พวกเราเกือบทุกคนใช้บริการของร้านค้าออนไลน์ ซึ่งหมายความว่าไม่ช้าก็เร็วเรามีความเสี่ยงที่จะตกเป็นเหยื่อของโปรแกรมดมกลิ่น JavaScript ซึ่งเป็นรหัสพิเศษที่ผู้โจมตีใส่เข้าไปในเว็บไซต์เพื่อขโมยข้อมูลบัตรธนาคาร ที่อยู่ ชื่อผู้ใช้ และรหัสผ่าน .
ผู้ใช้เว็บไซต์และแอพมือถือของ British Airways เกือบ 400 รายได้รับผลกระทบจากการดมกลิ่น เช่นเดียวกับผู้เยี่ยมชมเว็บไซต์ FILA กีฬายักษ์ใหญ่ของอังกฤษ และ Ticketmaster ผู้จัดจำหน่ายตั๋วของสหรัฐอเมริกา PayPal, Chase Paymenttech, USAePay, Moneris - ระบบการชำระเงินเหล่านี้และระบบการชำระเงินอื่น ๆ อีกมากมายติดไวรัส
Viktor Okorokov นักวิเคราะห์จาก Threat Intelligence Group-IB พูดถึงวิธีที่นักดมกลิ่นแทรกซึมรหัสเว็บไซต์และขโมยข้อมูลการชำระเงิน รวมถึง CRM ที่พวกเขาโจมตี
"ภัยคุกคามที่ซ่อนอยู่"
มันเกิดขึ้นเป็นเวลานานที่ JS-sniffers ยังคงไม่อยู่ในสายตาของนักวิเคราะห์แอนตี้ไวรัส และธนาคารและระบบการชำระเงินก็ไม่เห็นว่าพวกเขาเป็นภัยคุกคามร้ายแรง และเปล่าประโยชน์อย่างแน่นอน ผู้เชี่ยวชาญ Group-IB
ให้เราลงรายละเอียดเกี่ยวกับสี่ตระกูลนักดมกลิ่นที่ศึกษาในหลักสูตรการศึกษา
ตอบสนองรับครอบครัว
Sniffers ของตระกูล ReactGet ใช้เพื่อขโมยข้อมูลบัตรธนาคารบนเว็บไซต์ช้อปปิ้งออนไลน์ sniffer สามารถทำงานร่วมกับระบบการชำระเงินต่างๆ จำนวนมากที่ใช้บนเว็บไซต์: ค่าพารามิเตอร์หนึ่งค่าสอดคล้องกับระบบการชำระเงินหนึ่งระบบ และ sniffer เวอร์ชันที่ตรวจพบแต่ละรายการสามารถใช้เพื่อขโมยข้อมูลประจำตัว ตลอดจนขโมยข้อมูลบัตรธนาคารจาก รูปแบบการชำระเงินของระบบการชำระเงินหลายระบบพร้อมกัน เช่น ที่เรียกว่า Universal sniffer พบว่าในบางกรณี ผู้โจมตีทำการโจมตีแบบฟิชชิ่งกับผู้ดูแลร้านค้าออนไลน์เพื่อเข้าถึงแผงการดูแลระบบของไซต์
แคมเปญที่ใช้กลุ่มนักดมกลิ่นนี้เริ่มขึ้นในเดือนพฤษภาคม 2017 ไซต์ที่ใช้ CMS และแพลตฟอร์ม Magento, Bigcommerce, Shopify ถูกโจมตี
ReactGet ถูกฝังอยู่ในโค้ดของร้านค้าออนไลน์อย่างไร
นอกเหนือจากการแทรกสคริปต์ "คลาสสิก" ด้วยลิงก์แล้ว ตัวดำเนินการดมกลิ่นในตระกูล ReactGet ยังใช้เทคนิคพิเศษ: โดยใช้โค้ด JavaScript ซึ่งจะตรวจสอบว่าที่อยู่ปัจจุบันที่ผู้ใช้อยู่นั้นตรงตามเกณฑ์ที่กำหนดหรือไม่ รหัสที่เป็นอันตรายจะทำงานก็ต่อเมื่อ URL ปัจจุบันมีสตริงย่อย เช็คเอาต์ หรือ ชำระเงินขั้นตอนเดียว, หน้าเดียว/, ออก/หนึ่งหน้า, ชำระเงิน/หนึ่ง, หมด/หนึ่ง. ดังนั้น sniffer code จะถูกดำเนินการทันทีเมื่อผู้ใช้ดำเนินการชำระเงินสำหรับการซื้อและป้อนข้อมูลการชำระเงินลงในแบบฟอร์มบนเว็บไซต์
นักดมกลิ่นรายนี้ใช้เทคนิคที่ไม่ได้มาตรฐาน การชำระเงินและข้อมูลส่วนตัวของเหยื่อจะถูกรวบรวมเข้าด้วยกัน เข้ารหัสโดยใช้ base64จากนั้นจึงใช้สตริงผลลัพธ์เป็นพารามิเตอร์เพื่อส่งคำขอไปยังไซต์ที่เป็นอันตราย บ่อยครั้งที่เส้นทางไปยังเกตเลียนแบบไฟล์ JavaScript เป็นต้น ตอบกลับ js, ข้อมูล.js และอื่น ๆ แต่มีการใช้ลิงก์ไปยังไฟล์รูปภาพด้วย GIF и JPG. ลักษณะเฉพาะคือนักดมกลิ่นสร้างวัตถุรูปภาพที่มีขนาด 1 คูณ 1 พิกเซลและใช้ลิงก์ที่ได้รับก่อนหน้านี้เป็นพารามิเตอร์ สิ่งอำนวยความสะดวก รูปภาพ นั่นคือ สำหรับผู้ใช้ คำขอดังกล่าวในการรับส่งข้อมูลจะดูเหมือนคำขอรูปภาพทั่วไป มีการใช้เทคนิคที่คล้ายกันในตระกูล ImageID ของนักดมกลิ่น นอกจากนี้ เทคนิคภาพขนาด 1x1 พิกเซลยังใช้ในสคริปต์การวิเคราะห์ออนไลน์ที่ถูกต้องตามกฎหมายจำนวนมาก ซึ่งอาจทำให้ผู้ใช้เข้าใจผิดได้เช่นกัน
การวิเคราะห์เวอร์ชัน
การวิเคราะห์โดเมนที่ใช้งานอยู่ซึ่งใช้โดยตัวดำเนินการดมกลิ่นของ ReactGet เผยให้เห็นเวอร์ชันต่างๆ ของตระกูลดมกลิ่นนี้ เวอร์ชั่นจะต่างกันตรงที่มีหรือไม่มีความสับสน และนอกจากนี้ sniffer แต่ละตัวได้รับการออกแบบมาสำหรับระบบการชำระเงินเฉพาะที่ประมวลผลการชำระเงินด้วยบัตรธนาคารสำหรับร้านค้าออนไลน์ หลังจากจัดเรียงตามค่าของพารามิเตอร์ที่สอดคล้องกับหมายเลขเวอร์ชันแล้ว ผู้เชี่ยวชาญ Group-IB ได้รับรายการที่สมบูรณ์ของรูปแบบ sniffer ที่มีอยู่ และตามชื่อช่องแบบฟอร์มที่ sniffer แต่ละคนมองหาในโค้ดของเพจ พวกเขากำหนดระบบการชำระเงิน ที่นักดมกลิ่นตั้งเป้าไว้
รายชื่อนักดมกลิ่นและระบบการชำระเงินที่เกี่ยวข้อง
ดมกลิ่น URL | ระบบการชำระเงิน |
---|---|
|
Authorize.Net |
บัตรบันทึก | |
|
Authorize.Net |
Authorize.Net | |
|
eWAY อย่างรวดเร็ว |
Authorize.Net | |
Adyen | |
|
USAePay |
Authorize.Net | |
USAePay | |
|
Authorize.Net |
โมเนริส | |
USAePay | |
เพย์พาล | |
ปราชญ์จ่าย | |
Verisign | |
เพย์พาล | |
ลาย | |
|
เรียลเล็กซ์ |
เพย์พาล | |
ลิงค์พอยท์ | |
เพย์พาล | |
เพย์พาล | |
ดาต้าแคช | |
|
เพย์พาล |
|
Authorize.Net |
|
Authorize.Net |
Authorize.Net | |
Authorize.Net | |
|
Verisign |
|
Authorize.Net |
โมเนริส | |
|
ปราชญ์จ่าย |
|
USAePay |
|
Authorize.Net |
|
Authorize.Net |
|
ANZ อีเกต |
|
Authorize.Net |
|
โมเนริส |
|
ปราชญ์จ่าย |
ปราชญ์จ่าย | |
|
ไล่ Paymentech |
|
Authorize.Net |
|
Adyen |
PsiGate | |
ไซเบอร์ซอร์ส | |
ANZ อีเกต | |
เรียลเล็กซ์ | |
|
USAePay |
|
Authorize.Net |
|
Authorize.Net |
|
ANZ อีเกต |
|
เพย์พาล |
|
เพย์พาล |
เรียลเล็กซ์ | |
|
ปราชญ์จ่าย |
|
เพย์พาล |
|
Verisign |
Authorize.Net | |
|
Verisign |
Authorize.Net | |
|
ANZ อีเกต |
เพย์พาล | |
ไซเบอร์ซอร์ส | |
|
Authorize.Net |
|
ปราชญ์จ่าย |
เรียลเล็กซ์ | |
|
ไซเบอร์ซอร์ส |
เพย์พาล | |
เพย์พาล | |
|
เพย์พาล |
|
Verisign |
|
eWAY อย่างรวดเร็ว |
|
ปราชญ์จ่าย |
ปราชญ์จ่าย | |
|
Verisign |
Authorize.Net | |
Authorize.Net | |
|
เกตเวย์ข้อมูลระดับโลกแห่งแรก |
Authorize.Net | |
Authorize.Net | |
โมเนริส | |
|
Authorize.Net |
|
เพย์พาล |
|
Verisign |
|
USAePay |
USAePay | |
Authorize.Net | |
Verisign | |
เพย์พาล | |
|
Authorize.Net |
ลาย | |
|
Authorize.Net |
eWAY อย่างรวดเร็ว | |
|
ปราชญ์จ่าย |
Authorize.Net | |
|
Braintree |
|
Braintree |
|
เพย์พาล |
|
ปราชญ์จ่าย |
|
ปราชญ์จ่าย |
|
Authorize.Net |
|
เพย์พาล |
|
Authorize.Net |
Verisign | |
|
เพย์พาล |
|
Authorize.Net |
|
ลาย |
|
Authorize.Net |
eWAY อย่างรวดเร็ว | |
ปราชญ์จ่าย | |
|
Authorize.Net |
Braintree | |
|
เพย์พาล |
|
ปราชญ์จ่าย |
ปราชญ์จ่าย | |
|
Authorize.Net |
เพย์พาล | |
Authorize.Net | |
|
Verisign |
|
Authorize.Net |
|
Authorize.Net |
|
Authorize.Net |
|
Authorize.Net |
|
ปราชญ์จ่าย |
ปราชญ์จ่าย | |
|
เวสต์แพค เพย์เวย์ |
|
เพย์ฟอร์ท |
|
เพย์พาล |
|
Authorize.Net |
|
ลาย |
|
เกตเวย์ข้อมูลระดับโลกแห่งแรก |
|
PsiGate |
Authorize.Net | |
Authorize.Net | |
|
โมเนริส |
|
Authorize.Net |
ปราชญ์จ่าย | |
|
Verisign |
โมเนริส | |
เพย์พาล | |
|
ลิงค์พอยท์ |
|
เวสต์แพค เพย์เวย์ |
Authorize.Net | |
|
โมเนริส |
|
เพย์พาล |
Adyen | |
เพย์พาล | |
Authorize.Net | |
USAePay | |
อีบีซชาร์จ | |
|
Authorize.Net |
|
Verisign |
Verisign | |
Authorize.Net | |
|
เพย์พาล |
|
โมเนริส |
Authorize.Net | |
|
เพย์พาล |
เพย์พาล | |
เวสต์แพค เพย์เวย์ | |
Authorize.Net | |
|
Authorize.Net |
ปราชญ์จ่าย | |
|
Verisign |
|
Authorize.Net |
|
เพย์พาล |
|
เพย์ฟอร์ท |
ไซเบอร์ซอร์ส | |
PayPal เพย์โฟลว์ โปร | |
|
Authorize.Net |
|
Authorize.Net |
Verisign | |
|
Authorize.Net |
|
Authorize.Net |
ปราชญ์จ่าย | |
Authorize.Net | |
|
ลาย |
|
Authorize.Net |
Authorize.Net | |
Verisign | |
|
เพย์พาล |
Authorize.Net | |
|
Authorize.Net |
ปราชญ์จ่าย | |
|
Authorize.Net |
|
Authorize.Net |
|
เพย์พาล |
|
หินเหล็กไฟ |
|
เพย์พาล |
ปราชญ์จ่าย | |
Verisign | |
|
Authorize.Net |
|
Authorize.Net |
|
ลาย |
|
ม้าลายอ้วน |
ปราชญ์จ่าย | |
|
Authorize.Net |
เกตเวย์ข้อมูลระดับโลกแห่งแรก | |
|
Authorize.Net |
|
eWAY อย่างรวดเร็ว |
Adyen | |
|
เพย์พาล |
บริการผู้ค้า QuickBooks | |
Verisign | |
|
ปราชญ์จ่าย |
Verisign | |
|
Authorize.Net |
|
Authorize.Net |
ปราชญ์จ่าย | |
|
Authorize.Net |
|
eWAY อย่างรวดเร็ว |
Authorize.Net | |
|
ANZ อีเกต |
|
เพย์พาล |
ไซเบอร์ซอร์ส | |
|
Authorize.Net |
ปราชญ์จ่าย | |
|
เรียลเล็กซ์ |
ไซเบอร์ซอร์ส | |
|
เพย์พาล |
|
เพย์พาล |
|
เพย์พาล |
|
Verisign |
eWAY อย่างรวดเร็ว | |
|
ปราชญ์จ่าย |
|
ปราชญ์จ่าย |
|
Verisign |
Authorize.Net | |
|
Authorize.Net |
|
เกตเวย์ข้อมูลระดับโลกแห่งแรก |
Authorize.Net | |
Authorize.Net | |
|
โมเนริส |
|
Authorize.Net |
|
เพย์พาล |
ดมกลิ่นรหัสผ่าน
ข้อดีอย่างหนึ่งของ JavaScript sniffers ที่ทำงานบนฝั่งไคลเอนต์ของเว็บไซต์คือความสามารถรอบด้าน: โค้ดอันตรายที่ฝังอยู่บนเว็บไซต์สามารถขโมยข้อมูลประเภทใดก็ได้ ไม่ว่าจะเป็นข้อมูลการชำระเงินหรือข้อมูลเข้าสู่ระบบและรหัสผ่านจากบัญชีผู้ใช้ ผู้เชี่ยวชาญ Group-IB ค้นพบตัวอย่าง sniffer ของตระกูล ReactGet ซึ่งออกแบบมาเพื่อขโมยที่อยู่อีเมลและรหัสผ่านของผู้ใช้ไซต์
แยกกับ ImageID sniffer
ในระหว่างการวิเคราะห์หนึ่งในร้านค้าที่ติดไวรัส พบว่าเว็บไซต์ของตนติดไวรัสสองครั้ง: นอกจากโค้ดที่เป็นอันตรายของ ReactGet family sniffer แล้ว ยังพบโค้ดของ ImageID family sniffer ด้วย การทับซ้อนกันนี้อาจเป็นหลักฐานว่าเจ้าหน้าที่ที่อยู่เบื้องหลังการดมกลิ่นทั้งสองกำลังใช้เทคนิคที่คล้ายคลึงกันในการแทรกโค้ดที่เป็นอันตราย
นักดมกลิ่นสากล
ระหว่างการวิเคราะห์หนึ่งในชื่อโดเมนที่เกี่ยวข้องกับโครงสร้างพื้นฐานของ ReactGet sniffer พบว่าผู้ใช้คนเดียวกันจดทะเบียนชื่อโดเมนอื่นอีกสามชื่อ โดเมนทั้งสามนี้เลียนแบบโดเมนของไซต์ในชีวิตจริงและเคยใช้โฮสต์ดมกลิ่นมาก่อน เมื่อวิเคราะห์โค้ดของไซต์ที่ถูกกฎหมายสามแห่ง พบว่ามี sniffer ที่ไม่รู้จัก และการวิเคราะห์เพิ่มเติมแสดงให้เห็นว่านี่เป็นเวอร์ชันปรับปรุงของ ReactGet sniffer เวอร์ชันที่ติดตามก่อนหน้านี้ทั้งหมดของตระกูล sniffer นี้มีเป้าหมายที่ระบบการชำระเงินระบบเดียว นั่นคือ เวอร์ชันพิเศษของ sniffer จำเป็นสำหรับระบบการชำระเงินแต่ละระบบ อย่างไรก็ตาม ในกรณีนี้ มีการค้นพบ sniffer รุ่นสากลที่สามารถขโมยข้อมูลจากแบบฟอร์มที่เกี่ยวข้องกับระบบการชำระเงินที่แตกต่างกัน 15 แบบและโมดูลของไซต์อีคอมเมิร์ซสำหรับการชำระเงินออนไลน์
ดังนั้น ในช่วงเริ่มต้นของการทำงาน นักดมกลิ่นจึงค้นหาฟิลด์แบบฟอร์มพื้นฐานที่มีข้อมูลส่วนบุคคลของเหยื่อ ได้แก่ ชื่อนามสกุล ที่อยู่จริง หมายเลขโทรศัพท์
จากนั้น sniffer ค้นหาคำนำหน้าที่แตกต่างกันกว่า 15 รายการที่สอดคล้องกับระบบการชำระเงินและโมดูลต่างๆ สำหรับการชำระเงินออนไลน์
จากนั้น ข้อมูลส่วนตัวของเหยื่อและข้อมูลการชำระเงินจะถูกรวบรวมและส่งไปยังไซต์ที่ควบคุมโดยผู้โจมตี ในกรณีนี้ พบ ReactGet universal sniffer สองเวอร์ชันอยู่ในไซต์ที่ถูกแฮ็กสองไซต์ที่แตกต่างกัน อย่างไรก็ตาม ทั้งสองเวอร์ชันส่งข้อมูลที่ถูกขโมยไปยังไซต์ที่ถูกแฮ็กเดียวกัน Zoobashop.คอม.
การวิเคราะห์คำนำหน้าที่ใช้โดย sniffer เพื่อค้นหาฟิลด์ที่มีข้อมูลการชำระเงินของเหยื่อระบุว่าตัวอย่าง sniffer นี้กำหนดเป้าหมายไปที่ระบบการชำระเงินต่อไปนี้:
- Authorize.Net
- Verisign
- ข้อมูลแรก
- USAePay
- ลาย
- เพย์พาล
- ANZ อีเกต
- Braintree
- ดาต้า แคช (มาสเตอร์การ์ด)
- การชำระเงิน Realex
- PsiGate
- ระบบการชำระเงิน Heartland
เครื่องมือใดที่ใช้ในการขโมยข้อมูลการชำระเงิน
เครื่องมือแรกที่ค้นพบระหว่างการวิเคราะห์โครงสร้างพื้นฐานของผู้โจมตีทำหน้าที่สร้างความสับสนให้กับสคริปต์ที่เป็นอันตรายซึ่งมีหน้าที่รับผิดชอบในการขโมยบัตรธนาคาร พบสคริปต์ทุบตีที่ใช้ CLI ของโครงการบนหนึ่งในโฮสต์ของผู้โจมตี
เครื่องมือที่ค้นพบครั้งที่สองได้รับการออกแบบมาเพื่อสร้างรหัสที่รับผิดชอบในการโหลดตัวดมกลิ่นหลัก เครื่องมือนี้สร้างโค้ด JavaScript ที่ตรวจสอบว่าผู้ใช้อยู่ในหน้าชำระเงินหรือไม่ โดยค้นหาสตริงที่อยู่ปัจจุบันของผู้ใช้ เช็คเอาต์, เกวียน และอื่น ๆ และหากผลลัพธ์เป็นบวก โค้ดจะโหลดตัวดมกลิ่นหลักจากเซิร์ฟเวอร์ของผู้บุกรุก เพื่อซ่อนกิจกรรมที่เป็นอันตราย บรรทัดทั้งหมดรวมถึงบรรทัดทดสอบสำหรับระบุหน้าการชำระเงิน ตลอดจนลิงก์ไปยังผู้ดมกลิ่น จะถูกเข้ารหัสโดยใช้ base64.
การโจมตีแบบฟิชชิง
ในระหว่างการวิเคราะห์โครงสร้างพื้นฐานเครือข่ายของผู้โจมตี พบว่ากลุ่มอาชญากรมักใช้ฟิชชิงเพื่อเข้าถึงแผงการดูแลระบบของร้านค้าออนไลน์เป้าหมาย ผู้โจมตีลงทะเบียนโดเมนที่ดูเหมือนโดเมนร้านค้า จากนั้นใช้แบบฟอร์มเข้าสู่ระบบผู้ดูแลระบบ Magento ปลอมบนโดเมนนั้น หากทำสำเร็จ ผู้โจมตีจะสามารถเข้าถึงแผงผู้ดูแลระบบ Magento CMS ซึ่งช่วยให้พวกเขาสามารถแก้ไขส่วนประกอบของไซต์และใช้ sniffer เพื่อขโมยข้อมูลบัตรเครดิต
โครงสร้างพื้นฐาน
Домен | วันที่ค้นพบ/ปรากฏ |
---|---|
mediapack.info | 04.05.2017 |
adsgetapi.com | 15.06.2017 |
ซิมเคาน์เตอร์.คอม | 14.08.2017 |
mageanalytics.com | 22.12.2017 |
maxstatics.คอม | 16.01.2018 |
reactjsapi.com | 19.01.2018 |
mxcounter.com | 02.02.2018 |
apitstatus.com | 01.03.2018 |
orderracker.คอม | 20.04.2018 |
tagtracking.คอม | 25.06.2018 |
adsapigate.คอม | 12.07.2018 |
trusttracker.com | 15.07.2018 |
fbstatspartner.com | 02.10.2018 |
billgetstatus.คอม | 12.10.2018 |
www.aldenmlilhouse.com | 20.10.2018 |
บัลเล่ต์ beautlful.com | 20.10.2018 |
bargalnjunkie.com | 20.10.2018 |
payselector.com | 21.10.2018 |
tagmediaget.com | 02.11.2018 |
hs-Payments.com | 16.11.2018 |
สั่งซื้อเช็คเพย์.com | 19.11.2018 |
geissie.com | 24.11.2018 |
gtmproc.com | 29.11.2018 |
livegetpay.com | 18.12.2018 |
sydneysalonsupplies.com | 18.12.2018 |
newrelicnet.com | 19.12.2018 |
nr-public.com | 03.01.2019 |
cloudodesc.com | 04.01.2019 |
ajaxstatic.com | 11.01.2019 |
livecheckpay.com | 21.01.2019 |
asianfoodgracer.com | 25.01.2019 |
ตระกูล G-Analytics
นักดมกลิ่นตระกูลนี้ใช้เพื่อขโมยบัตรลูกค้าจากร้านค้าออนไลน์ ชื่อโดเมนแรกที่ใช้โดยกลุ่มได้รับการจดทะเบียนในเดือนเมษายน 2016 ซึ่งอาจบ่งบอกถึงการเริ่มต้นกิจกรรมของกลุ่มในกลางปี 2016
ในแคมเปญปัจจุบัน กลุ่มใช้ชื่อโดเมนที่เลียนแบบบริการในชีวิตจริง เช่น Google Analytics และ jQuery ปิดบังกิจกรรมการดมกลิ่นด้วยสคริปต์ที่ถูกต้องและชื่อโดเมนที่ดูถูกต้อง เว็บไซต์ที่ทำงานภายใต้ CMS Magento ถูกโจมตี
วิธีการใช้ G-Analytics ในรหัสร้านค้าออนไลน์
คุณลักษณะที่โดดเด่นของตระกูลนี้คือการใช้วิธีการต่างๆ ในการขโมยข้อมูลการชำระเงินของผู้ใช้ นอกเหนือจากการแทรก JavaScript แบบคลาสสิกเข้าไปในฝั่งไคลเอนต์ของไซต์แล้ว กลุ่มอาชญากรยังใช้เทคนิคการแทรกโค้ดลงในฝั่งเซิร์ฟเวอร์ของไซต์ นั่นคือสคริปต์ PHP ที่ประมวลผลอินพุตของผู้ใช้ เทคนิคนี้เป็นอันตรายเนื่องจากทำให้นักวิจัยบุคคลที่สามตรวจจับโค้ดที่เป็นอันตรายได้ยาก ผู้เชี่ยวชาญ Group-IB ค้นพบเวอร์ชันของ sniffer ที่ฝังอยู่ในโค้ด PHP ของไซต์ โดยใช้โดเมนเป็นประตู dittm.org.
นอกจากนี้ยังมีการค้นพบการดมกลิ่นรุ่นแรกที่ใช้โดเมนเดียวกันเพื่อรวบรวมข้อมูลที่ถูกขโมย dittm.orgแต่เวอร์ชันนี้มีไว้สำหรับติดตั้งบนฝั่งไคลเอนต์ของร้านค้าออนไลน์อยู่แล้ว
ต่อมากลุ่มได้เปลี่ยนกลยุทธ์และเริ่มให้ความสำคัญกับการปกปิดกิจกรรมที่เป็นอันตรายและการอำพรางมากขึ้น
ในช่วงต้นปี 2017 กลุ่มเริ่มใช้โดเมน jquery-js.comปลอมเป็น CDN สำหรับ jQuery: เปลี่ยนเส้นทางผู้ใช้ไปยังไซต์ที่ถูกต้องตามกฎหมายเมื่อไปยังไซต์ที่เป็นอันตราย เจคิวรี่.คอม.
และในช่วงกลางปี 2018 ทางกลุ่มได้นำชื่อโดเมนมาใช้ g-analytics.com และเริ่มปลอมแปลงกิจกรรมของนักดมกลิ่นว่าเป็นบริการ Google Analytics ที่ถูกต้องตามกฎหมาย
การวิเคราะห์เวอร์ชัน
ในระหว่างการวิเคราะห์โดเมนที่ใช้จัดเก็บรหัส sniffer พบว่าไซต์มีเวอร์ชันจำนวนมากที่แตกต่างกันในการมีอยู่ของความสับสน ตลอดจนการมีหรือไม่มีโค้ดที่ไม่สามารถเข้าถึงได้ที่เพิ่มลงในไฟล์เพื่อเบี่ยงเบนความสนใจ และซ่อนรหัสที่เป็นอันตราย
รวมบนเว็บไซต์ jquery-js.com มีการระบุผู้ดมกลิ่นหกรุ่น นักดมกลิ่นเหล่านี้จะส่งข้อมูลที่ถูกขโมยไปยังที่อยู่ซึ่งอยู่ในไซต์เดียวกันกับผู้ดมกลิ่นเอง: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
โดเมนในภายหลัง g-analytics.comซึ่งใช้โดยกลุ่มในการโจมตีตั้งแต่กลางปี 2018 ทำหน้าที่เป็นพื้นที่เก็บข้อมูลสำหรับนักดมกลิ่นมากขึ้น โดยรวมแล้ว 16 รุ่นที่แตกต่างกันของนักดมกลิ่นถูกค้นพบ ในกรณีนี้ ประตูสำหรับการส่งข้อมูลที่ถูกขโมยถูกปลอมแปลงเป็นลิงก์ไปยังรูปภาพของรูปแบบ GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
การสร้างรายได้จากข้อมูลที่ถูกขโมย
กลุ่มอาชญากรสร้างรายได้จากข้อมูลที่ถูกขโมยโดยการขายบัตรผ่านร้านค้าใต้ดินที่สร้างขึ้นเป็นพิเศษเพื่อให้บริการแก่ผู้ถือบัตร การวิเคราะห์โดเมนที่ผู้โจมตีใช้ทำให้สามารถระบุได้ว่า google-analytics.ซม ได้รับการจดทะเบียนโดยผู้ใช้เดียวกันกับโดเมน cardz.vc. โดเมน cardz.vc หมายถึง Cardsurfs (Flysurfs) ร้านขายบัตรธนาคารที่ถูกขโมย ซึ่งได้รับความนิยมในตลาดใต้ดินของ AlphaBay ในฐานะร้านขายบัตรธนาคารที่ถูกขโมยโดยใช้เครื่องดมกลิ่น
กำลังวิเคราะห์โดเมน analytical.isซึ่งตั้งอยู่บนเซิร์ฟเวอร์เดียวกันกับโดเมนที่นักดมกลิ่นใช้เพื่อรวบรวมข้อมูลที่ถูกขโมย ผู้เชี่ยวชาญ Group-IB พบไฟล์ที่มีบันทึกการขโมยคุกกี้ ซึ่งดูเหมือนว่านักพัฒนาจะละทิ้งในภายหลัง รายการหนึ่งในบันทึกประกอบด้วยโดเมน iooz.comซึ่งก่อนหน้านี้เคยใช้กับหนึ่งในเครื่องดมกลิ่นที่ใช้งานในปี 2016 สันนิษฐานว่าก่อนหน้านี้ผู้โจมตีใช้โดเมนนี้เพื่อรวบรวมการ์ดที่ถูกขโมยโดยใช้การดมกลิ่น โดเมนนี้ลงทะเบียนกับที่อยู่อีเมล [ป้องกันอีเมล]ซึ่งใช้ในการจดทะเบียนโดเมนด้วย cardz.su и cardz.vcที่เกี่ยวข้องกับร้านไพ่ Cardsurfs
จากข้อมูลที่ได้รับ สามารถสันนิษฐานได้ว่ากลุ่ม G-Analytics sniffer และร้านบัตรธนาคารใต้ดินของ Cardsurfs ดำเนินการโดยคนคนเดียวกัน และร้านดังกล่าวใช้เพื่อขายบัตรธนาคารที่ถูกขโมยโดยใช้เครื่องดมกลิ่น
โครงสร้างพื้นฐาน
Домен | วันที่ค้นพบ/ปรากฏ |
---|---|
iooz.com | 08.04.2016 |
dittm.org | 10.09.2016 |
jquery-js.com | 02.01.2017 |
g-analytics.com | 31.05.2018 |
google-analytics.is | 21.11.2018 |
วิเคราะห์.to | 04.12.2018 |
google-analytics.to | 06.12.2018 |
google-analytics.ซม | 28.12.2018 |
analytical.is | 28.12.2018 |
googlelc-analytics.ซม | 17.01.2019 |
ครอบครัวอิลลัม
Illum คือกลุ่มนักดมกลิ่นที่ใช้โจมตีร้านค้าออนไลน์ที่ใช้ Magento CMS นอกเหนือจากการแนะนำรหัสที่เป็นอันตรายแล้ว เจ้าหน้าที่ของ sniffer นี้ยังใช้รูปแบบการชำระเงินปลอมเต็มรูปแบบที่ส่งข้อมูลไปยังประตูที่ควบคุมโดยผู้โจมตี
เมื่อวิเคราะห์โครงสร้างพื้นฐานของเครือข่ายที่ใช้โดยผู้ดำเนินการของ sniffer นี้ พบว่ามีสคริปต์ที่เป็นอันตราย การใช้ประโยชน์ แบบฟอร์มการชำระเงินปลอมจำนวนมาก รวมทั้งชุดของตัวอย่างที่มีคู่แข่ง sniffer ที่เป็นอันตราย จากข้อมูลเกี่ยวกับวันที่ปรากฏของชื่อโดเมนที่กลุ่มใช้ อาจสันนิษฐานได้ว่าการเริ่มต้นแคมเปญตรงกับช่วงสิ้นปี 2016
วิธีการใช้ Illum ในโค้ดของร้านค้าออนไลน์
sniffer เวอร์ชันแรกที่ค้นพบถูกฝังลงในโค้ดของไซต์ที่ถูกบุกรุกโดยตรง ข้อมูลที่ถูกขโมยถูกส่งไปที่ cdn.illum[.]pw/records.phpประตูถูกเข้ารหัสโดยใช้ base64.
ต่อมาได้มีการค้นพบสนิฟเฟอร์รุ่นแพ็คเกจโดยใช้เกทอื่น - records.nstatistics[.]com/records.php.
ตามที่
การวิเคราะห์ไซต์โจมตี
ผู้เชี่ยวชาญ Group-IB ค้นพบและวิเคราะห์ไซต์ที่กลุ่มอาชญากรนี้ใช้เพื่อจัดเก็บเครื่องมือและรวบรวมข้อมูลที่ถูกขโมย
ในบรรดาเครื่องมือต่างๆ ที่พบในเซิร์ฟเวอร์ของผู้โจมตีนั้นพบสคริปต์และช่องโหว่สำหรับการเพิ่มระดับสิทธิ์ในระบบปฏิบัติการ Linux ตัวอย่างเช่น สคริปต์ตรวจสอบสิทธิ์การใช้งาน Linux Privilege Escalation ที่พัฒนาโดย Mike Czumak รวมถึงการใช้ประโยชน์จาก CVE-2009-1185
ผู้โจมตีใช้สองช่องโหว่โจมตีร้านค้าออนไลน์โดยตรง:
นอกจากนี้ ในระหว่างการวิเคราะห์เซิร์ฟเวอร์ ยังพบตัวอย่างต่างๆ ของ sniffers และแบบฟอร์มการชำระเงินปลอม ซึ่งผู้โจมตีใช้เพื่อรวบรวมข้อมูลการชำระเงินจากไซต์ที่ถูกแฮ็ก ดังที่คุณเห็นจากรายการด้านล่าง สคริปต์บางตัวถูกสร้างขึ้นแยกกันสำหรับแต่ละไซต์ที่ถูกแฮ็ก ในขณะที่โซลูชันสากลใช้สำหรับ CMS และเกตเวย์การชำระเงินบางรายการ ตัวอย่างเช่นสคริปต์ segapay_standard.js и segapay_onpage.js ออกแบบมาให้ฝังอยู่ในไซต์โดยใช้เกตเวย์การชำระเงิน Sage Pay
รายการสคริปต์สำหรับเกตเวย์การชำระเงินต่างๆ
สคริปต์ | ช่องทางการชำระเงิน |
---|---|
|
//request.payrightnow[.]cf/checkPayment.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/checkPayment.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/checkPayment.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//request.payrightnow[.]cf/alldata.php |
//request.payrightnow[.]cf/checkPayment.php | |
|
//request.payrightnow[.]cf/checkPayment.php |
|
//request.payrightnow[.]cf/alldata.php |
|
//cdn.illum[.]pw/records.php |
|
//cdn.illum[.]pw/records.php |
|
//request.payrightnow[.]cf/checkPayment.php |
|
//cdn.illum[.]pw/records.php |
//request.payrightnow[.]cf/checkPayment.php | |
|
//cdn.illum[.]pw/records.php |
//payrightnow[.]cf/?การชำระเงิน= | |
|
//payrightnow[.]cf/?การชำระเงิน= |
|
//การชำระเงินตอนนี้[.]tk/?การชำระเงิน= |
โฮสต์ ชำระเงินทันที[.]tkใช้เป็นประตูในสคริปต์ Payment_forminsite.js, ถูกค้นพบเป็น หัวเรื่องAltName ในใบรับรองต่างๆ ที่เกี่ยวข้องกับบริการ CloudFlare นอกจากนี้ สคริปต์ยังอยู่บนโฮสต์ evil.js. เมื่อพิจารณาจากชื่อสคริปต์แล้ว อาจถูกใช้เป็นส่วนหนึ่งของการใช้ประโยชน์จาก CVE-2016-4010 ซึ่งทำให้สามารถแทรกโค้ดที่เป็นอันตรายลงในส่วนท้ายของไซต์ที่รัน Magento CMS ได้ สคริปต์นี้ใช้โฮสต์เป็นประตู request.requestnet[.]tkโดยใช้ใบรับรองเดียวกันกับโฮสต์ ชำระเงินทันที[.]tk.
แบบฟอร์มการชำระเงินปลอม
รูปด้านล่างแสดงตัวอย่างแบบฟอร์มสำหรับป้อนข้อมูลบัตร แบบฟอร์มนี้ใช้เพื่อแทรกซึมเว็บไซต์ร้านค้าออนไลน์และขโมยข้อมูลบัตร
รูปต่อไปนี้เป็นตัวอย่างของแบบฟอร์มการชำระเงิน PayPal ปลอมที่ผู้โจมตีใช้เพื่อแทรกซึมเว็บไซต์โดยใช้วิธีการชำระเงินนี้
โครงสร้างพื้นฐาน
Домен | วันที่ค้นพบ/ปรากฏ |
---|---|
cdn.illum.pw | 27/11/2016 |
record.nstatistics.com | 06/09/2018 |
request.payrightnow.cf | 25/05/2018 |
Paymentnow.tk | 16/07/2017 |
Payment-line.tk | 01/03/2018 |
Paymentpal.cf | 04/09/2017 |
requestnet.tk | 28/06/2017 |
ครอบครัวคอฟฟี่ม็อกโกะ
ตระกูลดมกลิ่นของ CoffeMokko ที่ออกแบบมาเพื่อขโมยบัตรธนาคารของผู้ใช้ร้านค้าออนไลน์ถูกนำมาใช้ตั้งแต่เดือนพฤษภาคม 2017 เป็นอย่างน้อย สันนิษฐานว่าผู้ดำเนินการของนักดมกลิ่นในตระกูลนี้เป็นกลุ่มอาชญากรกลุ่มที่ 1 ซึ่งอธิบายโดยผู้เชี่ยวชาญของ RiskIQ ในปี 2016 เว็บไซต์ที่ใช้ CMS เช่น Magento, OpenCart, WordPress, osCommerce, Shopify ถูกโจมตี
CoffeMokko ถูกฝังอยู่ในโค้ดของร้านค้าออนไลน์อย่างไร
ตัวดำเนินการของตระกูลนี้สร้าง sniffer เฉพาะสำหรับการติดเชื้อแต่ละรายการ: ไฟล์ sniffer อยู่ในไดเร็กทอรี สิ่งอำนวยความสะดวก หรือ js บนเซิร์ฟเวอร์ของผู้โจมตี การนำไปใช้ในรหัสไซต์นั้นดำเนินการโดยลิงก์โดยตรงไปยังผู้ดมกลิ่น
sniffer code ฮาร์ดโค้ดชื่อของฟิลด์แบบฟอร์มที่คุณต้องการขโมยข้อมูล ดมกลิ่นยังตรวจสอบว่าผู้ใช้อยู่ในหน้าชำระเงินหรือไม่ โดยตรวจสอบรายการคำหลักเทียบกับที่อยู่ปัจจุบันของผู้ใช้
sniffer บางเวอร์ชันที่ค้นพบถูกทำให้สับสนและมีสตริงเข้ารหัสที่เก็บอาร์เรย์หลักของทรัพยากร: มันมีชื่อของช่องแบบฟอร์มสำหรับระบบการชำระเงินต่างๆ รวมถึงที่อยู่ของประตูที่ควรจะส่งข้อมูลที่ถูกขโมยไป
ข้อมูลการชำระเงินที่ถูกขโมยถูกส่งไปยังสคริปต์บนเซิร์ฟเวอร์ของผู้โจมตีไปพร้อมกัน /savePayment/index.php หรือ /tr/index.php. สันนิษฐานว่า สคริปต์นี้ใช้เพื่อส่งข้อมูลจากเกตไปยังเซิร์ฟเวอร์หลัก ซึ่งรวมข้อมูลจากผู้ดมกลิ่นทั้งหมด เพื่อซ่อนข้อมูลที่ส่ง ข้อมูลการชำระเงินทั้งหมดของเหยื่อจะถูกเข้ารหัสโดยใช้ base64แล้วเกิดการแทนที่อักขระหลายตัว:
- ตัวอักษร "e" ถูกแทนที่ด้วย ":"
- สัญลักษณ์ "w" ถูกแทนที่ด้วย "+"
- ตัวอักษร "o" ถูกแทนที่ด้วย "%"
- อักขระ "d" ถูกแทนที่ด้วย "#"
- ตัวอักษร "a" ถูกแทนที่ด้วย "-"
- สัญลักษณ์ "7" ถูกแทนที่ด้วย "^"
- ตัวอักษร "h" ถูกแทนที่ด้วย "_"
- สัญลักษณ์ "T" จะถูกแทนที่ด้วย "@"
- อักขระ "0" ถูกแทนที่ด้วย "/"
- อักขระ "Y" จะถูกแทนที่ด้วย "*"
อันเป็นผลมาจากการแทนที่อักขระที่เข้ารหัสด้วย base64 ไม่สามารถถอดรหัสข้อมูลได้หากไม่มีการแปลงผกผัน
นี่คือลักษณะของส่วนย่อยของรหัสดมกลิ่นที่ไม่ได้รับการทำให้คลุมเครือ:
การวิเคราะห์โครงสร้างพื้นฐาน
ในช่วงแรกของแคมเปญ ผู้โจมตีจะจดทะเบียนชื่อโดเมนที่คล้ายกับชื่อเว็บไซต์ช้อปปิ้งออนไลน์ที่ถูกกฎหมาย โดเมนของพวกเขาอาจแตกต่างจากที่ถูกต้องทีละอักขระหรือ TLD อื่น โดเมนที่จดทะเบียนแล้วถูกใช้เพื่อจัดเก็บรหัส sniffer ซึ่งเป็นลิงก์ที่ฝังอยู่ในรหัสร้านค้า
กลุ่มนี้ยังใช้ชื่อโดเมนที่ชวนให้นึกถึงปลั๊กอิน jQuery ยอดนิยม (slickjs[.]org สำหรับไซต์ที่ใช้ปลั๊กอิน slick.js) ช่องทางการชำระเงิน (sagecdn[.]org สำหรับไซต์ที่ใช้ระบบการชำระเงิน Sage Pay)
ต่อมา กลุ่มเริ่มสร้างโดเมนที่ชื่อไม่เกี่ยวข้องกับโดเมนของร้านค้าหรือธีมของร้านค้า
แต่ละโดเมนตรงกับไซต์ที่สร้างไดเร็กทอรี /js หรือ / src. สคริปต์ sniffer ถูกเก็บไว้ในไดเร็กทอรีนี้: หนึ่ง sniffer สำหรับการติดไวรัสใหม่แต่ละครั้ง sniffer ถูกนำเข้าไปในโค้ดของไซต์ผ่านลิงก์โดยตรง แต่ในบางกรณี ผู้โจมตีแก้ไขไฟล์ของไซต์และเพิ่มโค้ดที่เป็นอันตรายเข้าไป
การวิเคราะห์รหัส
อัลกอริทึมการทำให้งงงวยครั้งแรก
ในตัวอย่าง sniffer บางตัวอย่างในตระกูลนี้ รหัสถูกทำให้ยุ่งเหยิงและมีข้อมูลเข้ารหัสที่จำเป็นสำหรับ sniffer ในการทำงาน โดยเฉพาะอย่างยิ่ง ที่อยู่เกตของ sniffer รายการฟิลด์แบบฟอร์มการชำระเงิน และในบางกรณี รหัสแบบฟอร์มการชำระเงินปลอม ในรหัสภายในฟังก์ชัน ทรัพยากรถูกเข้ารหัสด้วย แฮคเกอร์ โดยคีย์ที่ส่งผ่านเป็นอาร์กิวเมนต์ไปยังฟังก์ชันเดียวกัน
ด้วยการถอดรหัสสตริงด้วยคีย์ที่เกี่ยวข้อง ซึ่งไม่ซ้ำกันสำหรับแต่ละตัวอย่าง คุณจะได้สตริงที่มีบรรทัดทั้งหมดจากรหัส sniffer ที่คั่นด้วยอักขระตัวคั่น
อัลกอริทึมการทำให้งงงวยที่สอง
ในตัวอย่างต่อมาของตระกูล sniffers นี้ กลไกการทำให้งงงวยต่างๆ ถูกนำมาใช้ ในกรณีนี้ ข้อมูลถูกเข้ารหัสโดยใช้อัลกอริธึมที่เขียนขึ้นเอง สตริงที่มีข้อมูลที่เข้ารหัสซึ่งจำเป็นสำหรับ sniffer ในการทำงานจะถูกส่งผ่านเป็นอาร์กิวเมนต์ไปยังฟังก์ชันถอดรหัส
เมื่อใช้คอนโซลของเบราว์เซอร์ คุณสามารถถอดรหัสข้อมูลที่เข้ารหัสและรับอาร์เรย์ที่มีทรัพยากรการดมกลิ่น
เชื่อมโยงไปยังการโจมตีด้วย MageCart ในยุคแรกๆ
ในการวิเคราะห์หนึ่งในโดเมนที่กลุ่มใช้เป็นประตูในการรวบรวมข้อมูลที่ถูกขโมย พบว่ามีการปรับใช้โครงสร้างพื้นฐานสำหรับการขโมยบัตรเครดิตบนโดเมนนี้ เหมือนกับที่ใช้โดยกลุ่ม 1 ซึ่งเป็นหนึ่งในกลุ่มแรก
พบไฟล์สองไฟล์ในโฮสต์ของตระกูลดมกลิ่น CoffeMokko:
- นักเวทย์ js — ไฟล์ที่มีรหัสดมกลิ่นกลุ่ม 1 พร้อมที่อยู่เกท js-cdn.link
- แม็ก.php - สคริปต์ PHP รับผิดชอบในการรวบรวมข้อมูลที่ถูกขโมยโดยผู้ดมกลิ่น
เนื้อหาของไฟล์ mage.js
นอกจากนี้ยังได้รับการพิจารณาว่าโดเมนแรกสุดที่ใช้โดยกลุ่มที่อยู่เบื้องหลังตระกูล CoffeMokko sniffer ได้รับการจดทะเบียนเมื่อวันที่ 17 พฤษภาคม 2017:
- ลิงก์-js[.]ลิงก์
- ลิงค์ข้อมูล js [.]
- ลิงก์ track-js[.]
- ลิงก์ map-js[.]
- ลิงก์ smart-js[.]
รูปแบบของชื่อโดเมนเหล่านี้เหมือนกับชื่อโดเมน Group 1 ที่ใช้ในการโจมตีในปี 2016
จากข้อเท็จจริงที่ค้นพบ สามารถสันนิษฐานได้ว่ามีความเกี่ยวข้องระหว่างเจ้าหน้าที่ดมกลิ่นของ CoffeMokko กับกลุ่มอาชญากรกลุ่มที่ 1 สันนิษฐานว่าผู้ให้บริการ CoffeMokko อาจยืมเครื่องมือและซอฟต์แวร์เพื่อขโมยการ์ดจากรุ่นก่อน อย่างไรก็ตาม มีความเป็นไปได้มากกว่าที่กลุ่มอาชญากรที่อยู่เบื้องหลังการใช้เครื่องดมกลิ่นของครอบครัว CoffeMokko คือคนๆ เดียวกับที่ดำเนินการโจมตีซึ่งเป็นส่วนหนึ่งของกิจกรรมของกลุ่ม 1 หลังจากการเผยแพร่รายงานฉบับแรกเกี่ยวกับกิจกรรมของกลุ่มอาชญากร ชื่อโดเมนถูกปิดกั้น และเครื่องมือได้รับการศึกษาอย่างละเอียดและอธิบาย กลุ่มนี้ถูกบังคับให้หยุดพัก ปรับแต่งเครื่องมือภายใน และเขียนรหัสดมกลิ่นใหม่เพื่อดำเนินการโจมตีต่อไปโดยไม่มีใครสังเกตเห็น
โครงสร้างพื้นฐาน
Домен | วันที่ค้นพบ/ปรากฏ |
---|---|
ลิงค์-js.link | 17.05.2017 |
ข้อมูล-js.link | 17.05.2017 |
ติดตาม js.link | 17.05.2017 |
แผนที่-js.link | 17.05.2017 |
สมาร์ท js.link | 17.05.2017 |
adorebeauty.org | 03.09.2017 |
การรักษาความปลอดภัย Payment.su | 03.09.2017 |
Braincdn.org | 04.09.2017 |
sagecdn.org | 04.09.2017 |
slickjs.org | 04.09.2017 |
oakandfort.org | 10.09.2017 |
citywlnery.org | 15.09.2017 |
dobell.su | 04.10.2017 |
Childrensplayclothing.org | 31.10.2017 |
jewsondirect.com | 05.11.2017 |
ร้านค้า-rnib.org | 15.11.2017 |
ตู้เสื้อผ้าลอนดอน.org | 16.11.2017 |
misshaus.org | 28.11.2017 |
แบตเตอรี่-force.org | 01.12.2017 |
kik-vape.org | 01.12.2017 |
greatfurnituretradingco.org | 02.12.2017 |
etradesupply.org | 04.12.2017 |
แทนที่ myremote.org | 04.12.2017 |
all-about-sneakers.org | 05.12.2017 |
mage-checkout.org | 05.12.2017 |
nililotan.org | 07.12.2017 |
lamoodbighat.net | 08.12.2017 |
walletgear.org | 10.12.2017 |
dahlie.org | 12.12.2017 |
davidsfootwear.org | 20.12.2017 |
blackriverimaging.org | 23.12.2017 |
exrpesso.org | 02.01.2018 |
parks.su | 09.01.2018 |
pmtonline.คอม | 12.01.2018 |
otocap.org | 15.01.2018 |
คริสโตเปอร์วาร์ด.org | 27.01.2018 |
คอฟฟี่ที.org | 31.01.2018 |
Energycoffe.org | 31.01.2018 |
Energytea.org | 31.01.2018 |
ทีคอฟฟี่.เน็ต | 31.01.2018 |
adaptivecss.org | 01.03.2018 |
coffemokko.com | 01.03.2018 |
londontea.net | 01.03.2018 |
ukcoffe.com | 01.03.2018 |
แล็บบีบิซ | 20.03.2018 |
แบตเตอรี่นาร์ท.คอม | 03.04.2018 |
btosports.net | 09.04.2018 |
chicksaddlery.net | 16.04.2018 |
paypaypay.org | 11.05.2018 |
ar500arnor.com | 26.05.2018 |
authorizecdn.com | 28.05.2018 |
slickmin.com | 28.05.2018 |
Bannerbuzz.info | 03.06.2018 |
แคนดี้เพนส์.เน็ต | 08.06.2018 |
mylrendyphone.com | 15.06.2018 |
freshchat.info | 01.07.2018 |
3lift.org | 02.07.2018 |
abtasty.net | 02.07.2018 |
mechat.info | 02.07.2018 |
zoplm.com | 02.07.2018 |
zapaljs.com | 02.09.2018 |
ฟู้ดแอนด์คอท.คอม | 15.09.2018 |
freshdepor.com | 15.09.2018 |
swappastore.com | 15.09.2018 |
verywellfitness.com | 15.09.2018 |
elerina.com | 18.11.2018 |
majsurplus.com | 19.11.2018 |
top5value.com | 19.11.2018 |
ที่มา: will.com