దాదాపు మనమందరం ఆన్లైన్ స్టోర్ల సేవలను ఉపయోగిస్తాము, అంటే త్వరలో లేదా తరువాత మేము జావాస్క్రిప్ట్ స్నిఫర్ల బారిన పడే ప్రమాదం ఉంది - దాడి చేసేవారు బ్యాంక్ కార్డ్ డేటా, చిరునామాలు, లాగిన్లు మరియు వినియోగదారుల పాస్వర్డ్లను దొంగిలించడానికి వెబ్సైట్లో అమలు చేసే ప్రత్యేక కోడ్ .
బ్రిటిష్ ఎయిర్వేస్ వెబ్సైట్ మరియు మొబైల్ అప్లికేషన్ యొక్క దాదాపు 400 మంది వినియోగదారులు ఇప్పటికే స్నిఫర్లచే ప్రభావితమయ్యారు, అలాగే స్పోర్ట్స్ దిగ్గజం FILA యొక్క బ్రిటిష్ వెబ్సైట్ మరియు అమెరికన్ టిక్కెట్ డిస్ట్రిబ్యూటర్ Ticketmaster సందర్శకులు ఇప్పటికే ప్రభావితమయ్యారు. PayPal, Chase Paymenttech, USAePay, Moneris - ఇవి మరియు అనేక ఇతర చెల్లింపు వ్యవస్థలు సోకాయి.
థ్రెట్ ఇంటెలిజెన్స్ గ్రూప్-IB విశ్లేషకుడు విక్టర్ ఒకోరోకోవ్ వెబ్సైట్ కోడ్లోకి చొరబడి చెల్లింపు సమాచారాన్ని దొంగిలించే స్నిఫర్లు ఎలా ఉంటాయో, అలాగే వారు ఏ CRMలపై దాడి చేస్తారో గురించి మాట్లాడుతున్నారు.
"దాచిన ముప్పు"
ఇది చాలా కాలం పాటు JS స్నిఫర్లు యాంటీ-వైరస్ విశ్లేషకుల దృష్టికి దూరంగా ఉండిపోయాయి మరియు బ్యాంకులు మరియు చెల్లింపు వ్యవస్థలు వాటిని తీవ్రమైన ముప్పుగా చూడలేదు. మరియు పూర్తిగా ఫలించలేదు. గ్రూప్-IB నిపుణులు
అధ్యయనం సమయంలో అధ్యయనం చేసిన స్నిఫర్ల యొక్క నాలుగు కుటుంబాలపై వివరంగా నివసిద్దాం.
ReactGet కుటుంబం
ఆన్లైన్ షాపింగ్ సైట్లలో బ్యాంక్ కార్డ్ డేటాను దొంగిలించడానికి ReactGet కుటుంబానికి చెందిన స్నిఫర్లను ఉపయోగిస్తారు. స్నిఫర్ సైట్లో ఉపయోగించే పెద్ద సంఖ్యలో వివిధ చెల్లింపు వ్యవస్థలతో పని చేయవచ్చు: ఒక పరామితి విలువ ఒక చెల్లింపు వ్యవస్థకు అనుగుణంగా ఉంటుంది మరియు స్నిఫర్ యొక్క వ్యక్తిగతంగా గుర్తించబడిన సంస్కరణలు ఆధారాలను దొంగిలించడానికి, అలాగే చెల్లింపు నుండి బ్యాంక్ కార్డ్ డేటాను దొంగిలించడానికి ఉపయోగించవచ్చు. యూనివర్సల్ స్నిఫర్ అని పిలవబడే అనేక చెల్లింపు వ్యవస్థల రూపాలు. కొన్ని సందర్భాల్లో, సైట్ యొక్క అడ్మినిస్ట్రేటివ్ ప్యానెల్కు ప్రాప్యతను పొందడానికి దాడి చేసేవారు ఆన్లైన్ స్టోర్ నిర్వాహకులపై ఫిషింగ్ దాడులను నిర్వహిస్తున్నట్లు కనుగొనబడింది.
ఈ స్నిఫర్ల కుటుంబాన్ని ఉపయోగించే ప్రచారం మే 2017లో ప్రారంభమైంది; CMS మరియు Magento, Bigcommerce మరియు Shopify ప్లాట్ఫారమ్లు నడుస్తున్న సైట్లు దాడి చేయబడ్డాయి.
ఆన్లైన్ స్టోర్ కోడ్లో ReactGet ఎలా అమలు చేయబడుతుంది
లింక్ ద్వారా స్క్రిప్ట్ యొక్క “క్లాసిక్” అమలుతో పాటు, స్నిఫర్ల యొక్క ReactGet కుటుంబానికి చెందిన ఆపరేటర్లు ప్రత్యేక సాంకేతికతను ఉపయోగిస్తారు: JavaScript కోడ్ని ఉపయోగించి, వారు వినియోగదారు ఉన్న ప్రస్తుత చిరునామా నిర్దిష్ట ప్రమాణాలకు అనుగుణంగా ఉందో లేదో తనిఖీ చేస్తారు. ప్రస్తుత URLలో సబ్స్ట్రింగ్ ఉన్నట్లయితే మాత్రమే హానికరమైన కోడ్ అమలు చేయబడుతుంది చెక్అవుట్ లేదా ఒక దశ చెక్అవుట్, ఒకపేజీ/, అవుట్/వన్పాగ్, చెక్అవుట్/ఒకటి, ckout/ఒకటి. అందువల్ల, వినియోగదారు కొనుగోళ్లకు చెల్లించడం మరియు సైట్లోని ఫారమ్లో చెల్లింపు సమాచారాన్ని నమోదు చేసిన సమయంలో స్నిఫర్ కోడ్ సరిగ్గా అమలు చేయబడుతుంది.
ఈ స్నిఫర్ ప్రామాణికం కాని సాంకేతికతను ఉపయోగిస్తుంది. బాధితురాలి చెల్లింపు మరియు వ్యక్తిగత డేటా కలిసి సేకరించబడతాయి మరియు ఉపయోగించి ఎన్కోడ్ చేయబడతాయి base64, ఆపై ఫలిత స్ట్రింగ్ దాడి చేసేవారి వెబ్సైట్కి అభ్యర్థనను పంపడానికి పారామీటర్గా ఉపయోగించబడుతుంది. చాలా తరచుగా, గేట్కు మార్గం జావాస్క్రిప్ట్ ఫైల్ను అనుకరిస్తుంది, ఉదాహరణకు resp.js, data.js మరియు మొదలైనవి, కానీ ఇమేజ్ ఫైల్లకు లింక్లు కూడా ఉపయోగించబడతాయి, GIF и JPG. ప్రత్యేకత ఏమిటంటే, స్నిఫర్ 1 బై 1 పిక్సెల్ని కొలిచే ఇమేజ్ ఆబ్జెక్ట్ను సృష్టిస్తుంది మరియు గతంలో అందుకున్న లింక్ను పారామీటర్గా ఉపయోగిస్తుంది. src చిత్రాలు. అంటే, వినియోగదారు కోసం ట్రాఫిక్లో అటువంటి అభ్యర్థన సాధారణ చిత్రం కోసం అభ్యర్థనలా కనిపిస్తుంది. స్నిఫర్ల ఇమేజ్ఐడి కుటుంబంలో ఇదే విధమైన సాంకేతికత ఉపయోగించబడింది. అదనంగా, 1 బై 1 పిక్సెల్ ఇమేజ్ని ఉపయోగించే సాంకేతికత అనేక చట్టబద్ధమైన ఆన్లైన్ విశ్లేషణల స్క్రిప్ట్లలో ఉపయోగించబడుతుంది, ఇది వినియోగదారుని తప్పుదారి పట్టించగలదు.
వెర్షన్ విశ్లేషణ
ReactGet స్నిఫర్ ఆపరేటర్లు ఉపయోగించే యాక్టివ్ డొమైన్ల విశ్లేషణ ఈ స్నిఫర్ల కుటుంబానికి చెందిన అనేక విభిన్న వెర్షన్లను వెల్లడించింది. సంస్కరణలు అస్పష్టత యొక్క ఉనికి లేదా లేకపోవడంతో విభిన్నంగా ఉంటాయి మరియు అదనంగా, ప్రతి స్నిఫర్ ఆన్లైన్ స్టోర్ల కోసం బ్యాంక్ కార్డ్ చెల్లింపులను ప్రాసెస్ చేసే నిర్దిష్ట చెల్లింపు వ్యవస్థ కోసం రూపొందించబడింది. సంస్కరణ సంఖ్యకు సంబంధించిన పరామితి యొక్క విలువ ద్వారా క్రమబద్ధీకరించబడిన తరువాత, గ్రూప్-IB నిపుణులు అందుబాటులో ఉన్న స్నిఫర్ వైవిధ్యాల యొక్క పూర్తి జాబితాను అందుకున్నారు మరియు పేజీ కోడ్లో ప్రతి స్నిఫర్ వెతుకుతున్న ఫారమ్ ఫీల్డ్ల పేర్ల ద్వారా, వారు చెల్లింపు వ్యవస్థలను గుర్తించారు. అని స్నిఫ్ఫర్ గురిపెట్టాడు.
స్నిఫర్ల జాబితా మరియు వాటికి సంబంధించిన చెల్లింపు వ్యవస్థలు
స్నిఫర్ URL | చెల్లింపు వ్యవస్థ |
---|---|
|
ఆథరైజ్.నెట్ |
కార్డ్సేవ్ | |
|
ఆథరైజ్.నెట్ |
ఆథరైజ్.నెట్ | |
|
eWAY రాపిడ్ |
ఆథరైజ్.నెట్ | |
Adyen | |
|
USAePay |
ఆథరైజ్.నెట్ | |
USAePay | |
|
ఆథరైజ్.నెట్ |
మోనెరిస్ | |
USAePay | |
పేపాల్ | |
సేజ్ పే | |
వెరిసైన్ | |
పేపాల్ | |
గీత | |
|
రియాలెక్స్ |
పేపాల్ | |
లింక్పాయింట్ | |
పేపాల్ | |
పేపాల్ | |
డేటాకాష్ | |
|
పేపాల్ |
|
ఆథరైజ్.నెట్ |
|
ఆథరైజ్.నెట్ |
ఆథరైజ్.నెట్ | |
ఆథరైజ్.నెట్ | |
|
వెరిసైన్ |
|
ఆథరైజ్.నెట్ |
మోనెరిస్ | |
|
సేజ్ పే |
|
USAePay |
|
ఆథరైజ్.నెట్ |
|
ఆథరైజ్.నెట్ |
|
ANZ eGate |
|
ఆథరైజ్.నెట్ |
|
మోనెరిస్ |
|
సేజ్ పే |
సేజ్ పే | |
|
చేజ్ Paymentech |
|
ఆథరైజ్.నెట్ |
|
Adyen |
PsiGate | |
సైబర్ మూలం | |
ANZ eGate | |
రియాలెక్స్ | |
|
USAePay |
|
ఆథరైజ్.నెట్ |
|
ఆథరైజ్.నెట్ |
|
ANZ eGate |
|
పేపాల్ |
|
పేపాల్ |
రియాలెక్స్ | |
|
సేజ్ పే |
|
పేపాల్ |
|
వెరిసైన్ |
ఆథరైజ్.నెట్ | |
|
వెరిసైన్ |
ఆథరైజ్.నెట్ | |
|
ANZ eGate |
పేపాల్ | |
సైబర్ మూలం | |
|
ఆథరైజ్.నెట్ |
|
సేజ్ పే |
రియాలెక్స్ | |
|
సైబర్ మూలం |
పేపాల్ | |
పేపాల్ | |
|
పేపాల్ |
|
వెరిసైన్ |
|
eWAY రాపిడ్ |
|
సేజ్ పే |
సేజ్ పే | |
|
వెరిసైన్ |
ఆథరైజ్.నెట్ | |
ఆథరైజ్.నెట్ | |
|
మొదటి డేటా గ్లోబల్ గేట్వే |
ఆథరైజ్.నెట్ | |
ఆథరైజ్.నెట్ | |
మోనెరిస్ | |
|
ఆథరైజ్.నెట్ |
|
పేపాల్ |
|
వెరిసైన్ |
|
USAePay |
USAePay | |
ఆథరైజ్.నెట్ | |
వెరిసైన్ | |
పేపాల్ | |
|
ఆథరైజ్.నెట్ |
గీత | |
|
ఆథరైజ్.నెట్ |
eWAY రాపిడ్ | |
|
సేజ్ పే |
ఆథరైజ్.నెట్ | |
|
బ్రేంట్రీ |
|
బ్రేంట్రీ |
|
పేపాల్ |
|
సేజ్ పే |
|
సేజ్ పే |
|
ఆథరైజ్.నెట్ |
|
పేపాల్ |
|
ఆథరైజ్.నెట్ |
వెరిసైన్ | |
|
పేపాల్ |
|
ఆథరైజ్.నెట్ |
|
గీత |
|
ఆథరైజ్.నెట్ |
eWAY రాపిడ్ | |
సేజ్ పే | |
|
ఆథరైజ్.నెట్ |
బ్రేంట్రీ | |
|
పేపాల్ |
|
సేజ్ పే |
సేజ్ పే | |
|
ఆథరైజ్.నెట్ |
పేపాల్ | |
ఆథరైజ్.నెట్ | |
|
వెరిసైన్ |
|
ఆథరైజ్.నెట్ |
|
ఆథరైజ్.నెట్ |
|
ఆథరైజ్.నెట్ |
|
ఆథరైజ్.నెట్ |
|
సేజ్ పే |
సేజ్ పే | |
|
వెస్ట్పాక్ పేవే |
|
పేఫోర్ట్ |
|
పేపాల్ |
|
ఆథరైజ్.నెట్ |
|
గీత |
|
మొదటి డేటా గ్లోబల్ గేట్వే |
|
PsiGate |
ఆథరైజ్.నెట్ | |
ఆథరైజ్.నెట్ | |
|
మోనెరిస్ |
|
ఆథరైజ్.నెట్ |
సేజ్ పే | |
|
వెరిసైన్ |
మోనెరిస్ | |
పేపాల్ | |
|
లింక్పాయింట్ |
|
వెస్ట్పాక్ పేవే |
ఆథరైజ్.నెట్ | |
|
మోనెరిస్ |
|
పేపాల్ |
Adyen | |
పేపాల్ | |
ఆథరైజ్.నెట్ | |
USAePay | |
EBizCharge | |
|
ఆథరైజ్.నెట్ |
|
వెరిసైన్ |
వెరిసైన్ | |
ఆథరైజ్.నెట్ | |
|
పేపాల్ |
|
మోనెరిస్ |
ఆథరైజ్.నెట్ | |
|
పేపాల్ |
పేపాల్ | |
వెస్ట్పాక్ పేవే | |
ఆథరైజ్.నెట్ | |
|
ఆథరైజ్.నెట్ |
సేజ్ పే | |
|
వెరిసైన్ |
|
ఆథరైజ్.నెట్ |
|
పేపాల్ |
|
పేఫోర్ట్ |
సైబర్ మూలం | |
పేపాల్ పేఫ్లో ప్రో | |
|
ఆథరైజ్.నెట్ |
|
ఆథరైజ్.నెట్ |
వెరిసైన్ | |
|
ఆథరైజ్.నెట్ |
|
ఆథరైజ్.నెట్ |
సేజ్ పే | |
ఆథరైజ్.నెట్ | |
|
గీత |
|
ఆథరైజ్.నెట్ |
ఆథరైజ్.నెట్ | |
వెరిసైన్ | |
|
పేపాల్ |
ఆథరైజ్.నెట్ | |
|
ఆథరైజ్.నెట్ |
సేజ్ పే | |
|
ఆథరైజ్.నెట్ |
|
ఆథరైజ్.నెట్ |
|
పేపాల్ |
|
ఫ్లింట్ |
|
పేపాల్ |
సేజ్ పే | |
వెరిసైన్ | |
|
ఆథరైజ్.నెట్ |
|
ఆథరైజ్.నెట్ |
|
గీత |
|
లావు జీబ్రా |
సేజ్ పే | |
|
ఆథరైజ్.నెట్ |
మొదటి డేటా గ్లోబల్ గేట్వే | |
|
ఆథరైజ్.నెట్ |
|
eWAY రాపిడ్ |
Adyen | |
|
పేపాల్ |
క్విక్బుక్స్ వ్యాపారి సేవలు | |
వెరిసైన్ | |
|
సేజ్ పే |
వెరిసైన్ | |
|
ఆథరైజ్.నెట్ |
|
ఆథరైజ్.నెట్ |
సేజ్ పే | |
|
ఆథరైజ్.నెట్ |
|
eWAY రాపిడ్ |
ఆథరైజ్.నెట్ | |
|
ANZ eGate |
|
పేపాల్ |
సైబర్ మూలం | |
|
ఆథరైజ్.నెట్ |
సేజ్ పే | |
|
రియాలెక్స్ |
సైబర్ మూలం | |
|
పేపాల్ |
|
పేపాల్ |
|
పేపాల్ |
|
వెరిసైన్ |
eWAY రాపిడ్ | |
|
సేజ్ పే |
|
సేజ్ పే |
|
వెరిసైన్ |
ఆథరైజ్.నెట్ | |
|
ఆథరైజ్.నెట్ |
|
మొదటి డేటా గ్లోబల్ గేట్వే |
ఆథరైజ్.నెట్ | |
ఆథరైజ్.నెట్ | |
|
మోనెరిస్ |
|
ఆథరైజ్.నెట్ |
|
పేపాల్ |
పాస్వర్డ్ స్నిఫర్
వెబ్సైట్ క్లయింట్ వైపు పనిచేసే జావాస్క్రిప్ట్ స్నిఫర్ల ప్రయోజనాల్లో ఒకటి వాటి బహుముఖ ప్రజ్ఞ: వెబ్సైట్లో పొందుపరిచిన హానికరమైన కోడ్ ఏదైనా రకమైన డేటాను దొంగిలించవచ్చు, అది చెల్లింపు డేటా లేదా వినియోగదారు ఖాతా యొక్క లాగిన్ మరియు పాస్వర్డ్ కావచ్చు. గ్రూప్-IB నిపుణులు ReactGet కుటుంబానికి చెందిన స్నిఫర్ యొక్క నమూనాను కనుగొన్నారు, ఇది సైట్ వినియోగదారుల ఇమెయిల్ చిరునామాలు మరియు పాస్వర్డ్లను దొంగిలించడానికి రూపొందించబడింది.
ImageID స్నిఫర్తో ఖండన
సోకిన స్టోర్లలో ఒకదానిని విశ్లేషించేటప్పుడు, దాని సైట్ రెండుసార్లు సోకినట్లు కనుగొనబడింది: ReactGet ఫ్యామిలీ స్నిఫర్ యొక్క హానికరమైన కోడ్తో పాటు, ImageID ఫ్యామిలీ స్నిఫర్ కోడ్ కనుగొనబడింది. రెండు స్నిఫర్ల వెనుక ఉన్న ఆపరేటర్లు హానికరమైన కోడ్ను ఇంజెక్ట్ చేయడానికి ఒకే విధమైన పద్ధతులను ఉపయోగిస్తున్నారని ఈ అతివ్యాప్తి సాక్ష్యం కావచ్చు.
యూనివర్సల్ స్నిఫర్
రియాక్ట్గెట్ స్నిఫర్ ఇన్ఫ్రాస్ట్రక్చర్తో అనుబంధించబడిన డొమైన్ పేర్లలో ఒకదాని యొక్క విశ్లేషణ, అదే వినియోగదారు మరో మూడు డొమైన్ పేర్లను నమోదు చేసినట్లు వెల్లడైంది. ఈ మూడు డొమైన్లు నిజ-జీవిత వెబ్సైట్ల డొమైన్లను అనుకరిస్తాయి మరియు గతంలో స్నిఫర్లను హోస్ట్ చేయడానికి ఉపయోగించబడ్డాయి. మూడు చట్టబద్ధమైన సైట్ల కోడ్ను విశ్లేషించేటప్పుడు, తెలియని స్నిఫర్ కనుగొనబడింది మరియు తదుపరి విశ్లేషణ అది ReactGet స్నిఫర్ యొక్క మెరుగైన సంస్కరణ అని చూపింది. ఈ కుటుంబ స్నిఫర్ల యొక్క మునుపు పర్యవేక్షించబడిన అన్ని సంస్కరణలు ఒకే చెల్లింపు వ్యవస్థను లక్ష్యంగా చేసుకున్నాయి, అంటే ప్రతి చెల్లింపు వ్యవస్థకు స్నిఫర్ యొక్క ప్రత్యేక సంస్కరణ అవసరం. అయితే, ఈ సందర్భంలో, ఆన్లైన్ చెల్లింపులు చేయడానికి 15 విభిన్న చెల్లింపు వ్యవస్థలు మరియు ఇ-కామర్స్ సైట్ల మాడ్యూళ్లకు సంబంధించిన ఫారమ్ల నుండి సమాచారాన్ని దొంగిలించగల సామర్థ్యం ఉన్న స్నిఫర్ యొక్క సార్వత్రిక సంస్కరణ కనుగొనబడింది.
కాబట్టి, పని ప్రారంభంలో, స్నిఫర్ బాధితుడి వ్యక్తిగత సమాచారాన్ని కలిగి ఉన్న ప్రాథమిక ఫారమ్ ఫీల్డ్ల కోసం శోధించాడు: పూర్తి పేరు, భౌతిక చిరునామా, ఫోన్ నంబర్.
స్నిఫర్ వివిధ చెల్లింపు వ్యవస్థలు మరియు ఆన్లైన్ చెల్లింపు మాడ్యూల్లకు సంబంధించిన 15 విభిన్న ప్రిఫిక్స్లను శోధించాడు.
తరువాత, బాధితుడి వ్యక్తిగత డేటా మరియు చెల్లింపు సమాచారం కలిసి సేకరించబడ్డాయి మరియు దాడి చేసేవారిచే నియంత్రించబడే సైట్కు పంపబడ్డాయి: ఈ ప్రత్యేక సందర్భంలో, యూనివర్సల్ రియాక్ట్గెట్ స్నిఫర్ యొక్క రెండు వెర్షన్లు కనుగొనబడ్డాయి, ఇవి రెండు హ్యాక్ చేయబడిన సైట్లలో ఉన్నాయి. అయితే, రెండు వెర్షన్లు దొంగిలించబడిన డేటాను ఒకే హ్యాక్ చేసిన సైట్కు పంపాయి zoobashop.com.
బాధితుల చెల్లింపు సమాచారాన్ని కలిగి ఉన్న ఫీల్డ్ల కోసం శోధించడానికి స్నిఫర్ ఉపయోగించిన ప్రిఫిక్స్ల విశ్లేషణ ఈ స్నిఫర్ నమూనా క్రింది చెల్లింపు వ్యవస్థలను లక్ష్యంగా చేసుకున్నట్లు నిర్ధారించడానికి మాకు అనుమతినిచ్చింది:
- ఆథరైజ్.నెట్
- వెరిసైన్
- మొదటి డేటా
- USAePay
- గీత
- పేపాల్
- ANZ eGate
- బ్రేంట్రీ
- డేటాక్యాష్ (మాస్టర్ కార్డ్)
- Realex చెల్లింపులు
- PsiGate
- హార్ట్ల్యాండ్ చెల్లింపు సిస్టమ్స్
చెల్లింపు సమాచారాన్ని దొంగిలించడానికి ఏ సాధనాలు ఉపయోగించబడతాయి?
దాడి చేసేవారి మౌలిక సదుపాయాల విశ్లేషణ సమయంలో కనుగొనబడిన మొదటి సాధనం, బ్యాంక్ కార్డ్ల దొంగతనానికి కారణమైన హానికరమైన స్క్రిప్ట్లను అస్పష్టం చేయడానికి ఉపయోగించబడుతుంది. ప్రాజెక్ట్ యొక్క CLIని ఉపయోగించి ఒక బాష్ స్క్రిప్ట్ దాడి చేసేవారి హోస్ట్లలో ఒకదానిలో కనుగొనబడింది
రెండవ కనుగొనబడిన సాధనం ప్రధాన స్నిఫర్ను లోడ్ చేయడానికి బాధ్యత వహించే కోడ్ని రూపొందించడానికి రూపొందించబడింది. ఈ సాధనం JavaScript కోడ్ను రూపొందిస్తుంది, ఇది స్ట్రింగ్ల కోసం వినియోగదారు యొక్క ప్రస్తుత చిరునామాను శోధించడం ద్వారా వినియోగదారు చెల్లింపు పేజీలో ఉన్నారో లేదో తనిఖీ చేస్తుంది చెక్అవుట్, కార్ట్ మరియు ఫలితం సానుకూలంగా ఉంటే, దాడి చేసేవారి సర్వర్ నుండి కోడ్ ప్రధాన స్నిఫర్ను లోడ్ చేస్తుంది. హానికరమైన కార్యకలాపాన్ని దాచడానికి, చెల్లింపు పేజీని నిర్ణయించడానికి టెస్ట్ లైన్లతో సహా అన్ని లైన్లు, అలాగే స్నిఫర్కి లింక్ను ఉపయోగించి ఎన్కోడ్ చేయబడతాయి. base64.
ఫిషింగ్ దాడులు
దాడి చేసేవారి నెట్వర్క్ ఇన్ఫ్రాస్ట్రక్చర్ యొక్క విశ్లేషణ, టార్గెట్ ఆన్లైన్ స్టోర్ యొక్క అడ్మినిస్ట్రేటివ్ ప్యానెల్కు యాక్సెస్ పొందడానికి క్రిమినల్ గ్రూప్ తరచుగా ఫిషింగ్ను ఉపయోగిస్తుందని వెల్లడించింది. దాడి చేసేవారు స్టోర్ డొమైన్ను పోలి ఉండే డొమైన్ను నమోదు చేస్తారు, ఆపై దానిపై నకిలీ Magento అడ్మినిస్ట్రేషన్ ప్యానెల్ లాగిన్ ఫారమ్ను అమలు చేస్తారు. విజయవంతమైతే, దాడి చేసేవారు Magento CMS యొక్క అడ్మినిస్ట్రేటివ్ ప్యానెల్కి యాక్సెస్ పొందుతారు, ఇది వెబ్సైట్ భాగాలను సవరించడానికి మరియు క్రెడిట్ కార్డ్ డేటాను దొంగిలించడానికి స్నిఫర్ను అమలు చేయడానికి వారికి అవకాశాన్ని ఇస్తుంది.
మౌలిక
Домен | కనుగొనబడిన/కనిపించిన తేదీ |
---|---|
mediapack.info | 04.05.2017 |
adsgetapi.com | 15.06.2017 |
simcounter.com | 14.08.2017 |
mageanalytics.com | 22.12.2017 |
maxstatics.com | 16.01.2018 |
reactjsapi.com | 19.01.2018 |
mxcounter.com | 02.02.2018 |
apitstatus.com | 01.03.2018 |
orderracker.com | 20.04.2018 |
tagstracking.com | 25.06.2018 |
adsapigate.com | 12.07.2018 |
Trust-tracker.com | 15.07.2018 |
fbstatspartner.com | 02.10.2018 |
billgetstatus.com | 12.10.2018 |
www.aldenmlilhouse.com | 20.10.2018 |
balletbeautlful.com | 20.10.2018 |
bargalnjunkie.com | 20.10.2018 |
payselector.com | 21.10.2018 |
tagsmediaget.com | 02.11.2018 |
hs-payments.com | 16.11.2018 |
ordercheckpays.com | 19.11.2018 |
geisseie.com | 24.11.2018 |
gtmproc.com | 29.11.2018 |
livegetpay.com | 18.12.2018 |
sydneysalonsupplies.com | 18.12.2018 |
newrelicnet.com | 19.12.2018 |
nr-public.com | 03.01.2019 |
cloudodesc.com | 04.01.2019 |
ajaxstatic.com | 11.01.2019 |
livecheckpay.com | 21.01.2019 |
asianfoodgracer.com | 25.01.2019 |
G-Analytics కుటుంబం
ఆన్లైన్ స్టోర్ల నుండి కస్టమర్ కార్డ్లను దొంగిలించడానికి ఈ స్నిఫర్ల కుటుంబం ఉపయోగించబడుతుంది. సమూహం ఉపయోగించే మొట్టమొదటి డొమైన్ పేరు ఏప్రిల్ 2016లో నమోదు చేయబడింది, ఇది సమూహం 2016 మధ్యలో కార్యాచరణను ప్రారంభించిందని సూచించవచ్చు.
ప్రస్తుత ప్రచారంలో, గుంపు Google Analytics మరియు j క్వెరీ వంటి నిజ-జీవిత సేవలను అనుకరించే డొమైన్ పేర్లను ఉపయోగిస్తుంది, చట్టబద్ధమైన స్క్రిప్ట్లు మరియు డొమైన్ పేర్లతో చట్టబద్ధమైన వాటితో సమానమైన డొమైన్ పేర్లతో స్నిఫర్ల కార్యాచరణను ముసుగు చేస్తుంది. Magento CMSని నడుపుతున్న సైట్లు దాడి చేయబడ్డాయి.
ఆన్లైన్ స్టోర్ కోడ్లో G-Analytics ఎలా అమలు చేయబడుతుంది
వినియోగదారు చెల్లింపు సమాచారాన్ని దొంగిలించడానికి వివిధ పద్ధతులను ఉపయోగించడం ఈ కుటుంబం యొక్క విలక్షణమైన లక్షణం. సైట్ యొక్క క్లయింట్ వైపు జావాస్క్రిప్ట్ కోడ్ యొక్క క్లాసిక్ ఇంజెక్షన్తో పాటు, క్రిమినల్ గ్రూప్ సైట్ యొక్క సర్వర్ వైపు కోడ్ ఇంజెక్షన్ పద్ధతులను కూడా ఉపయోగించింది, అవి వినియోగదారు నమోదు చేసిన డేటాను ప్రాసెస్ చేసే PHP స్క్రిప్ట్లు. ఈ సాంకేతికత ప్రమాదకరమైనది ఎందుకంటే ఇది హానికరమైన కోడ్ను గుర్తించడం మూడవ పక్షం పరిశోధకులకు కష్టతరం చేస్తుంది. గ్రూప్-IB నిపుణులు డొమైన్ను గేట్గా ఉపయోగించి సైట్ యొక్క PHP కోడ్లో పొందుపరిచిన స్నిఫర్ వెర్షన్ను కనుగొన్నారు dittm.org.
దొంగిలించబడిన డేటాను సేకరించడానికి అదే డొమైన్ను ఉపయోగించే స్నిఫర్ యొక్క ప్రారంభ వెర్షన్ కూడా కనుగొనబడింది dittm.org, కానీ ఈ సంస్కరణ ఆన్లైన్ స్టోర్ యొక్క క్లయింట్ వైపు ఇన్స్టాలేషన్ కోసం ఉద్దేశించబడింది.
సమూహం తరువాత దాని వ్యూహాలను మార్చుకుంది మరియు హానికరమైన కార్యకలాపాలు మరియు మభ్యపెట్టడాన్ని దాచడంపై ఎక్కువ దృష్టి పెట్టడం ప్రారంభించింది.
2017 ప్రారంభంలో, సమూహం డొమైన్ను ఉపయోగించడం ప్రారంభించింది jquery-js.com, j క్వెరీ కోసం CDN వలె మాస్క్వెరేడింగ్: దాడి చేసేవారి సైట్కి వెళ్లినప్పుడు, వినియోగదారు చట్టబద్ధమైన సైట్కి దారి మళ్లించబడతారు jquery.com.
మరియు 2018 మధ్యలో, సమూహం డొమైన్ పేరును స్వీకరించింది g-analytics.com మరియు స్నిఫర్ కార్యకలాపాలను చట్టబద్ధమైన Google Analytics సేవగా మరుగుపరచడం ప్రారంభించింది.
వెర్షన్ విశ్లేషణ
స్నిఫర్ కోడ్ని నిల్వ చేయడానికి ఉపయోగించే డొమైన్ల విశ్లేషణ సమయంలో, సైట్ పెద్ద సంఖ్యలో వెర్షన్లను కలిగి ఉందని కనుగొనబడింది, ఇది అస్పష్టత సమక్షంలో విభిన్నంగా ఉంటుంది, అలాగే దృష్టిని మరల్చడానికి ఫైల్కు జోడించబడని కోడ్ ఉనికి లేదా లేకపోవడం మరియు హానికరమైన కోడ్ను దాచండి.
సైట్లో మొత్తం jquery-js.com స్నిఫర్ల యొక్క ఆరు వెర్షన్లు గుర్తించబడ్డాయి. ఈ స్నిఫర్లు దొంగిలించబడిన డేటాను స్నిఫర్ ఉన్న అదే వెబ్సైట్లో ఉన్న చిరునామాకు పంపుతారు: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
తర్వాత డొమైన్ g-analytics.com, సమూహం 2018 మధ్య నుండి దాడులలో ఉపయోగించబడుతుంది, ఇది మరింత స్నిఫర్లకు రిపోజిటరీగా పనిచేస్తుంది. మొత్తంగా, స్నిఫర్ యొక్క 16 విభిన్న వెర్షన్లు కనుగొనబడ్డాయి. ఈ సందర్భంలో, దొంగిలించబడిన డేటాను పంపే గేట్ చిత్రం ఆకృతికి లింక్ వలె మారువేషంలో ఉంది GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
దొంగిలించబడిన డేటా యొక్క మానిటైజేషన్
కార్డుదారులకు సేవలను అందించే ప్రత్యేకంగా సృష్టించిన భూగర్భ దుకాణం ద్వారా కార్డులను విక్రయించడం ద్వారా నేర సమూహం దొంగిలించబడిన డేటాను మోనటైజ్ చేస్తుంది. దాడి చేసేవారు ఉపయోగించే డొమైన్ల విశ్లేషణ దానిని గుర్తించడానికి మాకు అనుమతినిచ్చింది google-analytics.cm డొమైన్ వలె అదే వినియోగదారు ద్వారా నమోదు చేయబడింది cardz.vc. డొమైన్ cardz.vc దొంగిలించబడిన బ్యాంకు కార్డుల కార్డ్సర్ఫ్లు (ఫ్లైసర్ఫ్లు) విక్రయించే దుకాణాన్ని సూచిస్తుంది, ఇది భూగర్భ ట్రేడింగ్ ప్లాట్ఫారమ్ ఆల్ఫాబే యొక్క కార్యకలాపాల రోజులలో స్నిఫర్ను ఉపయోగించి దొంగిలించబడిన బ్యాంకు కార్డులను విక్రయించే దుకాణంగా ప్రజాదరణ పొందింది.
డొమైన్ను విశ్లేషిస్తోంది విశ్లేషణాత్మకమైనది, దొంగిలించబడిన డేటాను సేకరించడానికి స్నిఫర్లు ఉపయోగించే డొమైన్ల మాదిరిగానే అదే సర్వర్లో ఉంది, గ్రూప్-IB నిపుణులు కుక్కీ స్టీలర్ లాగ్లను కలిగి ఉన్న ఫైల్ను కనుగొన్నారు, ఇది డెవలపర్చే తర్వాత వదిలివేయబడినట్లు కనిపిస్తుంది. లాగ్లోని ఒక ఎంట్రీ డొమైన్ను కలిగి ఉంది iozoz.com, ఇది గతంలో 2016లో యాక్టివ్గా ఉన్న స్నిఫర్లలో ఒకదానిలో ఉపయోగించబడింది. బహుశా, ఈ డొమైన్ను స్నిఫర్ని ఉపయోగించి దొంగిలించబడిన కార్డ్లను సేకరించడానికి దాడి చేసేవారు గతంలో ఉపయోగించారు. ఈ డొమైన్ ఇమెయిల్ చిరునామాకు నమోదు చేయబడింది [ఇమెయిల్ రక్షించబడింది], ఇది డొమైన్లను నమోదు చేయడానికి కూడా ఉపయోగించబడింది cardz.su и cardz.vc, కార్డింగ్ స్టోర్ కార్డ్సర్ఫ్లకు సంబంధించినది.
పొందిన డేటా ఆధారంగా, స్నిఫర్ల G-Analytics కుటుంబం మరియు బ్యాంక్ కార్డ్లను విక్రయించే భూగర్భ దుకాణం కార్డ్సర్ఫ్లు ఒకే వ్యక్తులచే నిర్వహించబడుతున్నాయని మరియు స్నిఫర్ని ఉపయోగించి దొంగిలించబడిన బ్యాంక్ కార్డ్లను విక్రయించడానికి స్టోర్ ఉపయోగించబడుతుందని భావించవచ్చు.
మౌలిక
Домен | కనుగొనబడిన/కనిపించిన తేదీ |
---|---|
iozoz.com | 08.04.2016 |
dittm.org | 10.09.2016 |
jquery-js.com | 02.01.2017 |
g-analytics.com | 31.05.2018 |
google-analytics.is | 21.11.2018 |
విశ్లేషణాత్మక.కు | 04.12.2018 |
google-analytics.to | 06.12.2018 |
google-analytics.cm | 28.12.2018 |
విశ్లేషణాత్మకమైనది | 28.12.2018 |
googlc-analytics.cm | 17.01.2019 |
ఇల్లమ్ కుటుంబం
Illum అనేది Magento CMSని నడుపుతున్న ఆన్లైన్ స్టోర్లపై దాడి చేయడానికి ఉపయోగించే స్నిఫర్ల కుటుంబం. హానికరమైన కోడ్ను పరిచయం చేయడంతో పాటు, ఈ స్నిఫర్ యొక్క ఆపరేటర్లు పూర్తి స్థాయి నకిలీ చెల్లింపు ఫారమ్ల పరిచయాన్ని కూడా ఉపయోగిస్తారు, ఇవి దాడి చేసేవారిచే నియంత్రించబడే గేట్లకు డేటాను పంపుతాయి.
ఈ స్నిఫర్ యొక్క ఆపరేటర్లు ఉపయోగించే నెట్వర్క్ మౌలిక సదుపాయాలను విశ్లేషించేటప్పుడు, పెద్ద సంఖ్యలో హానికరమైన స్క్రిప్ట్లు, దోపిడీలు, నకిలీ చెల్లింపు ఫారమ్లు, అలాగే పోటీదారుల నుండి హానికరమైన స్నిఫర్లతో ఉదాహరణల సేకరణ గుర్తించబడింది. సమూహం ఉపయోగించే డొమైన్ పేర్లు కనిపించే తేదీల గురించిన సమాచారం ఆధారంగా, ప్రచారం 2016 చివరిలో ప్రారంభమైందని భావించవచ్చు.
ఆన్లైన్ స్టోర్ కోడ్లో Illum ఎలా అమలు చేయబడుతుంది
కనుగొనబడిన స్నిఫర్ యొక్క మొదటి వెర్షన్లు నేరుగా రాజీపడిన సైట్ కోడ్లో పొందుపరచబడ్డాయి. దొంగిలించబడిన డేటా పంపబడింది cdn.illum[.]pw/records.php, గేట్ ఉపయోగించి ఎన్కోడ్ చేయబడింది base64.
తరువాత, స్నిఫర్ యొక్క ప్యాక్ చేయబడిన వెర్షన్ కనుగొనబడింది, అది వేరే గేట్ని ఉపయోగిస్తుంది - records.nstatistics[.]com/records.php.
ప్రకారం
దాడి చేసేవారి వెబ్సైట్ యొక్క విశ్లేషణ
గ్రూప్-IB నిపుణులు సాధనాలను నిల్వ చేయడానికి మరియు దొంగిలించబడిన సమాచారాన్ని సేకరించడానికి ఈ క్రిమినల్ గ్రూప్ ఉపయోగించే వెబ్సైట్ను కనుగొన్నారు మరియు విశ్లేషించారు.
దాడి చేసేవారి సర్వర్లో కనుగొనబడిన సాధనాలలో Linux OSలో అధికారాలను పెంచడానికి స్క్రిప్ట్లు మరియు దోపిడీలు ఉన్నాయి: ఉదాహరణకు, మైక్ జుమాక్ అభివృద్ధి చేసిన Linux ప్రివిలేజ్ ఎస్కలేషన్ చెక్ స్క్రిప్ట్, అలాగే CVE-2009-1185 కోసం దోపిడీ.
ఆన్లైన్ స్టోర్లపై దాడి చేయడానికి దాడి చేసేవారు నేరుగా రెండు దోపిడీలను ఉపయోగించారు:
అలాగే, సర్వర్ యొక్క విశ్లేషణ సమయంలో, స్నిఫర్ల యొక్క వివిధ నమూనాలు మరియు నకిలీ చెల్లింపు ఫారమ్లు కనుగొనబడ్డాయి, హ్యాక్ చేయబడిన సైట్ల నుండి చెల్లింపు సమాచారాన్ని సేకరించేందుకు దాడి చేసేవారు ఉపయోగించారు. మీరు దిగువ జాబితా నుండి చూడగలిగినట్లుగా, హ్యాక్ చేయబడిన ప్రతి సైట్ కోసం కొన్ని స్క్రిప్ట్లు ఒక్కొక్కటిగా సృష్టించబడతాయి, అయితే నిర్దిష్ట CMS మరియు చెల్లింపు గేట్వేల కోసం సార్వత్రిక పరిష్కారం ఉపయోగించబడింది. ఉదాహరణకు, స్క్రిప్ట్లు segapay_standart.js и segapay_onpage.js సేజ్ పే చెల్లింపు గేట్వేని ఉపయోగించి సైట్లలో అమలు కోసం రూపొందించబడింది.
వివిధ చెల్లింపు గేట్వేల కోసం స్క్రిప్ట్ల జాబితా
స్క్రిప్ట్ | చెల్లింపు గేట్వే |
---|---|
|
//request.payrightnow[.]cf/checkpayment.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
//request.payrightnow[.]cf/checkpayment.php | |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//cdn.illum[.]pw/records.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/checkpayment.php |
|
//cdn.illum[.]pw/records.php |
//request.payrightnow[.]cf/checkpayment.php | |
|
//cdn.illum[.]pw/records.php |
//payrightnow[.]cf/?payment= | |
|
//payrightnow[.]cf/?payment= |
|
//paymentnow[.]tk/?payment= |
హోస్ట్ ఇప్పుడు చెల్లింపు[.]tk, స్క్రిప్ట్లో గేట్గా ఉపయోగించబడుతుంది pay_forminsite.js, గా కనుగొనబడింది సబ్జెక్ట్ఆల్ట్ నేమ్ CloudFlare సేవకు సంబంధించిన అనేక ధృవపత్రాలలో. అదనంగా, హోస్ట్ స్క్రిప్ట్ను కలిగి ఉంది చెడు.js. స్క్రిప్ట్ పేరును బట్టి చూస్తే, ఇది CVE-2016-4010 యొక్క దోపిడీలో భాగంగా ఉపయోగించబడుతుంది, దీనికి ధన్యవాదాలు CMS Magento నడుస్తున్న సైట్ యొక్క ఫుటర్లోకి హానికరమైన కోడ్ను ఇంజెక్ట్ చేయడం సాధ్యమవుతుంది. హోస్ట్ ఈ స్క్రిప్ట్ని గేట్గా ఉపయోగించారు request.requestnet[.]tkహోస్ట్ వలె అదే ప్రమాణపత్రాన్ని ఉపయోగించడం ఇప్పుడు చెల్లింపు[.]tk.
నకిలీ చెల్లింపు ఫారమ్లు
దిగువ బొమ్మ కార్డ్ డేటాను నమోదు చేయడానికి ఒక ఫారమ్ యొక్క ఉదాహరణను చూపుతుంది. ఈ ఫారమ్ ఆన్లైన్ స్టోర్లోకి చొరబడి కార్డ్ డేటాను దొంగిలించడానికి ఉపయోగించబడింది.
ఈ చెల్లింపు పద్ధతితో సైట్లలోకి చొరబడేందుకు దాడి చేసేవారు ఉపయోగించిన నకిలీ PayPal చెల్లింపు ఫారమ్ యొక్క ఉదాహరణను క్రింది బొమ్మ చూపుతుంది.
మౌలిక
Домен | కనుగొనబడిన/కనిపించిన తేదీ |
---|---|
cdn.illum.pw | 27/11/2016 |
records.nstatistics.com | 06/09/2018 |
request.payrightnow.cf | 25/05/2018 |
paynow.tk | 16/07/2017 |
చెల్లింపు-line.tk | 01/03/2018 |
paypal.cf | 04/09/2017 |
requestnet.tk | 28/06/2017 |
కాఫీమొక్కో కుటుంబం
ఆన్లైన్ స్టోర్ వినియోగదారుల నుండి బ్యాంక్ కార్డ్లను దొంగిలించడానికి రూపొందించబడిన స్నిఫర్ల CoffeMokko కుటుంబం కనీసం మే 2017 నుండి వాడుకలో ఉంది. బహుశా, 1లో రిస్క్ఐక్యూ నిపుణులచే వివరించబడిన క్రిమినల్ గ్రూప్ 2016 ఈ కుటుంబ స్నిఫర్ల నిర్వాహకులు. Magento, OpenCart, WordPress, osCommerce మరియు Shopify వంటి CMSలను అమలు చేస్తున్న సైట్లు దాడి చేయబడ్డాయి.
ఆన్లైన్ స్టోర్ కోడ్లో CoffeMokko ఎలా అమలు చేయబడింది
ఈ కుటుంబానికి చెందిన ఆపరేటర్లు ప్రతి ఇన్ఫెక్షన్ కోసం ప్రత్యేకమైన స్నిఫర్లను సృష్టిస్తారు: స్నిఫర్ ఫైల్ డైరెక్టరీలో ఉంది src లేదా js దాడి చేసేవారి సర్వర్లో. సైట్ కోడ్లో ఇన్కార్పొరేషన్ అనేది స్నిఫర్కి డైరెక్ట్ లింక్ ద్వారా నిర్వహించబడుతుంది.
డేటాను దొంగిలించాల్సిన ఫారమ్ ఫీల్డ్ల పేర్లను స్నిఫర్ కోడ్ హార్డ్కోడ్ చేస్తుంది. వినియోగదారు ప్రస్తుత చిరునామాతో కీలక పదాల జాబితాను తనిఖీ చేయడం ద్వారా వినియోగదారు చెల్లింపు పేజీలో ఉన్నారో లేదో కూడా స్నిఫర్ తనిఖీ చేస్తుంది.
స్నిఫర్ యొక్క కొన్ని కనుగొనబడిన సంస్కరణలు అస్పష్టంగా ఉన్నాయి మరియు గుప్తీకరించిన స్ట్రింగ్ను కలిగి ఉన్నాయి, దీనిలో వనరుల యొక్క ప్రధాన శ్రేణి నిల్వ చేయబడుతుంది: ఇది వివిధ చెల్లింపు వ్యవస్థల కోసం ఫారమ్ ఫీల్డ్ల పేర్లను అలాగే దొంగిలించబడిన డేటాను పంపవలసిన గేట్ చిరునామాను కలిగి ఉంది.
దొంగిలించబడిన చెల్లింపు సమాచారం దాడి చేసేవారి సర్వర్లోని స్క్రిప్ట్కు పంపబడింది /savePayment/index.php లేదా /tr/index.php. బహుశా, ఈ స్క్రిప్ట్ గేట్ నుండి ప్రధాన సర్వర్కు డేటాను పంపడానికి ఉపయోగించబడుతుంది, ఇది అన్ని స్నిఫర్ల నుండి డేటాను ఏకీకృతం చేస్తుంది. ప్రసారం చేయబడిన డేటాను దాచడానికి, బాధితుని యొక్క మొత్తం చెల్లింపు సమాచారం ఉపయోగించి ఎన్క్రిప్ట్ చేయబడుతుంది base64, ఆపై అనేక అక్షర ప్రత్యామ్నాయాలు జరుగుతాయి:
- "e" అక్షరం ":"తో భర్తీ చేయబడింది
- "w" గుర్తు "+"తో భర్తీ చేయబడింది
- "o" అక్షరం "%"తో భర్తీ చేయబడింది
- "d" అక్షరం "#"తో భర్తీ చేయబడింది
- "a" అక్షరం "-"తో భర్తీ చేయబడింది
- "7" గుర్తు "^"తో భర్తీ చేయబడింది
- "h" అక్షరం "_"తో భర్తీ చేయబడింది
- "T" గుర్తు "@"తో భర్తీ చేయబడింది
- "0" అక్షరం "/"తో భర్తీ చేయబడింది
- "Y" అక్షరం "*"తో భర్తీ చేయబడింది
ఉపయోగించి ఎన్కోడ్ చేయబడిన అక్షర ప్రత్యామ్నాయాల ఫలితంగా base64 రివర్స్ కన్వర్షన్ చేయకుండా డేటా డీకోడ్ చేయబడదు.
అస్పష్టంగా లేని స్నిఫర్ కోడ్ యొక్క భాగం ఇలా కనిపిస్తుంది:
మౌలిక సదుపాయాల విశ్లేషణ
ప్రారంభ ప్రచారాలలో, దాడి చేసేవారు చట్టబద్ధమైన ఆన్లైన్ షాపింగ్ సైట్ల మాదిరిగానే డొమైన్ పేర్లను నమోదు చేసుకున్నారు. వారి డొమైన్ చట్టబద్ధమైన ఒకటి లేదా మరొక TLDకి భిన్నంగా ఉండవచ్చు. స్నిఫర్ కోడ్ని నిల్వ చేయడానికి నమోదిత డొమైన్లు ఉపయోగించబడ్డాయి, దీనికి లింక్ స్టోర్ కోడ్లో పొందుపరచబడింది.
ఈ గుంపు ప్రసిద్ధ j క్వెరీ ప్లగిన్లను గుర్తుకు తెచ్చే డొమైన్ పేర్లను కూడా ఉపయోగించింది (slickjs[.]org ప్లగిన్ని ఉపయోగించే సైట్ల కోసం slick.js), చెల్లింపు గేట్వేలు (sagecdn[.]org సేజ్ పే చెల్లింపు వ్యవస్థను ఉపయోగించే సైట్ల కోసం).
తరువాత, సమూహం డొమైన్లను సృష్టించడం ప్రారంభించింది, దీని పేర్లకు స్టోర్ డొమైన్ లేదా స్టోర్ థీమ్తో సంబంధం లేదు.
ప్రతి డొమైన్ డైరెక్టరీ సృష్టించబడిన సైట్కు అనుగుణంగా ఉంటుంది /js లేదా /src. స్నిఫర్ స్క్రిప్ట్లు ఈ డైరెక్టరీలో నిల్వ చేయబడ్డాయి: ప్రతి కొత్త ఇన్ఫెక్షన్కు ఒక స్నిఫర్. ప్రత్యక్ష లింక్ ద్వారా స్నిఫర్ వెబ్సైట్ కోడ్లో పొందుపరచబడింది, కానీ అరుదైన సందర్భాల్లో, దాడి చేసేవారు వెబ్సైట్ ఫైల్లలో ఒకదానిని సవరించారు మరియు దానికి హానికరమైన కోడ్ని జోడించారు.
కోడ్ విశ్లేషణ
మొదటి అస్పష్టత అల్గోరిథం
ఈ కుటుంబానికి చెందిన స్నిఫర్ల యొక్క కొన్ని కనుగొనబడిన నమూనాలలో, కోడ్ అస్పష్టంగా ఉంది మరియు స్నిఫర్ పని చేయడానికి అవసరమైన ఎన్క్రిప్టెడ్ డేటాను కలిగి ఉంది: ప్రత్యేకించి, స్నిఫర్ గేట్ చిరునామా, చెల్లింపు ఫారమ్ ఫీల్డ్ల జాబితా మరియు కొన్ని సందర్భాల్లో, నకిలీ కోడ్ చెల్లింపు రూపం. ఫంక్షన్ లోపల కోడ్లో, వనరులు ఉపయోగించి ఎన్క్రిప్ట్ చేయబడ్డాయి XOR అదే ఫంక్షన్కి ఆర్గ్యుమెంట్గా పాస్ చేసిన కీ ద్వారా.
ప్రతి నమూనాకు ప్రత్యేకమైన, తగిన కీతో స్ట్రింగ్ను డీక్రిప్ట్ చేయడం ద్వారా, మీరు సెపరేటర్ క్యారెక్టర్ ద్వారా వేరు చేయబడిన స్నిఫర్ కోడ్ నుండి అన్ని స్ట్రింగ్లను కలిగి ఉన్న స్ట్రింగ్ను పొందవచ్చు.
రెండవ అస్పష్టత అల్గోరిథం
ఈ కుటుంబానికి చెందిన స్నిఫర్ల యొక్క తరువాతి నమూనాలలో, వేరే అస్పష్టత విధానం ఉపయోగించబడింది: ఈ సందర్భంలో, స్వీయ-వ్రాత అల్గోరిథం ఉపయోగించి డేటా గుప్తీకరించబడింది. స్నిఫర్ ఆపరేట్ చేయడానికి అవసరమైన ఎన్క్రిప్టెడ్ డేటాను కలిగి ఉన్న స్ట్రింగ్ డిక్రిప్షన్ ఫంక్షన్కు ఆర్గ్యుమెంట్గా పంపబడింది.
బ్రౌజర్ కన్సోల్ని ఉపయోగించి, మీరు గుప్తీకరించిన డేటాను డీక్రిప్ట్ చేయవచ్చు మరియు స్నిఫర్ వనరులను కలిగి ఉన్న శ్రేణిని పొందవచ్చు.
ప్రారంభ MageCart దాడులకు కనెక్షన్
దొంగిలించబడిన డేటాను సేకరించడానికి ఒక గేట్వేగా సమూహం ఉపయోగించే డొమైన్లలో ఒకదానిని విశ్లేషించేటప్పుడు, ఈ డొమైన్ మొదటి సమూహాలలో ఒకటైన గ్రూప్ 1 ఉపయోగించిన మాదిరిగానే క్రెడిట్ కార్డ్ దొంగతనానికి సంబంధించిన మౌలిక సదుపాయాలను హోస్ట్ చేసినట్లు కనుగొనబడింది.
కాఫీమొక్కో కుటుంబ స్నిఫర్ల హోస్ట్లో రెండు ఫైల్లు కనుగొనబడ్డాయి:
- mage.js — గేట్ చిరునామాతో గ్రూప్ 1 స్నిఫర్ కోడ్ని కలిగి ఉన్న ఫైల్ js-cdn.link
- mag.php — స్నిఫర్ దొంగిలించిన డేటాను సేకరించే బాధ్యత PHP స్క్రిప్ట్
mage.js ఫైల్ యొక్క కంటెంట్లు
CoffeMokko కుటుంబంలోని స్నిఫర్ల వెనుక ఉన్న సమూహం ఉపయోగించిన తొలి డొమైన్లు మే 17, 2017న నమోదు చేయబడినట్లు కూడా నిర్ధారించబడింది:
- లింక్-js[.]లింక్
- info-js[.]లింక్
- ట్రాక్-js[.]లింక్
- map-js[.]లింక్
- smart-js[.]లింక్
ఈ డొమైన్ పేర్ల ఫార్మాట్ 1 దాడులలో ఉపయోగించిన గ్రూప్ 2016 డొమైన్ పేర్లతో సరిపోలుతుంది.
కనుగొనబడిన వాస్తవాల ఆధారంగా, CoffeMokko స్నిఫర్లు మరియు క్రిమినల్ గ్రూప్ 1 యొక్క ఆపరేటర్ల మధ్య సంబంధం ఉందని భావించవచ్చు. బహుశా, CoffeMokko ఆపరేటర్లు కార్డ్లను దొంగిలించడానికి వారి పూర్వీకుల నుండి టూల్స్ మరియు సాఫ్ట్వేర్లను అరువుగా తీసుకుని ఉండవచ్చు. అయితే, CoffeMokko కుటుంబ స్నిఫర్లను ఉపయోగించడం వెనుక గ్రూప్ 1 దాడులకు పాల్పడిన వ్యక్తులే ఎక్కువగా ఉండే అవకాశం ఉంది.క్రిమినల్ గ్రూప్ కార్యకలాపాలపై మొదటి నివేదికను ప్రచురించిన తర్వాత, వారి డొమైన్ పేర్లన్నీ నిరోధించబడింది మరియు సాధనాలు వివరంగా అధ్యయనం చేయబడ్డాయి మరియు వివరించబడ్డాయి. సమూహం దాని దాడులను కొనసాగించడానికి మరియు గుర్తించబడకుండా ఉండటానికి విరామం తీసుకోవలసి వచ్చింది, దాని అంతర్గత సాధనాలను మెరుగుపరుస్తుంది మరియు స్నిఫర్ కోడ్ను తిరిగి వ్రాయవలసి వచ్చింది.
మౌలిక
Домен | కనుగొనబడిన/కనిపించిన తేదీ |
---|---|
లింక్-js.link | 17.05.2017 |
info-js.link | 17.05.2017 |
ట్రాక్-js.link | 17.05.2017 |
map-js.link | 17.05.2017 |
smart-js.link | 17.05.2017 |
adorebeauty.org | 03.09.2017 |
సెక్యూరిటీ-చెల్లింపు.సు | 03.09.2017 |
braincdn.org | 04.09.2017 |
sagecdn.org | 04.09.2017 |
slickjs.org | 04.09.2017 |
oakandfort.org | 10.09.2017 |
citywlnery.org | 15.09.2017 |
dobell.su | 04.10.2017 |
childrensplayclothing.org | 31.10.2017 |
jewsondirect.com | 05.11.2017 |
shop-rnib.org | 15.11.2017 |
closetlondon.org | 16.11.2017 |
misshaus.org | 28.11.2017 |
battery-force.org | 01.12.2017 |
kik-vape.org | 01.12.2017 |
greatfurnituretradingco.org | 02.12.2017 |
etradesupply.org | 04.12.2017 |
replacemyremote.org | 04.12.2017 |
all-about-sneakers.org | 05.12.2017 |
mage-checkout.org | 05.12.2017 |
nililotan.org | 07.12.2017 |
lamoodbighat.net | 08.12.2017 |
walletgear.org | 10.12.2017 |
dahlie.org | 12.12.2017 |
davidsfootwear.org | 20.12.2017 |
blackriverimaging.org | 23.12.2017 |
exrpesso.org | 02.01.2018 |
ఉద్యానవనాలు.సు | 09.01.2018 |
pmtonline.su | 12.01.2018 |
otocap.org | 15.01.2018 |
christohperward.org | 27.01.2018 |
coffetea.org | 31.01.2018 |
energycoffe.org | 31.01.2018 |
energytea.org | 31.01.2018 |
teacoffe.net | 31.01.2018 |
adaptivecss.org | 01.03.2018 |
coffemokko.com | 01.03.2018 |
londontea.net | 01.03.2018 |
ukcoffe.com | 01.03.2018 |
labbe.biz | 20.03.2018 |
batterynart.com | 03.04.2018 |
btosports.net | 09.04.2018 |
chicksaddlery.net | 16.04.2018 |
paypaypay.org | 11.05.2018 |
ar500arnor.com | 26.05.2018 |
authorizecdn.com | 28.05.2018 |
slickmin.com | 28.05.2018 |
bannerbuzz.info | 03.06.2018 |
kandypens.net | 08.06.2018 |
mylrendyphone.com | 15.06.2018 |
freshchat.info | 01.07.2018 |
3lift.org | 02.07.2018 |
abtasty.net | 02.07.2018 |
mechat.info | 02.07.2018 |
zoplm.com | 02.07.2018 |
zapaljs.com | 02.09.2018 |
foodandcot.com | 15.09.2018 |
freshdepor.com | 15.09.2018 |
swappastore.com | 15.09.2018 |
verywellfitnesse.com | 15.09.2018 |
elegrina.com | 18.11.2018 |
majsurplus.com | 19.11.2018 |
top5value.com | 19.11.2018 |
మూలం: www.habr.com