Қариб ҳамаи мо аз хидматҳои мағозаҳои интернетӣ истифода мебарем, ки ин маънои онро дорад, ки дер ё зуд мо хатари қурбонии снайферҳои JavaScript - рамзи махсусро дорем, ки ҳамлагарон дар вебсайт барои дуздии маълумоти корти бонкӣ, суроғаҳо, логинҳо ва паролҳои корбарон истифода мебаранд. .
Тақрибан 400 000 корбарони вебсайт ва замимаи мобилии British Airways алакай зери таъсири бӯйгирон, инчунин меҳмонони вебсайти бритониёии азими варзишии FILA ва паҳнкунандаи чиптаҳои амрикоии Ticketmaster осеб дидаанд. PayPal, Chase Paymenttech, USAePay, Moneris - ин ва бисёр дигар системаҳои пардохт сироят шудаанд.
Таҳлилгари Threat Intelligence Group-IB Виктор Окороков дар бораи он, ки чӣ тавр бӯйгирҳо ба рамзи вебсайт ворид мешаванд ва маълумоти пардохтро медузданд ва инчунин ба кадом CRM-ҳои онҳо ҳамла мекунанд, нақл мекунад.
"Таҳдиди пинҳонӣ"
Чунин рӯй дод, ки барои муддати тӯлонӣ sniffers JS аз назари таҳлилгарони антивирус дур монданд ва бонкҳо ва системаҳои пардохт онҳоро ҳамчун таҳдиди ҷиддӣ намедонанд. Ва комилан бефоида. Коршиносони Group-IB 2440 мағозаи онлайни сироятшуда, ки меҳмонони онҳо - ҳамагӣ тақрибан 1,5 миллион нафар дар як рӯз - хатари созиш буданд. Дар байни қурбониён на танҳо корбарон, балки мағозаҳои интернетӣ, системаҳои пардохт ва бонкҳое низ ҳастанд, ки кортҳои осебдидаро баровардаанд.
Group-IB аввалин омӯзиши бозори торикнет барои снайфёрҳо, инфрасохтор ва усулҳои монетизатсияи онҳо гардид, ки ба созандагони онҳо миллионҳо доллар меорад. Мо 38 оилаи бӯйгиронро муайян кардем, ки танҳо 12-тои онҳо қаблан ба тадқиқотчиён маълум буд.
Биёед дар бораи чор оилаи бӯйгироне, ки дар рафти тадқиқот омӯхта шудаанд, муфассал истода гузарем.
ReactGet Family
Sniffers аз оилаи ReactGet барои дуздидани маълумоти корти бонкӣ дар сайтҳои хариди онлайн истифода мешаванд. Снайффер метавонад бо шумораи зиёди системаҳои гуногуни пардохтие, ки дар сайт истифода мешаванд, кор кунад: як арзиши параметр ба як системаи пардохт мувофиқат мекунад ва версияҳои инфиродии ошкоршудаи снайфер метавонанд барои дуздидани маълумоти корт истифода шаванд, инчунин барои дуздидани маълумоти корти бонкӣ аз пардохт шаклҳои якчанд системаҳои пардохт дар як вақт, ба монанди sniffer универсалӣ. Муайян карда шуд, ки дар баъзе мавридҳо ҳамлагарон ба маъмурони мағозаҳои онлайн бо мақсади дастрасӣ ба панели маъмурии сайт ҳамлаҳои фишингӣ анҷом медиҳанд.
Маъракаи бо истифода аз ин оилаи снайферҳо моҳи майи соли 2017 оғоз ёфт; сайтҳое, ки платформаҳои CMS ва Magento, Bigcommerce ва Shopify доранд, ҳамла карда шуданд.
Чӣ тавр ReactGet ба рамзи мағозаи онлайн татбиқ карда мешавад
Илова бар татбиқи "классикӣ"-и скрипт тавассути истинод, операторони оилаи бӯйгирони ReactGet аз техникаи махсус истифода мебаранд: бо истифода аз коди JavaScript, онҳо тафтиш мекунанд, ки оё суроғаи ҷории корбар дар он ҷо ба меъёрҳои муайян мувофиқат мекунад. Рамзи зараровар танҳо дар сурати мавҷуд будани зерсатри дар URL-и ҷорӣ иҷро карда мешавад тафтиш ё як қадам тафтиш, як саҳифа/, берун/як саҳифа, кассири / як, скаут/як. Ҳамин тариқ, коди снайфер маҳз дар лаҳзае иҷро карда мешавад, ки корбар ба пардохт барои харид оғоз мекунад ва маълумоти пардохтро ба варақаи сайт ворид мекунад.
Ин снифер техникаи гайристандартиро истифода мебарад. Пардохти ҷабрдида ва маълумоти шахсӣ якҷоя ҷамъоварӣ ва рамзгузорӣ карда мешавад пойгоҳи64, ва он гоҳ сатри натиҷавӣ ҳамчун параметр барои фиристодани дархост ба вебсайти ҳамлагарон истифода мешавад. Аксар вақт, роҳ ба дарвоза, масалан, ба файли JavaScript тақлид мекунад resp.js, data.js ва ғайра, аммо истинодҳо ба файлҳои тасвирӣ низ истифода мешаванд, GIF и JPG. Хусусият дар он аст, ки снайфер объекти тасвирии андозаи 1 ба 1 пикселро эҷод мекунад ва истиноди қаблан гирифташударо ҳамчун параметр истифода мебарад СРС Тасвирҳо. Яъне барои корбар чунин дархост дар трафик ба дархост барои тасвири оддӣ монанд хоҳад буд. Як техникаи шабеҳ дар оилаи снайферҳои ImageID истифода шудааст. Илова бар ин, техникаи истифодаи тасвири 1 ба 1 пиксел дар бисёр скриптҳои қонунии таҳлилии онлайн истифода мешавад, ки он инчунин метавонад корбарро гумроҳ кунад.
Таҳлили версия
Таҳлили доменҳои фаъоле, ки операторони Sniffer ReactGet истифода мебаранд, версияҳои зиёди ин оилаи снайферҳоро ошкор карданд. Версияҳо бо мавҷудият ё набудани иштибоҳ фарқ мекунанд ва илова бар ин, ҳар як снайффер барои системаи мушаххаси пардохт тарҳрезӣ шудааст, ки пардохтҳои кортҳои бонкиро барои мағозаҳои онлайн коркард мекунад. Мутахассисони Group-IB арзиши параметри мувофиқи рақами версияро ҷудо карда, рӯйхати пурраи вариантҳои дастраси sniffer-ро гирифтанд ва аз рӯи номҳои майдонҳои форма, ки ҳар як снайфер дар коди саҳифа ҷустуҷӯ мекунад, онҳо системаҳои пардохтро муайян карданд. ки чанговар ба он нигаронида шудааст.
Рӯйхати снайферҳо ва системаҳои пардохтии онҳо
| URL Sniffer | Низоми пардохт |
|---|---|
| Authorize.Net | |
| Захираи корт | |
| Authorize.Net | |
| Authorize.Net | |
| eWAY Rapid | |
| Authorize.Net | |
| Адиба | |
| USAePay | |
| Authorize.Net | |
| USAePay | |
| Authorize.Net | |
| Монерис | |
| USAePay | |
| PayPal | |
| SagePay | |
| Verisign | |
| PayPal | |
| хат | |
| Реалекс | |
| PayPal | |
| LinkPoint | |
| PayPal | |
| PayPal | |
| DataCash | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Монерис | |
| SagePay | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| Authorize.Net | |
| Монерис | |
| SagePay | |
| SagePay | |
| Chase Paymentech | |
| Authorize.Net | |
| Адиба | |
| PsiGate | |
| Манбаи киберӣ | |
| ANZ eGate | |
| Реалекс | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| Реалекс | |
| SagePay | |
| PayPal | |
| Verisign | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Манбаи киберӣ | |
| Authorize.Net | |
| SagePay | |
| Реалекс | |
| Манбаи киберӣ | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Rapid | |
| SagePay | |
| SagePay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Аввалин Gateway Global Data | |
| Authorize.Net | |
| Authorize.Net | |
| Монерис | |
| Authorize.Net | |
| PayPal | |
| Verisign | |
| USAePay | |
| USAePay | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| хат | |
| Authorize.Net | |
| eWAY Rapid | |
| SagePay | |
| Authorize.Net | |
| Braintree | |
| Braintree | |
| PayPal | |
| SagePay | |
| SagePay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| хат | |
| Authorize.Net | |
| eWAY Rapid | |
| SagePay | |
| Authorize.Net | |
| Braintree | |
| PayPal | |
| SagePay | |
| SagePay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| SagePay | |
| Westpac PayWay | |
| PayFort | |
| PayPal | |
| Authorize.Net | |
| хат | |
| Аввалин Gateway Global Data | |
| PsiGate | |
| Authorize.Net | |
| Authorize.Net | |
| Монерис | |
| Authorize.Net | |
| SagePay | |
| Verisign | |
| Монерис | |
| PayPal | |
| LinkPoint | |
| Westpac PayWay | |
| Authorize.Net | |
| Монерис | |
| PayPal | |
| Адиба | |
| PayPal | |
| Authorize.Net | |
| USAePay | |
| EBizCharge | |
| Authorize.Net | |
| Verisign | |
| Verisign | |
| Authorize.Net | |
| PayPal | |
| Монерис | |
| Authorize.Net | |
| PayPal | |
| PayPal | |
| Westpac PayWay | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Verisign | |
| Authorize.Net | |
| PayPal | |
| PayFort | |
| Манбаи киберӣ | |
| PayPal Payflow Pro | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| хат | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| Authorize.Net | |
| PayPal | |
| Флинт | |
| PayPal | |
| SagePay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| хат | |
| Зебраи фарбеҳ | |
| SagePay | |
| Authorize.Net | |
| Аввалин Gateway Global Data | |
| Authorize.Net | |
| eWAY Rapid | |
| Адиба | |
| PayPal | |
| Хизматрасонии савдои QuickBooks | |
| Verisign | |
| SagePay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| SagePay | |
| Authorize.Net | |
| eWAY Rapid | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Манбаи киберӣ | |
| Authorize.Net | |
| SagePay | |
| Реалекс | |
| Манбаи киберӣ | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Rapid | |
| SagePay | |
| SagePay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Аввалин Gateway Global Data | |
| Authorize.Net | |
| Authorize.Net | |
| Монерис | |
| Authorize.Net | |
| PayPal |
Снайфери парол
Яке аз бартариҳои снайферҳои JavaScript, ки дар паҳлӯи муштарии вебсайт кор мекунанд, гуногунҷанбаи онҳост: рамзи зарароваре, ки дар вебсайт ҷойгир шудааст, метавонад ҳама гуна маълумотро дуздад, хоҳ маълумоти пардохт ё логин ва пароли ҳисоби корбар. Мутахассисони Group-IB намунаи снайфери мутааллиқ ба оилаи ReactGet-ро кашф карданд, ки барои дуздидани суроғаҳои почтаи электронӣ ва паролҳои корбарони сайт пешбинӣ шудааст.
Чорабинӣ бо sniffer ImageID
Ҳангоми таҳлили яке аз мағозаҳои сироятшуда маълум шуд, ки вебсайти он ду маротиба сироят ёфтааст: ба ҷуз коди зараровари снайфери оилавии ReactGet, рамзи оилаи sniffer ImageID ошкор шудааст. Ин такрорӣ метавонад далели он бошад, ки операторони паси ҳарду sniffers усулҳои шабеҳро барои ворид кардани рамзи зараровар истифода мебаранд.
Снайфтори универсалӣ
Таҳлили яке аз номҳои домейнҳои марбут ба инфрасохтори sniffer ReactGet нишон дод, ки ҳамон корбар се номи домени дигарро сабти ном кардааст. Ин се домен ба доменҳои вебсайтҳои воқеӣ тақлид мекарданд ва қаблан барои мизбони бӯйгирон истифода мешуданд. Ҳангоми таҳлили рамзи се сайти қонунӣ як бӯйгари номаълум ошкор шуд ва таҳлили минбаъда нишон дод, ки он версияи мукаммали sniffer ReactGet мебошад. Ҳама версияҳои қаблан назоратшавандаи ин оилаи снайферҳо ба як низоми ягонаи пардохт нигаронида шуда буданд, яъне ҳар як низоми пардохт версияи махсуси снайферро талаб мекард. Аммо дар ин маврид версияи универсалии снайфер кашф шуд, ки қодир аст маълумотро аз варақаҳои марбут ба 15 низоми пардохт ва модулҳои сайтҳои тиҷорати электронӣ барои анҷоми пардохтҳои онлайн дуздад.
Ҳамин тариқ, дар оғози кор, снайфер майдонҳои асосии формаро, ки дорои маълумоти шахсии ҷабрдида мебошанд, ҷустуҷӯ кард: номи пурра, суроғаи ҷисмонӣ, рақами телефон.
Сипас бӯйгир зиёда аз 15 префикси гуногунро, ки ба системаҳои гуногуни пардохт ва модулҳои пардохти онлайн мувофиқанд, ҷустуҷӯ кард.
Сипас, маълумоти шахсии ҷабрдида ва маълумоти пардохт дар якҷоягӣ ҷамъоварӣ карда шуда, ба сайте, ки ҳамлагар назорат мекунад, фиристода шуд: дар ин ҳолат, ду версияи sniffer универсалии ReactGet кашф карда шуд, ки дар ду сайти гуногуни ҳакерӣ ҷойгиранд. Бо вуҷуди ин, ҳарду версия маълумоти дуздидашударо ба як сайти ҳакершуда фиристодаанд zoobashop.com.
Таҳлили префиксҳое, ки снайфер барои ҷустуҷӯи майдонҳои дорои маълумоти пардохти ҷабрдида истифода мешуд, ба мо имкон дод, ки муайян кунем, ки ин намунаи снайфер ба системаҳои пардохтии зерин нигаронида шудааст:
- Authorize.Net
- Verisign
- Маълумоти аввал
- USAePay
- хат
- PayPal
- ANZ eGate
- Braintree
- DataCash (MasterCard)
- Пардохтҳои Realex
- PsiGate
- Системаҳои пардохти Heartland
Кадом воситаҳо барои дуздидани маълумоти пардохт истифода мешаванд?
Аввалин асбобе, ки ҳангоми таҳлили инфрасохтори ҳамлагарон кашф шудааст, барои пинҳон кардани скриптҳои зараровар, ки барои дуздии кортҳои бонкӣ масъуланд, истифода мешавад. Дар яке аз ҳостҳои ҳамлагар скрипти bash бо истифода аз CLI лоиҳа кашф карда шуд барои автоматикунонии печидаи коди снифер.
Асбоби дуюми кашфшуда барои тавлиди коде тарҳрезӣ шудааст, ки барои боркунии снайфери асосӣ масъул аст. Ин асбоб рамзи JavaScript-ро тавлид мекунад, ки оё корбар дар саҳифаи пардохт тавассути ҷустуҷӯи суроғаи ҷории корбар барои сатрҳо будани корбарро тафтиш мекунад тафтиш, ароба ва ғайра ва агар натиҷа мусбӣ бошад, код sniffer-и асосиро аз сервери ҳамлагарон бор мекунад. Барои пинҳон кардани фаъолияти шубҳанок, ҳама сатрҳо, аз ҷумла хатҳои санҷишӣ барои муайян кардани саҳифаи пардохт, инчунин истинод ба снайфер, бо истифода аз рамз рамзгузорӣ карда мешаванд. пойгоҳи64.
Ҳамлаҳои фишинг
Таҳлили инфрасохтори шабакаи ҳамлагарон нишон дод, ки гурӯҳи ҷиноӣ аксар вақт фишингро барои дастрасӣ ба панели маъмурии мағозаи онлайни мавриди ҳадаф истифода мебарад. Ҳамлагарон доменеро сабти ном мекунанд, ки аз ҷиҳати визуалӣ ба домени мағоза монанд аст ва сипас дар он шакли воридшавии панели қалбакии маъмурияти Magento-ро ҷойгир мекунанд. Дар сурати муваффақ шудан, ҳамлагарон ба панели маъмурии Magento CMS дастрасӣ пайдо мекунанд, ки ба онҳо имкон медиҳад, ки ҷузъҳои вебсайтро таҳрир кунанд ва снайферро барои дуздии маълумоти корти кредитӣ амалӣ кунанд.
Инфраструктура
| Номи домени | Санаи кашф / пайдоиш |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagstracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trust-tracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
Оилаи G-Analytics
Ин оилаи снайферҳо барои дуздидани кортҳои муштариён аз мағозаҳои интернетӣ истифода мешаванд. Аввалин номи домене, ки аз ҷониби гурӯҳ истифода мешавад, дар моҳи апрели соли 2016 ба қайд гирифта шудааст, ки ин метавонад нишон диҳад, ки гурӯҳ дар нимаи соли 2016 фаъолиятро оғоз кардааст.
Дар маъракаи ҷорӣ, гурӯҳ номҳои домейнҳоро истифода мебарад, ки ба хидматҳои воқеии ҳаёт, аз қабили Google Analytics ва jQuery тақлид мекунанд ва фаъолияти снайферҳоро бо скриптҳои қонунӣ ва номҳои домейнҳои шабеҳи қонунӣ ниқоб мекунанд. Сайтҳое, ки Magento CMS-ро идора мекунанд, ҳамла карданд.
Чӣ тавр G-Analytics ба рамзи мағозаи онлайн татбиқ карда мешавад
Хусусияти фарқкунандаи ин оила истифодаи усулҳои гуногун барои дуздидани маълумоти пардохти корбарон мебошад. Ба ғайр аз воридкунии классикии рамзи JavaScript ба тарафи муштарии сайт, гурӯҳи ҷиноӣ инчунин усулҳои воридкунии кодро ба тарафи сервери сайт, яъне скриптҳои PHP, ки маълумоти воридкардаи корбарро коркард мекунанд, истифода мебурд. Ин техника хатарнок аст, зеро он барои муҳаққиқони тарафи сеюм ошкор кардани коди зарароварро мушкил мекунад. Мутахассисони Group-IB версияи sniffer-ро кашф карданд, ки дар коди PHP сайт ҷойгир шудааст, бо истифода аз домен ҳамчун дарвоза dittm.org.
Варианти ибтидоии снайфер низ кашф шуд, ки барои ҷамъоварии маълумоти дуздидашуда ҳамон доменро истифода мебарад dittm.org, аммо ин версия барои насб дар тарафи муштарии мағозаи онлайн пешбинӣ шудааст.
Гурӯҳ баъдтар тактикаи худро тағир дод ва бештар ба пинҳон кардани фаъолияти бадқасдона ва камуфляж таваҷҷӯҳ зоҳир кард.
Дар оғози соли 2017, гурӯҳ ба истифодаи домен шурӯъ кард jquery-js.com, ҳамчун CDN барои jQuery: ҳангоми рафтан ба сайти ҳамлагарон корбар ба сайти қонунӣ равона карда мешавад jquery.com.
Ва дар нимаи соли 2018, гурӯҳ номи доменро қабул кард g-analytics.com ва ба пинҳон кардани фаъолияти снайфер ҳамчун хидмати қонунии Google Analytics оғоз кард.
Таҳлили версия
Ҳангоми таҳлили доменҳое, ки барои нигоҳ доштани коди sniffer истифода мешаванд, маълум шуд, ки сайт шумораи зиёди версияҳоро дар бар мегирад, ки бо мавҷудияти печидаҳо фарқ мекунанд ва инчунин мавҷуд ё набудани коди дастнорас ба файл барои парешон кардани диққат илова карда шудаанд. ва рамзи зарароварро пинҳон кунед.
Ҷамъ дар сайт jquery-js.com Шаш версияи бӯйгирандагон муайян карда шуданд. Ин снайферҳо маълумоти дуздидашударо ба суроғае мефиристанд, ки дар ҳамон вебсайте бо худи снайфер ҷойгир аст: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Минбаъд домен g-analytics.com, ки ин гурӯҳ аз нимаи соли 2018 дар ҳамлаҳо истифода мешавад, ҳамчун як анбор барои бӯйгирони бештар хидмат мекунад. Дар маҷмӯъ, 16 версияи гуногуни бӯйгир кашф карда шуд. Дар ин ҳолат, дарвоза барои фиристодани маълумоти дуздидашуда ҳамчун пайванд ба формати тасвир пинҳон карда шуд GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Монетизатсияи маълумоти дуздидашуда
Гурӯҳи ҷиноӣ маълумоти дуздидашударо тавассути фурӯши кортҳо тавассути мағозаи махсуси зеризаминӣ, ки ба кортёрҳо хидмат мерасонад, пул мекунад. Таҳлили доменҳое, ки ҳамлагарон истифода мебаранд, ба мо имкон дод, ки онро муайян кунем google-analytics.cm аз ҷониби ҳамон корбар бо домен ба қайд гирифта шудааст cardz.vc. Домен cardz.vc ба мағозаи фурӯши кортҳои бонкии дуздидашудаи Cardsurfs (Flysurfs) дахл дорад, ки дар рӯзҳои фаъолияти платформаи савдои зеризаминии AlphaBay ҳамчун мағозаи фурӯши кортҳои бонкии дуздидашуда бо истифода аз снайффер маъруфият пайдо кардааст.
Таҳлили домен analytical.is, ки дар ҳамон сервере ҷойгир аст, ки доменҳое, ки аз ҷониби снайферҳо барои ҷамъоварии маълумоти дуздида истифода мешаванд, мутахассисони Group-IB файлеро кашф карданд, ки дорои гузоришҳои дуздии кукиҳо мебошад, ки зоҳиран баъдтар аз ҷониби таҳиякунанда партофта шудааст. Яке аз сабтҳо дар гузориш домен дорад iozoz.com, ки қаблан дар яке аз снайферҳои фаъол дар соли 2016 истифода шуда буд. Эҳтимол меравад, ки ин домен қаблан аз ҷониби ҳамлагар барои ҷамъоварии кортҳои дуздидашуда бо истифода аз снайфер истифода мешуд. Ин домен ба суроғаи почтаи электронӣ ба қайд гирифта шудааст [почтаи электронӣ ҳифз карда шудааст], ки он инчунин барои сабти доменҳо истифода мешуд cardz.su и cardz.vc, марбут ба мағозаи корд Cardsurfs.
Бар асоси маълумоти бадастомада тахмин кардан мумкин аст, ки оилаи бӯйгирони G-Analytics ва мағозаи зеризаминии фурӯши кортҳои бонкии Cardsurfs аз ҷониби ҳамон одамон идора карда мешаванд ва ин мағоза барои фурӯши кортҳои бонкии дуздидашуда бо истифода аз снайффер истифода мешавад.
Инфраструктура
| Номи домени | Санаи кашф / пайдоиш |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| analytical.to | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| analytical.is | 28.12.2018 |
| googlc-analytics.cm | 17.01.2019 |
Оилаи Иллум
Illum як оилаи снайферҳост, ки барои ҳамла ба мағозаҳои онлайнии Magento CMS истифода мешавад. Илова ба ворид кардани рамзи зараровар, операторони ин снайффер инчунин аз ҷорӣ намудани шаклҳои пурраи пардохти қалбакӣ истифода мебаранд, ки маълумотро ба дарвозаҳои таҳти назорати ҳамлагарон мефиристанд.
Ҳангоми таҳлили инфрасохтори шабакавӣ, ки аз ҷониби операторони ин sniffer истифода мешаванд, миқдори зиёди скриптҳои зараровар, истисморҳо, шаклҳои қалбакии пардохт, инчунин маҷмӯи мисолҳо бо снайферҳои зараровар аз рақибон қайд карда шуданд. Бар асоси маълумот дар бораи санаҳои пайдоиши номҳои домейнҳои аз ҷониби гурӯҳ истифодашаванда тахмин кардан мумкин аст, ки маърака дар охири соли 2016 оғоз шудааст.
Чӣ тавр Illum ба рамзи мағозаи онлайн татбиқ карда мешавад
Версияҳои аввалини бӯи кашфшуда мустақиман ба коди сайти вайроншуда ворид карда шуданд. Маълумоти дуздидашуда ба он фиристода шуд cdn.illum[.]pw/records.php, дарвоза бо истифода аз рамзгузорӣ карда шуд пойгоҳи64.
Баъдтар, як версияи бастабандии снайфер кашф карда шуд, ки дарвозаи дигарро истифода мебарад - records.nstatistics[.]com/records.php.
Мувофиқи маълумот Виллем де Groot, ҳамон мизбон дар sniffer истифода бурда шуд, ки дар бораи амалӣ карда шуд , ки ба партияи сиёсии Германия CSU тааллук дорад.
Таҳлили вебсайти ҳамлагарон
Мутахассисони Group-IB вебсайтеро кашф ва таҳлил карданд, ки ин гурӯҳи ҷиноӣ барои нигаҳдории асбобҳо ва ҷамъоварии маълумоти дуздидашуда истифода мешавад.
Дар байни абзорҳое, ки дар сервери ҳамлагарон ёфт шудаанд, скриптҳо ва эксплойтҳо барои афзоиш додани имтиёзҳо дар OS Linux буданд: масалан, скрипти санҷиши имтиёзҳои Linux, ки Майк Цзумак таҳия кардааст, инчунин эксплоит барои CVE-2009-1185.
Ҳамлагарон ду истисморро мустақиман барои ҳамла ба мағозаҳои онлайн истифода карданд: қодир ба ворид кардани рамзи зараровар ба core_config_data бо истифода аз CVE-2016-4010, осебпазирии RCE-ро дар плагинҳо барои CMS Magento истифода мебарад, ки имкон медиҳад коди худсарона дар сервери осебпазир иҷро карда шавад.
Инчунин, ҳангоми таҳлили сервер намунаҳои гуногуни бӯйгирҳо ва шаклҳои қалбакии пардохт ошкор карда шуданд, ки ҳамлагарон барои ҷамъоварии маълумоти пардохт аз сайтҳои ҳакерӣ истифода мекарданд. Тавре ки шумо аз рӯйхати зер мебинед, баъзе скриптҳо барои ҳар як сайти ҳакершуда алоҳида сохта шудаанд, дар ҳоле ки ҳалли универсалӣ барои баъзе CMS ва дарвозаҳои пардохт истифода шудааст. Масалан, скриптҳо segapay_standart.js и segapay_onpage.js барои татбиқ дар сайтҳо бо истифода аз дарвозаи пардохти Sage Pay тарҳрезӣ шудааст.
Рӯйхати скриптҳо барои шлюзҳои гуногуни пардохт
| Скрипт | Шабакаи пардохт |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdierenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?пардохт= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?пардохт= |
| [.]pw/magento/payment_forminsite.js | //paymentnow[.]tk/?payment= |
Идоракунанда paymentnow[.]tk, ҳамчун дарвоза дар скрипт истифода мешавад payment_forminsite.js, хамчун кашф карда шуд SubjectAltName дар якчанд сертификатҳои марбут ба хидмати CloudFlare. Илова бар ин, мизбон дорои як скрипт evil.js. Аз рӯи номи скрипт, онро метавон ҳамчун як қисми истисмори CVE-2016-4010 истифода бурд, ки ба шарофати он метавон коди зарароварро ба поёни сайте, ки бо Magento CMS кор мекунад, ворид кард. Соҳибхона ин скриптро ҳамчун дарвоза истифода бурд request.requestnet[.]tkбо истифода аз сертификати ҳамон мизбон paymentnow[.]tk.
Шаклҳои пардохти қалбакӣ
Дар расми зер намунаи шакл барои ворид кардани маълумоти корт нишон дода шудааст. Ин шакл барои ворид шудан ба мағозаи онлайн ва дуздидани маълумоти корт истифода мешуд.
Дар расми зерин намунаи шакли пардохти қалбакии PayPal нишон дода шудааст, ки аз ҷониби ҳамлагарон барои ворид шудан ба сайтҳо бо ин усули пардохт истифода мешуд.
Инфраструктура
| Номи домени | Санаи кашф / пайдоиш |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| request.payrightnow.cf | 25/05/2018 |
| paymentnow.tk | 16/07/2017 |
| payment-line.tk | 01/03/2018 |
| paymentpal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
Оилаи CoffeeMokko
Оилаи снайферҳои CoffeMokko, ки барои дуздии кортҳои бонкии корбарони мағозаҳои интернетӣ тарҳрезӣ шудааст, ҳадди аққал аз моҳи майи соли 2017 истифода мешавад. Эҳтимол меравад, ки операторони ин оилаи бӯйгарон гурӯҳи ҷиноии Гурӯҳи 1 мебошанд, ки онро мутахассисони RiskIQ дар соли 2016 тавсиф кардаанд. Сайтҳое, ки CMS-ро иҷро мекунанд, ба монанди Magento, OpenCart, WordPress, osCommerce ва Shopify ҳамла карданд.
Чӣ тавр CoffeMokko ба рамзи мағозаи онлайн татбиқ карда мешавад
Операторони ин оила барои ҳар як сироят снайферҳои беназир эҷод мекунанд: файли бӯйгир дар директория ҷойгир аст. СРС ё js дар сервери ҳамлагарон. Воридшавӣ ба коди сайт тавассути истиноди мустақим ба sniffer анҷом дода мешавад.
Рамзи sniffer номҳои майдонҳои формаро, ки аз онҳо маълумот бояд дуздида шавад, сахт код мекунад. Снайффер инчунин тафтиш мекунад, ки корбар дар саҳифаи пардохт мавҷуд аст ё не, тавассути тафтиши рӯйхати калимаҳои калидӣ бо суроғаи ҷории корбар.
Баъзе версияҳои кашфшудаи снайфер печида буданд ва дорои сатри рамзгузоришуда, ки дар он массиви асосии захираҳо нигоҳ дошта мешуданд: дар он номҳои майдонҳои форма барои системаҳои гуногуни пардохт, инчунин суроғаи дарвозае, ки маълумоти дуздидашуда бояд ба он фиристода шаванд, мавҷуд буд.
Маълумот дар бораи пардохти дуздидашуда дар роҳ ба скрипт дар сервери ҳамлагарон фиристода шуд /savePayment/index.php ё /tr/index.php. Эҳтимол, ин скрипт барои фиристодани маълумот аз дарвоза ба сервери асосӣ истифода мешавад, ки маълумотро аз ҳама снайферҳо муттаҳид мекунад. Барои пинҳон кардани маълумоти интиқолшуда, тамоми маълумоти пардохти ҷабрдида бо истифода аз рамзгузорӣ карда мешавад пойгоҳи64, ва он гоҳ якчанд ивазкунии аломатҳо ба амал меоянд:
- аломати "e" бо ":" иваз карда мешавад.
- рамзи "w" бо "+" иваз карда мешавад
- аломати "o" бо "%" иваз карда мешавад
- аломати "d" бо "#" иваз карда мешавад
- аломати "а" бо "-" иваз карда мешавад
- рамзи "7" ба "^" иваз карда мешавад
- аломати "h" бо "_" иваз карда мешавад
- рамзи "T" бо "@" иваз карда мешавад
- аломати "0" бо "/" иваз карда мешавад
- аломати "Y" бо "*" иваз карда мешавад
Дар натиҷаи иваз кардани аломатҳои рамзгузорӣ бо истифода аз пойгоҳи64 Маълумотро бидуни анҷом додани табдили баръакс рамзкушоӣ кардан мумкин нест.
Ин аст он чизест, ки порчаи рамзи бӯйгир, ки печида нашудааст, чунин менамояд:
Таҳлили инфрасохтор
Дар маъракаҳои аввал, ҳамлагарон номҳои домейнҳои шабеҳро ба сайтҳои қонунии хариди онлайн сабт карданд. Домени онҳо метавонад аз як аломати қонунӣ ё дигар TLD фарқ кунад. Доменҳои ба қайд гирифташуда барои нигоҳ доштани рамзи sniffer истифода мешуданд, ки истиноди онҳо дар рамзи мағоза ҷойгир карда шудааст.
Ин гурӯҳ инчунин номҳои домейнҳоро истифода мебурд, ки плагинҳои маъмули jQuery (slickjs[.]org барои сайтҳое, ки плагинро истифода мебаранд slick.js), дарвозаҳои пардохт (sagecdn[.]org барои сайтҳо бо истифода аз системаи пардохти Sage Pay).
Баъдтар, гурӯҳ ба эҷоди доменҳое шурӯъ кард, ки номашон ба домени мағоза ё мавзӯи мағоза рабте надошт.
Ҳар як домен ба сайте мувофиқат мекард, ки дар он директория сохта шудааст /js ё /src. Скриптҳои Sniffer дар ин феҳрист нигоҳ дошта шуданд: як бӯйгир барои ҳар як сирояти нав. Снайффер дар коди вебсайт тавассути истиноди мустақим ворид карда шуд, аммо дар ҳолатҳои нодир ҳамлагарон яке аз файлҳои вебсайтро тағир дода, ба он рамзи зараровар илова карданд.
Таҳлили код
Аввалин алгоритми нофаҳмиҳо
Дар баъзе намунаҳои ошкоршудаи бӯйгирони ин оила, рамз печида буд ва дорои маълумоти рамзгузоришуда, ки барои кори снайфер зарур аст: аз ҷумла, суроғаи дарвозаи снайфер, рӯйхати майдонҳои варақаи пардохт ва дар баъзе ҳолатҳо, рамзи қалбакӣ шакли пардохт. Дар коди дохили функсия, захираҳо бо истифода аз рамзгузорӣ карда шуданд XOR бо калид, ки ҳамчун далел ба ҳамон функсия дода шуд.
Бо рамзкушоӣ кардани сатр бо калиди мувофиқ, ки барои ҳар як намуна беназир аст, шумо метавонед сатри дорои ҳамаи сатрҳоро аз рамзи бӯйгир, ки бо аломати ҷудокунанда ҷудо карда шудааст, гиред.
Алгоритми дувум
Дар намунаҳои минбаъдаи бӯйгирандагони ин оила, механизми дигари нофаҳмо истифода мешуд: дар ин ҳолат, маълумот бо истифода аз алгоритми худнависӣ рамзгузорӣ карда шуд. Сатри дорои маълумоти рамзгузоришуда, ки барои кор кардани снайфер зарур аст, ҳамчун далел ба функсияи рамзкушоӣ интиқол дода шуд.
Бо истифода аз консоли браузер, шумо метавонед маълумоти рамзшударо рамзкушоӣ кунед ва массиви дорои захираҳои бӯйгирро ба даст оред.
Пайвастшавӣ ба ҳамлаҳои аввали MageCart
Ҳангоми таҳлили яке аз доменҳое, ки аз ҷониби гурӯҳ ҳамчун дарвоза барои ҷамъоварии маълумоти дуздидашуда истифода мешавад, муайян карда шуд, ки ин домен инфрасохтори дуздии кортҳои кредитиро ҷойгир кардааст, ки ба ҳамон домене, ки аз ҷониби Гурӯҳи 1 истифода мешавад, яке аз гурӯҳҳои аввал, аз ҷониби мутахассисони RiskIQ.
Дар мизбони оилаи бӯйгирони CoffeMokko ду файл ёфт шуд:
- mage.js — файле, ки дорои рамзи sniffer гурӯҳи 1 бо суроғаи дарвоза js-cdn.link
- mag.php — Скрипти PHP барои ҷамъоварии маълумоте, ки аз ҷониби снайфер дуздида шудааст
Мундариҷаи файли mage.js
Инчунин муайян карда шуд, ки аввалин доменҳое, ки аз ҷониби гурӯҳи паси оилаи снайферҳои CoffeMokko истифода мешуданд, 17 майи соли 2017 ба қайд гирифта шудаанд:
- link-js[.]пайванд
- info-js[.]пайванд
- track-js[.]пайванд
- map-js[.]пайванд
- smart-js[.]пайванд
Формати ин номҳои доменҳо ба номҳои домейнҳои Гурӯҳи 1, ки дар ҳамлаҳои соли 2016 истифода шуда буданд, мувофиқат мекунад.
Дар асоси далелҳои ошкоршуда тахмин кардан мумкин аст, ки байни операторони бӯйгирони CoffeMokko ва гурӯҳи ҷиноии “Гурӯҳи 1” робита вуҷуд дорад. Эҳтимол меравад, ки операторони CoffeMokko метавонистанд аз пешгузаштагони худ асбобҳо ва нармафзорро барои дуздидани кортҳо қарз гиранд. Аммо ба эҳтимоли зиёд, гурӯҳи ҷиноии истифодаи оилаи бӯйгирони CoffeMokko ҳамон афроде ҳастанд, ки ҳамлаҳои “Гурӯҳи 1”-ро анҷом додаанд.Дар пайи нашри гузориши аввал дар бораи фаъолияти ин гурӯҳи ҷиноӣ, ҳама доменҳои онҳо баста ва асбобхо муфассал омухта ва тавсиф карда шуданд. Гурӯҳ маҷбур шуд, ки танаффус кунад, абзорҳои дохилии худро такмил диҳад ва рамзи бӯйро аз нав нависад, то ҳамлаҳои худро идома диҳад ва ошкор нашаванд.
Инфраструктура
| Номи домени | Санаи кашф / пайдоиш |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| security-payment.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parks.su | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffetea.org | 31.01.2018 |
| Energycoffe.org | 31.01.2018 |
| Energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| authorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitnesse.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
Манбаъ: will.com