முறைகளை இலக்காகக் கொண்டது என்பதைத் தீர்மானிக்க எங்களை அனுமதித்தது:
- அங்கீகாரம்.நெட்
- வெரிசைன்
- முதல் தரவு
- USAePay
- கோடுகள்
- பேபால்
- ANZ eGate
- ஸ்டோர்நோவே
- டேட்டா கேஷ் (மாஸ்டர் கார்டு)
- Realex கொடுப்பனவுகள்
- PsiGate
- ஹார்ட்லேண்ட் கட்டண அமைப்புகள்
கட்டணத் தகவலைத் திருட என்ன கருவிகள் பயன்படுத்தப்படுகின்றன?
தாக்குபவர்களின் உள்கட்டமைப்பின் பகுப்பாய்வின் போது கண்டுபிடிக்கப்பட்ட முதல் கருவி, வங்கி அட்டைகளின் திருட்டுக்கு காரணமான தீங்கிழைக்கும் ஸ்கிரிப்ட்களை தெளிவுபடுத்துவதற்குப் பயன்படுத்தப்படுகிறது. திட்டத்தின் CLI ஐப் பயன்படுத்தி ஒரு பாஷ் ஸ்கிரிப்ட் தாக்குபவர்களின் ஹோஸ்ட்களில் ஒன்றில் கண்டுபிடிக்கப்பட்டது ஸ்னிஃபர் குறியீட்டின் தெளிவின்மையை தானியக்கமாக்க.
இரண்டாவது கண்டுபிடிக்கப்பட்ட கருவி, முக்கிய ஸ்னிஃபரை ஏற்றுவதற்குப் பொறுப்பான குறியீட்டை உருவாக்க வடிவமைக்கப்பட்டுள்ளது. இந்தக் கருவி JavaScript குறியீட்டை உருவாக்கும் புதுப்பித்து, வண்டி மற்றும் பல, மற்றும் முடிவு நேர்மறையாக இருந்தால், குறியீடு தாக்குபவர்களின் சேவையகத்திலிருந்து முக்கிய ஸ்னிஃபரை ஏற்றுகிறது. தீங்கிழைக்கும் செயல்பாட்டை மறைக்க, கட்டணப் பக்கத்தைத் தீர்மானிப்பதற்கான சோதனைக் கோடுகள் மற்றும் ஸ்னிஃபருக்கான இணைப்பு உள்ளிட்ட அனைத்து வரிகளும் குறியாக்கம் செய்யப்படுகின்றன. அடிப்படை 64.
ஃபிஷிங் தாக்குதல்கள்
தாக்குபவர்களின் நெட்வொர்க் உள்கட்டமைப்பின் பகுப்பாய்வு, இலக்கு ஆன்லைன் ஸ்டோரின் நிர்வாகக் குழுவிற்கு அணுகலைப் பெற குற்றவியல் குழு அடிக்கடி ஃபிஷிங்கைப் பயன்படுத்துகிறது. தாக்குபவர்கள், கடையின் டொமைனைப் போலவே இருக்கும் டொமைனைப் பதிவுசெய்து, அதன் மீது போலி Magento நிர்வாக குழு உள்நுழைவு படிவத்தைப் பயன்படுத்துகின்றனர். வெற்றியடைந்தால், தாக்குபவர்கள் Magento CMS இன் நிர்வாகக் குழுவிற்கான அணுகலைப் பெறுவார்கள், இது வலைத்தளக் கூறுகளைத் திருத்துவதற்கும், கிரெடிட் கார்டு தரவைத் திருட ஸ்னிஃபரைச் செயல்படுத்துவதற்கும் அவர்களுக்கு வாய்ப்பளிக்கிறது.
உள்கட்டமைப்பு
| Домен | கண்டுபிடிக்கப்பட்ட / தோன்றிய தேதி |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagstracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| Trust-tracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
ஜி-பகுப்பாய்வு குடும்பம்
ஆன்லைன் ஸ்டோர்களில் இருந்து வாடிக்கையாளர் அட்டைகளைத் திருட இந்த மோப்பக் குடும்பம் பயன்படுத்தப்படுகிறது. குழுவால் பயன்படுத்தப்பட்ட முதல் டொமைன் பெயர் ஏப்ரல் 2016 இல் பதிவு செய்யப்பட்டது, இது 2016 ஆம் ஆண்டின் நடுப்பகுதியில் குழு செயல்பாட்டைத் தொடங்கியதைக் குறிக்கலாம்.
தற்போதைய பிரச்சாரத்தில், குழுவானது Google Analytics மற்றும் jQuery போன்ற நிஜ வாழ்க்கை சேவைகளைப் பின்பற்றும் டொமைன் பெயர்களைப் பயன்படுத்துகிறது, முறையான ஸ்கிரிப்ட்கள் மற்றும் முறையான டொமைன் பெயர்களுடன் ஸ்னிஃபர்களின் செயல்பாட்டை மறைக்கிறது. Magento CMS இயங்கும் தளங்கள் தாக்கப்பட்டன.
ஆன்லைன் ஸ்டோரின் குறியீட்டில் G-Analytics எவ்வாறு செயல்படுத்தப்படுகிறது
இந்தக் குடும்பத்தின் தனித்துவமான அம்சம், பயனர் கட்டணத் தகவலைத் திருட பல்வேறு முறைகளைப் பயன்படுத்துவதாகும். தளத்தின் கிளையன்ட் பக்கத்தில் ஜாவாஸ்கிரிப்ட் குறியீட்டை கிளாசிக் உட்செலுத்துவதுடன், குற்றவியல் குழுவானது தளத்தின் சர்வர் பக்கத்தில் குறியீடு உட்செலுத்துதல் நுட்பங்களையும் பயன்படுத்தியது, அதாவது பயனர் உள்ளிடப்பட்ட தரவைச் செயலாக்கும் PHP ஸ்கிரிப்டுகள். இந்த நுட்பம் ஆபத்தானது, ஏனெனில் இது மூன்றாம் தரப்பு ஆராய்ச்சியாளர்களுக்கு தீங்கிழைக்கும் குறியீட்டைக் கண்டறிவதை கடினமாக்குகிறது. குழு-IB நிபுணர்கள், தளத்தின் PHP குறியீட்டில் உட்பொதிக்கப்பட்ட ஸ்னிஃபரின் பதிப்பைக் கண்டுபிடித்தனர், ஒரு டொமைனை வாயிலாகப் பயன்படுத்தினர். dittm.org.
திருடப்பட்ட தரவைச் சேகரிக்க அதே டொமைனைப் பயன்படுத்தும் ஸ்னிஃபரின் ஆரம்ப பதிப்பும் கண்டுபிடிக்கப்பட்டது dittm.org, ஆனால் இந்த பதிப்பு ஆன்லைன் ஸ்டோரின் கிளையன்ட் பக்கத்தில் நிறுவுவதற்காக வடிவமைக்கப்பட்டுள்ளது.
குழு பின்னர் அதன் தந்திரோபாயங்களை மாற்றி, தீங்கிழைக்கும் செயல்பாடு மற்றும் உருமறைப்பை மறைப்பதில் அதிக கவனம் செலுத்தத் தொடங்கியது.
2017 ஆம் ஆண்டின் தொடக்கத்தில், குழு டொமைனைப் பயன்படுத்தத் தொடங்கியது jquery-js.com, jQueryக்கான CDN ஆக மாறுவேடமிடுதல்: தாக்குபவர்களின் தளத்திற்குச் செல்லும்போது, பயனர் முறையான தளத்திற்குத் திருப்பிவிடப்படுவார் jquery.com.
2018 ஆம் ஆண்டின் நடுப்பகுதியில், குழு டொமைன் பெயரை ஏற்றுக்கொண்டது g-analytics.com மேலும் ஸ்னிஃபரின் செயல்பாடுகளை ஒரு முறையான Google Analytics சேவையாக மறைக்கத் தொடங்கியது.
பதிப்பு பகுப்பாய்வு
ஸ்னிஃபர் குறியீட்டை சேமிக்கப் பயன்படுத்தப்படும் டொமைன்களின் பகுப்பாய்வின் போது, தளத்தில் அதிக எண்ணிக்கையிலான பதிப்புகள் இருப்பது கண்டறியப்பட்டது, அவை தெளிவின்மையின் முன்னிலையில் வேறுபடுகின்றன, அத்துடன் கவனத்தைத் திசைதிருப்ப கோப்பில் சேர்க்கப்படாத குறியீட்டின் இருப்பு அல்லது இல்லாமை ஆகியவை அடங்கும். மற்றும் தீங்கிழைக்கும் குறியீட்டை மறைக்கவும்.
தளத்தில் மொத்தம் jquery-js.com ஸ்னிஃபர்களின் ஆறு பதிப்புகள் அடையாளம் காணப்பட்டன. இந்த ஸ்னிஃபர்கள் திருடப்பட்ட தரவை ஸ்னிஃபர் இருக்கும் அதே இணையதளத்தில் உள்ள முகவரிக்கு அனுப்புகிறார்கள்: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
பின்னர் களம் g-analytics.com, 2018 ஆம் ஆண்டின் நடுப்பகுதியில் இருந்து தாக்குதல்களில் குழுவால் பயன்படுத்தப்படுகிறது, இது அதிக மோப்பக்காரர்களுக்கான களஞ்சியமாக செயல்படுகிறது. மொத்தத்தில், ஸ்னிஃபரின் 16 வெவ்வேறு பதிப்புகள் கண்டுபிடிக்கப்பட்டன. இந்த வழக்கில், திருடப்பட்ட தரவை அனுப்புவதற்கான கேட் ஒரு பட வடிவமைப்பிற்கான இணைப்பாக மாறுவேடமிடப்பட்டது GIF,: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
திருடப்பட்ட தரவின் பணமாக்குதல்
கிரிமினல் குழு கார்டர்களுக்கு சேவைகளை வழங்கும் சிறப்பாக உருவாக்கப்பட்ட நிலத்தடி கடை மூலம் கார்டுகளை விற்பதன் மூலம் திருடப்பட்ட தரவை பணமாக்குகிறது. தாக்குபவர்கள் பயன்படுத்தும் டொமைன்களின் பகுப்பாய்வு அதைத் தீர்மானிக்க எங்களுக்கு அனுமதித்தது google-analytics.cm டொமைனின் அதே பயனரால் பதிவு செய்யப்பட்டது cardz.vc. களம் cardz.vc திருடப்பட்ட வங்கி அட்டைகளை விற்கும் ஒரு கடையை குறிக்கிறது Cardsurfs (Flysurfs), இது நிலத்தடி வர்த்தக தளமான AlphaBay இன் செயல்பாட்டின் நாட்களில் ஒரு ஸ்னிஃபரைப் பயன்படுத்தி திருடப்பட்ட வங்கி அட்டைகளை விற்கும் கடையாக பிரபலமடைந்தது.
டொமைனை பகுப்பாய்வு செய்தல் பகுப்பாய்வு ஆகும், திருடப்பட்ட தரவைச் சேகரிக்க ஸ்னிஃபர்கள் பயன்படுத்தும் டொமைன்களின் அதே சர்வரில் அமைந்துள்ள குழு-IB நிபுணர்கள் குக்கீ திருடுபவர் பதிவுகளைக் கொண்ட கோப்பைக் கண்டுபிடித்தனர், இது டெவலப்பரால் பின்னர் கைவிடப்பட்டதாகத் தெரிகிறது. பதிவில் உள்ள பதிவுகளில் ஒன்றில் டொமைன் உள்ளது iozoz.com, இது முன்பு 2016 இல் செயலில் உள்ள ஸ்னிஃபர்களில் ஒன்றில் பயன்படுத்தப்பட்டது. மறைமுகமாக, இந்த டொமைனை ஸ்னிஃபரைப் பயன்படுத்தி திருடப்பட்ட அட்டைகளைச் சேகரிக்க தாக்குபவர் முன்பு பயன்படுத்தியிருக்கலாம். இந்த டொமைன் மின்னஞ்சல் முகவரிக்கு பதிவு செய்யப்பட்டது [மின்னஞ்சல் பாதுகாக்கப்பட்டது], இது டொமைன்களைப் பதிவு செய்யவும் பயன்படுத்தப்பட்டது cardz.su и cardz.vc, கார்டிங் கடை Cardsurfs தொடர்பான.
பெறப்பட்ட தரவுகளின் அடிப்படையில், ஸ்னிஃபர்களின் G-Analytics குடும்பம் மற்றும் வங்கி அட்டைகளை விற்கும் நிலத்தடி கடை Cardsurfs ஆகியவை ஒரே நபர்களால் நிர்வகிக்கப்படுகின்றன என்று கருதலாம், மேலும் ஸ்னிஃபரைப் பயன்படுத்தி திருடப்பட்ட வங்கி அட்டைகளை விற்க கடை பயன்படுத்தப்படுகிறது.
உள்கட்டமைப்பு
| Домен | கண்டுபிடிக்கப்பட்ட / தோன்றிய தேதி |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| பகுப்பாய்வு | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| பகுப்பாய்வு ஆகும் | 28.12.2018 |
| googlc-analytics.cm | 17.01.2019 |
இல்லம் குடும்பம்
இல்லம் என்பது Magento CMS இயங்கும் ஆன்லைன் ஸ்டோர்களைத் தாக்கப் பயன்படுத்தப்படும் மோப்பக்காரர்களின் குடும்பமாகும். தீங்கிழைக்கும் குறியீட்டை அறிமுகப்படுத்துவதோடு, இந்த ஸ்னிஃபரின் ஆபரேட்டர்கள், தாக்குபவர்களால் கட்டுப்படுத்தப்படும் நுழைவாயில்களுக்கு தரவை அனுப்பும் முழு அளவிலான போலி கட்டண படிவங்களின் அறிமுகத்தையும் பயன்படுத்துகின்றனர்.
இந்த ஸ்னிஃபரின் ஆபரேட்டர்கள் பயன்படுத்தும் நெட்வொர்க் உள்கட்டமைப்பை பகுப்பாய்வு செய்யும் போது, ஏராளமான தீங்கிழைக்கும் ஸ்கிரிப்டுகள், சுரண்டல்கள், போலி கட்டண படிவங்கள் மற்றும் போட்டியாளர்களிடமிருந்து தீங்கிழைக்கும் ஸ்னிஃபர்களுடன் எடுத்துக்காட்டுகளின் தொகுப்பு ஆகியவை குறிப்பிடப்பட்டன. குழுவால் பயன்படுத்தப்படும் டொமைன் பெயர்கள் தோன்றிய தேதிகள் பற்றிய தகவலின் அடிப்படையில், பிரச்சாரம் 2016 இன் இறுதியில் தொடங்கியது என்று கருதலாம்.
ஆன்லைன் ஸ்டோரின் குறியீட்டில் இல்லம் எவ்வாறு செயல்படுத்தப்படுகிறது
கண்டுபிடிக்கப்பட்ட ஸ்னிஃபரின் முதல் பதிப்புகள் சமரசம் செய்யப்பட்ட தளத்தின் குறியீட்டில் நேரடியாக உட்பொதிக்கப்பட்டன. திருடப்பட்ட தரவு அனுப்பப்பட்டது cdn.illum[.]pw/records.php, கேட் பயன்படுத்தி குறியாக்கம் செய்யப்பட்டது அடிப்படை 64.
பின்னர், ஸ்னிஃபரின் தொகுக்கப்பட்ட பதிப்பு கண்டுபிடிக்கப்பட்டது, அது வேறு வாயிலைப் பயன்படுத்துகிறது - records.nstatistics[.]com/records.php.
படி வில்லெம் டி க்ரூட், அதே ஹோஸ்ட் ஸ்னிஃபரில் பயன்படுத்தப்பட்டது, இது செயல்படுத்தப்பட்டது , ஜெர்மன் அரசியல் கட்சியான CSU க்கு சொந்தமானது.
தாக்குபவர்களின் வலைத்தளத்தின் பகுப்பாய்வு
குழு-IB வல்லுநர்கள், கருவிகளைச் சேமிக்கவும், திருடப்பட்ட தகவல்களைச் சேகரிக்கவும் இந்தக் குற்றவியல் குழு பயன்படுத்தும் இணையதளத்தைக் கண்டுபிடித்து ஆய்வு செய்தனர்.
தாக்குபவர்களின் சேவையகத்தில் காணப்படும் கருவிகளில், Linux OS இல் சலுகைகளை அதிகரிப்பதற்கான ஸ்கிரிப்டுகள் மற்றும் சுரண்டல்கள் உள்ளன: எடுத்துக்காட்டாக, Linux Privilege Escalation Check ஸ்கிரிப்ட் மைக் சுமாக் உருவாக்கியது, அத்துடன் CVE-2009-1185க்கான சுரண்டலும்.
ஆன்லைன் ஸ்டோர்களைத் தாக்க தாக்குபவர்கள் நேரடியாக இரண்டு சுரண்டல்களைப் பயன்படுத்தினர்: தீங்கிழைக்கும் குறியீட்டை செலுத்தும் திறன் கொண்டது core_config_data CVE-2016-4010ஐ பயன்படுத்தி, CMS Magento க்கான செருகுநிரல்களில் RCE பாதிப்பைப் பயன்படுத்துகிறது, இது பாதிக்கப்படக்கூடிய வலை சேவையகத்தில் தன்னிச்சையான குறியீட்டை செயல்படுத்த அனுமதிக்கிறது.
மேலும், சர்வரின் பகுப்பாய்வின் போது, ஹேக் செய்யப்பட்ட தளங்களில் இருந்து பணம் செலுத்தும் தகவலை சேகரிக்க தாக்குபவர்களால் பயன்படுத்தப்படும் ஸ்னிஃபர்களின் பல்வேறு மாதிரிகள் மற்றும் போலி கட்டண படிவங்கள் கண்டுபிடிக்கப்பட்டன. கீழேயுள்ள பட்டியலிலிருந்து நீங்கள் பார்க்க முடியும், ஒவ்வொரு ஹேக் செய்யப்பட்ட தளத்திற்கும் சில ஸ்கிரிப்டுகள் தனித்தனியாக உருவாக்கப்பட்டன, சில CMS மற்றும் கட்டண நுழைவாயில்களுக்கு உலகளாவிய தீர்வு பயன்படுத்தப்பட்டது. உதாரணமாக, ஸ்கிரிப்டுகள் segapay_standart.js и segapay_onpage.js சேஜ் பே பேமெண்ட் கேட்வேயைப் பயன்படுத்தி தளங்களில் செயல்படுத்த வடிவமைக்கப்பட்டுள்ளது.
பல்வேறு கட்டண நுழைவாயில்களுக்கான ஸ்கிரிப்ட்களின் பட்டியல்
| கையால் எழுதப்பட்ட தாள் | கட்டணம் நுழைவாயில் |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdierenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolengi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_forminsite.js | //பணம் இப்போது[.]tk/?payment= |
தொகுப்பாளர் பணம் இப்போது[.]tk, ஸ்கிரிப்ட்டில் வாயிலாகப் பயன்படுத்தப்படுகிறது pay_forminsite.js, என கண்டுபிடிக்கப்பட்டது SubjectAltName CloudFlare சேவை தொடர்பான பல சான்றிதழ்களில். கூடுதலாக, ஹோஸ்டில் ஒரு ஸ்கிரிப்ட் இருந்தது தீமை.js. ஸ்கிரிப்ட்டின் பெயரால் ஆராயும்போது, இது CVE-2016-4010 இன் சுரண்டலின் ஒரு பகுதியாகப் பயன்படுத்தப்படலாம், இதற்கு நன்றி, CMS Magento இயங்கும் தளத்தின் அடிக்குறிப்பில் தீங்கிழைக்கும் குறியீட்டைப் புகுத்த முடியும். தொகுப்பாளர் இந்த ஸ்கிரிப்டை ஒரு வாயிலாகப் பயன்படுத்தினார் request.requestnet[.]tkஹோஸ்ட்டின் அதே சான்றிதழைப் பயன்படுத்துதல் பணம் இப்போது[.]tk.
போலி கட்டண படிவங்கள்
கார்டு தரவை உள்ளிடுவதற்கான படிவத்தின் உதாரணத்தை கீழே உள்ள படம் காட்டுகிறது. ஆன்லைன் ஸ்டோரில் ஊடுருவி கார்டு தரவைத் திருட இந்தப் படிவம் பயன்படுத்தப்பட்டது.
இந்தக் கட்டண முறையின் மூலம் தளங்களில் ஊடுருவ தாக்குபவர்களால் பயன்படுத்தப்பட்ட போலி PayPal கட்டணப் படிவத்தின் உதாரணத்தை பின்வரும் படம் காட்டுகிறது.
உள்கட்டமைப்பு
| Домен | கண்டுபிடிக்கப்பட்ட / தோன்றிய தேதி |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| request.payrightnow.cf | 25/05/2018 |
| paynow.tk | 16/07/2017 |
| pay-line.tk | 01/03/2018 |
| paypal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
காபிமொக்கோ குடும்பம்
ஆன்லைன் ஸ்டோர் பயனர்களிடமிருந்து வங்கி அட்டைகளைத் திருடுவதற்காக வடிவமைக்கப்பட்ட CoffeMokko குடும்ப ஸ்னிஃபர்ஸ் குறைந்தது மே 2017 முதல் பயன்பாட்டில் உள்ளது. மறைமுகமாக, 1 இல் RiskIQ நிபுணர்களால் விவரிக்கப்பட்ட கிரிமினல் குழு குரூப் 2016, இந்த ஸ்னிஃபர் குடும்பத்தின் ஆபரேட்டர்கள். Magento, OpenCart, WordPress, osCommerce மற்றும் Shopify போன்ற CMSகளை இயக்கும் தளங்கள் தாக்கப்பட்டன.
ஆன்லைன் ஸ்டோரின் குறியீட்டில் CoffeMokko எவ்வாறு செயல்படுத்தப்படுகிறது
இந்த குடும்பத்தின் ஆபரேட்டர்கள் ஒவ்வொரு நோய்த்தொற்றுக்கும் தனித்துவமான ஸ்னிஃபர்களை உருவாக்குகிறார்கள்: ஸ்னிஃபர் கோப்பு கோப்பகத்தில் அமைந்துள்ளது மூல அல்லது js தாக்குபவர்களின் சேவையகத்தில். தளக் குறியீட்டில் ஒருங்கிணைப்பு ஸ்னிஃபருக்கான நேரடி இணைப்பு வழியாக மேற்கொள்ளப்படுகிறது.
ஸ்னிஃபர் குறியீடு, தரவு திருடப்பட வேண்டிய படிவப் புலங்களின் பெயர்களை ஹார்ட்கோட் செய்கிறது. பயனரின் தற்போதைய முகவரியுடன் முக்கிய வார்த்தைகளின் பட்டியலைச் சரிபார்ப்பதன் மூலம், பயனர் பணம் செலுத்தும் பக்கத்தில் இருக்கிறாரா என்பதையும் ஸ்னிஃபர் சரிபார்க்கிறது.
ஸ்னிஃபரின் சில கண்டுபிடிக்கப்பட்ட பதிப்புகள் குழப்பமடைந்து, மறைகுறியாக்கப்பட்ட சரத்தைக் கொண்டிருந்தன, அதில் முக்கிய ஆதாரங்கள் சேமிக்கப்பட்டன: அதில் பல்வேறு கட்டண முறைகளுக்கான படிவ புலங்களின் பெயர்கள் மற்றும் திருடப்பட்ட தரவை அனுப்ப வேண்டிய கேட் முகவரி ஆகியவை உள்ளன.
திருடப்பட்ட கட்டணத் தகவல், வழியில் தாக்குபவர்களின் சர்வரில் உள்ள ஸ்கிரிப்ட்டுக்கு அனுப்பப்பட்டது /savePayment/index.php அல்லது /tr/index.php. மறைமுகமாக, இந்த ஸ்கிரிப்ட் வாயிலிலிருந்து பிரதான சேவையகத்திற்கு தரவை அனுப்ப பயன்படுகிறது, இது அனைத்து ஸ்னிஃபர்களிடமிருந்தும் தரவை ஒருங்கிணைக்கிறது. அனுப்பப்பட்ட தரவை மறைக்க, பாதிக்கப்பட்டவரின் அனைத்து கட்டணத் தகவலும் குறியாக்கம் செய்யப்படுகிறது அடிப்படை 64, பின்னர் பல எழுத்து மாற்றீடுகள் நிகழ்கின்றன:
- "e" எழுத்துக்கு பதிலாக ":"
- "w" சின்னம் "+" உடன் மாற்றப்பட்டது
- "o" எழுத்துக்கு பதிலாக "%"
- "d" எழுத்துக்கு பதிலாக "#" உள்ளது
- "a" எழுத்துக்கு பதிலாக "-"
- "7" சின்னம் "^" உடன் மாற்றப்பட்டது
- "h" எழுத்து "_" உடன் மாற்றப்பட்டது
- "டி" சின்னம் "@" என்று மாற்றப்பட்டது
- "0" எழுத்துக்கு பதிலாக "/"
- "Y" எழுத்துக்கு பதிலாக "*"
குறியாக்கம் செய்யப்பட்ட எழுத்து மாற்றங்களின் விளைவாக அடிப்படை 64 தலைகீழ் மாற்றத்தைச் செய்யாமல் தரவை டிகோட் செய்ய முடியாது.
குழப்பமடையாத ஸ்னிஃபர் குறியீட்டின் ஒரு பகுதி இது போல் தெரிகிறது:
உள்கட்டமைப்பு பகுப்பாய்வு
ஆரம்பகால பிரச்சாரங்களில், முறையான ஆன்லைன் ஷாப்பிங் தளங்களைப் போன்ற டொமைன் பெயர்களைத் தாக்குபவர்கள் பதிவு செய்தனர். அவர்களின் டொமைன் முறையான ஒன்று அல்லது மற்றொரு TLD இல் இருந்து வேறுபடலாம். பதிவுசெய்யப்பட்ட டொமைன்கள் ஸ்னிஃபர் குறியீட்டைச் சேமிக்கப் பயன்படுத்தப்பட்டன, அதற்கான இணைப்பு ஸ்டோர் குறியீட்டில் உட்பொதிக்கப்பட்டது.
இந்த குழு பிரபலமான jQuery செருகுநிரல்களை நினைவூட்டும் டொமைன் பெயர்களையும் பயன்படுத்தியது (slickjs[.]org சொருகி பயன்படுத்தும் தளங்களுக்கு slick.js), கட்டண நுழைவாயில்கள் (sagecdn[.]org சேஜ் பே பேமெண்ட் முறையைப் பயன்படுத்தும் தளங்களுக்கு).
பின்னர், குழு டொமைன்களை உருவாக்கத் தொடங்கியது, அதன் பெயர்கள் கடையின் டொமைனுடன் அல்லது கடையின் கருப்பொருளுடன் எந்த தொடர்பும் இல்லை.
ஒவ்வொரு டொமைனும் கோப்பகம் உருவாக்கப்பட்ட ஒரு தளத்துடன் தொடர்புடையது /js அல்லது /src. ஸ்னிஃபர் ஸ்கிரிப்டுகள் இந்தக் கோப்பகத்தில் சேமிக்கப்பட்டுள்ளன: ஒவ்வொரு புதிய தொற்றுக்கும் ஒரு ஸ்னிஃபர். ஸ்னிஃபர் நேரடி இணைப்பு வழியாக இணையதளக் குறியீட்டில் உட்பொதிக்கப்பட்டது, ஆனால் அரிதான சந்தர்ப்பங்களில், தாக்குபவர்கள் இணையதளக் கோப்புகளில் ஒன்றை மாற்றியமைத்து அதில் தீங்கிழைக்கும் குறியீட்டைச் சேர்த்தனர்.
குறியீடு பகுப்பாய்வு
முதல் தெளிவின்மை அல்காரிதம்
இந்தக் குடும்பத்தைச் சேர்ந்த ஸ்னிஃபர்களின் சில கண்டுபிடிக்கப்பட்ட மாதிரிகளில், குறியீடு குழப்பப்பட்டு, ஸ்னிஃபர் வேலை செய்வதற்குத் தேவையான என்க்ரிப்ட் செய்யப்பட்ட தரவுகளைக் கொண்டிருந்தது: குறிப்பாக, ஸ்னிஃபர் கேட் முகவரி, கட்டணப் படிவங்களின் பட்டியல் மற்றும் சில சந்தர்ப்பங்களில், போலியின் குறியீடு. கட்டணம் படிவம். செயல்பாட்டின் உள்ளே உள்ள குறியீட்டில், ஆதாரங்கள் பயன்படுத்தி குறியாக்கம் செய்யப்பட்டன எக்ஸ்ஓஆர் அதே செயல்பாட்டிற்கு ஒரு வாதமாக அனுப்பப்பட்ட விசையால்.
ஒவ்வொரு மாதிரிக்கும் தனித்துவமான, பொருத்தமான விசையுடன் சரத்தை டிக்ரிப்ட் செய்வதன் மூலம், பிரிப்பான் எழுத்து மூலம் பிரிக்கப்பட்ட ஸ்னிஃபர் குறியீட்டிலிருந்து அனைத்து சரங்களையும் கொண்ட ஒரு சரத்தைப் பெறலாம்.
இரண்டாவது தெளிவின்மை அல்காரிதம்
இந்த குடும்பத்தின் ஸ்னிஃபர்களின் பிற்கால மாதிரிகளில், வேறுபட்ட தெளிவின்மை பொறிமுறை பயன்படுத்தப்பட்டது: இந்த விஷயத்தில், சுயமாக எழுதப்பட்ட வழிமுறையைப் பயன்படுத்தி தரவு குறியாக்கம் செய்யப்பட்டது. ஸ்னிஃபர் இயங்குவதற்குத் தேவையான என்க்ரிப்ட் செய்யப்பட்ட தரவுகளைக் கொண்ட ஒரு சரம் டிக்ரிப்ஷன் செயல்பாட்டிற்கு ஒரு வாதமாக அனுப்பப்பட்டது.
உலாவி கன்சோலைப் பயன்படுத்தி, மறைகுறியாக்கப்பட்ட தரவை மறைகுறியாக்கலாம் மற்றும் ஸ்னிஃபர் ஆதாரங்களைக் கொண்ட வரிசையைப் பெறலாம்.
ஆரம்பகால MageCart தாக்குதல்களுக்கான இணைப்பு
திருடப்பட்ட தரவைச் சேகரிப்பதற்கான நுழைவாயிலாக குழுவால் பயன்படுத்தப்படும் டொமைன்களில் ஒன்றின் பகுப்பாய்வின் போது, இந்த டொமைன் கிரெடிட் கார்டு திருட்டுக்கான உள்கட்டமைப்பை வழங்கியது கண்டறியப்பட்டது, இது முதல் குழுக்களில் ஒன்றான குரூப் 1 பயன்படுத்தியதைப் போன்றது. RiskIQ நிபுணர்களால்.
ஸ்னிஃபர்களின் CoffeMokko குடும்பத்தில் இரண்டு கோப்புகள் காணப்பட்டன:
- mage.js — கேட் முகவரியுடன் குழு 1 ஸ்னிஃபர் குறியீட்டைக் கொண்ட கோப்பு js-cdn.link
- mag.php - ஸ்னிஃபரால் திருடப்பட்ட தரவைச் சேகரிப்பதற்கு PHP ஸ்கிரிப்ட் பொறுப்பு
mage.js கோப்பின் உள்ளடக்கங்கள்
ஸ்னிஃபர்களின் காஃபிமொக்கோ குடும்பத்திற்குப் பின்னால் உள்ள குழுவால் பயன்படுத்தப்பட்ட ஆரம்ப களங்கள் மே 17, 2017 அன்று பதிவு செய்யப்பட்டவை என்றும் தீர்மானிக்கப்பட்டது:
- link-js[.]இணைப்பு
- info-js[.]இணைப்பு
- track-js[.]இணைப்பு
- வரைபடம்-js[.]இணைப்பு
- smart-js[.]இணைப்பு
இந்த டொமைன் பெயர்களின் வடிவம் 1 தாக்குதல்களில் பயன்படுத்தப்பட்ட குரூப் 2016 டொமைன் பெயர்களுடன் பொருந்துகிறது.
கண்டுபிடிக்கப்பட்ட உண்மைகளின் அடிப்படையில், CoffeMokko ஸ்னிஃபர்களின் ஆபரேட்டர்களுக்கும் குற்றவியல் குழு 1 க்கும் இடையே தொடர்பு இருப்பதாகக் கருதலாம். மறைமுகமாக, CoffeMokko ஆபரேட்டர்கள் தங்கள் முன்னோடிகளிடமிருந்து கார்டுகளைத் திருடுவதற்கு கருவிகள் மற்றும் மென்பொருளை கடன் வாங்கியிருக்கலாம். இருப்பினும், CoffeMokko குடும்பத்தின் மோப்பநாய்களைப் பயன்படுத்தியதன் பின்னணியில், குரூப் 1 தாக்குதல்களை நடத்தியவர்கள் அதே நபர்களாக இருக்க வாய்ப்புகள் அதிகம்.குற்றவியல் குழுவின் நடவடிக்கைகள் குறித்த முதல் அறிக்கை வெளியானதைத் தொடர்ந்து, அவர்களின் அனைத்து டொமைன் பெயர்களும் தடுக்கப்பட்டது மற்றும் கருவிகள் விரிவாக ஆய்வு செய்யப்பட்டு விவரிக்கப்பட்டது. குழு தனது தாக்குதல்களைத் தொடரவும் மற்றும் கண்டறியப்படாமல் இருக்கவும் ஒரு இடைவெளி எடுக்கவும், அதன் உள் கருவிகளைச் செம்மைப்படுத்தவும், ஸ்னிஃபர் குறியீட்டை மீண்டும் எழுதவும் கட்டாயப்படுத்தப்பட்டது.
உள்கட்டமைப்பு
| Домен | கண்டுபிடிக்கப்பட்ட / தோன்றிய தேதி |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| செக்யூரிட்டி-பேமெண்ட்.சு | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| பூங்காக்கள்.சு | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffetea.org | 31.01.2018 |
| energycoffe.org | 31.01.2018 |
| energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| authorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitnesse.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
ஆதாரம்: www.habr.com