Neredeyse hepimiz çevrimiçi mağazaların hizmetlerini kullanıyoruz; bu, er ya da geç JavaScript algılayıcılarının (saldırganların kullanıcıların banka kartı verilerini, adreslerini, giriş bilgilerini ve şifrelerini çalmak için bir web sitesine uyguladığı özel kod) kurbanı olma riskiyle karşı karşıya kalacağımız anlamına gelir. .
British Airways web sitesi ve mobil uygulamasının yaklaşık 400 kullanıcısının yanı sıra, spor devi FILA'nın ve Amerikalı bilet dağıtıcısı Ticketmaster'ın İngiliz web sitesini ziyaret edenler de halihazırda koklayıcılardan etkilenmiş durumda. PayPal, Chase Paymenttech, USAePay, Moneris - bunlar ve diğer birçok ödeme sistemi virüsten etkilendi.
Tehdit İstihbaratı Grubu-IB analisti Viktor Okorokov, algılayıcıların web sitesi koduna nasıl sızdığını, ödeme bilgilerini nasıl çaldığını ve ayrıca hangi CRM'lere saldırdıklarını anlatıyor.
"Gizli tehdit"
Öyle oldu ki JS algılayıcıları anti-virüs analistlerinin uzun süre görüş alanından uzak kaldı ve bankalar ve ödeme sistemleri onları ciddi bir tehdit olarak görmedi. Ve tamamen boşuna. Grup-IB uzmanları Ziyaretçileri (günde toplam yaklaşık 2440 milyon kişi) tehlike altında olan 1,5 virüslü çevrimiçi mağaza. Kurbanlar arasında yalnızca kullanıcılar değil, aynı zamanda çevrimiçi mağazalar, ödeme sistemleri ve güvenliği ihlal edilmiş kartlar veren bankalar da yer alıyor.
Group-IB, algılayıcılara yönelik darknet pazarı, bunların altyapıları ve yaratıcılarına milyonlarca dolar kazandıran para kazanma yöntemleri üzerine yapılan ilk çalışma oldu. Araştırmacılar tarafından daha önce yalnızca 38'si bilinen 12 koklayıcı ailesi belirledik.
Çalışma sırasında incelenen dört koklayıcı ailesi üzerinde ayrıntılı olarak duralım.
ReactGet Ailesi
ReactGet ailesinin koklayıcıları, çevrimiçi alışveriş sitelerindeki banka kartı verilerini çalmak için kullanılır. Sniffer, sitede kullanılan çok sayıda farklı ödeme sistemiyle çalışabilir: bir parametre değeri bir ödeme sistemine karşılık gelir ve sniffer'ın tespit edilen bireysel versiyonları, kimlik bilgilerini çalmanın yanı sıra ödemeden banka kartı verilerini çalmak için kullanılabilir. evrensel algılayıcı gibi aynı anda birden fazla ödeme sisteminin formlarını kullanabilirsiniz. Bazı durumlarda saldırganların sitenin yönetim paneline erişim sağlamak amacıyla çevrimiçi mağaza yöneticilerine kimlik avı saldırıları düzenlediği tespit edildi.
Bu algılayıcı ailesini kullanan bir kampanya Mayıs 2017'de başladı; CMS ve Magento, Bigcommerce ve Shopify platformlarını çalıştıran siteler saldırıya uğradı.
ReactGet bir çevrimiçi mağazanın koduna nasıl uygulanır?
Bir betiğin bir bağlantı aracılığıyla "klasik" uygulanmasına ek olarak, ReactGet algılayıcı ailesinin operatörleri özel bir teknik kullanır: JavaScript kodunu kullanarak, kullanıcının bulunduğu mevcut adresin belirli kriterleri karşılayıp karşılamadığını kontrol ederler. Kötü amaçlı kod yalnızca alt dizenin geçerli URL'de mevcut olması durumunda yürütülür çıkış veya tek adımda ödeme, bir sayfa/, dışarı/tek sayfa, ödeme / bir, çıkış / bir. Böylece, algılama kodu tam olarak kullanıcının satın alma işlemleri için ödeme yapmaya başladığı ve ödeme bilgilerini sitedeki forma girdiği anda yürütülecektir.
Bu algılayıcı standart olmayan bir teknik kullanıyor. Mağdurun ödemesi ve kişisel verileri bir araya getirilerek kodlanır. base64, ardından ortaya çıkan dize, saldırganların web sitesine istek göndermek için parametre olarak kullanılır. Çoğu zaman, kapıya giden yol bir JavaScript dosyasını taklit eder; örneğin resp.js, data.js vb. ancak resim dosyalarına bağlantılar da kullanılır, GIF и JPG. Özelliği, algılayıcının 1'e 1 piksel boyutunda bir görüntü nesnesi oluşturması ve daha önce alınan bağlantıyı parametre olarak kullanmasıdır. src Görüntüler. Yani kullanıcı açısından trafikte böyle bir talep sıradan bir resim talebi gibi görünecektir. ImageID algılayıcı ailesinde de benzer bir teknik kullanıldı. Ek olarak, birçok yasal çevrimiçi analiz komut dosyasında 1'e 1 piksellik görsel kullanma tekniği kullanılmaktadır ve bu da kullanıcıyı yanıltabilir.
Sürüm Analizi
ReactGet algılayıcı operatörleri tarafından kullanılan aktif alanların analizi, bu algılayıcı ailesinin birçok farklı versiyonunu ortaya çıkardı. Sürümler, gizlemenin varlığına veya yokluğuna göre farklılık gösterir ve ayrıca her bir algılayıcı, çevrimiçi mağazalar için banka kartı ödemelerini işleyen belirli bir ödeme sistemi için tasarlanmıştır. Sürüm numarasına karşılık gelen parametrenin değerini sıralayan Grup-IB uzmanları, mevcut algılayıcı varyasyonlarının tam bir listesini aldı ve her bir algılayıcının sayfa kodunda aradığı form alanlarının adlarına göre ödeme sistemlerini belirlediler. sniffer'ın hedeflendiği şey.
Algılayıcıların ve bunlara karşılık gelen ödeme sistemlerinin listesi
| Algılayıcı URL'si | Ödeme Sistemi |
|---|---|
| Authorize.Net | |
| Kart tasarrufu | |
| Authorize.Net | |
| Authorize.Net | |
| eWAY Hızlı | |
| Authorize.Net | |
| Adyen | |
| USAePay | |
| Authorize.Net | |
| USAePay | |
| Authorize.Net | |
| para birimi | |
| USAePay | |
| PayPal | |
| Adaçayı Ödeme | |
| Verisign | |
| PayPal | |
| Şerit | |
| Realex | |
| PayPal | |
| Bağlantı Noktası | |
| PayPal | |
| PayPal | |
| Veri Nakit | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| para birimi | |
| Adaçayı Ödeme | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| Authorize.Net | |
| para birimi | |
| Adaçayı Ödeme | |
| Adaçayı Ödeme | |
| Chase Ödeme Teknolojisi | |
| Authorize.Net | |
| Adyen | |
| PsiGate | |
| SiberKaynak | |
| ANZ eGate | |
| Realex | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| Realex | |
| Adaçayı Ödeme | |
| PayPal | |
| Verisign | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| SiberKaynak | |
| Authorize.Net | |
| Adaçayı Ödeme | |
| Realex | |
| SiberKaynak | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Hızlı | |
| Adaçayı Ödeme | |
| Adaçayı Ödeme | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| İlk Veri Küresel Ağ Geçidi | |
| Authorize.Net | |
| Authorize.Net | |
| para birimi | |
| Authorize.Net | |
| PayPal | |
| Verisign | |
| USAePay | |
| USAePay | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| Şerit | |
| Authorize.Net | |
| eWAY Hızlı | |
| Adaçayı Ödeme | |
| Authorize.Net | |
| Braintree | |
| Braintree | |
| PayPal | |
| Adaçayı Ödeme | |
| Adaçayı Ödeme | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| Şerit | |
| Authorize.Net | |
| eWAY Hızlı | |
| Adaçayı Ödeme | |
| Authorize.Net | |
| Braintree | |
| PayPal | |
| Adaçayı Ödeme | |
| Adaçayı Ödeme | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Adaçayı Ödeme | |
| Adaçayı Ödeme | |
| Westpac Ödeme Yolu | |
| payfort | |
| PayPal | |
| Authorize.Net | |
| Şerit | |
| İlk Veri Küresel Ağ Geçidi | |
| PsiGate | |
| Authorize.Net | |
| Authorize.Net | |
| para birimi | |
| Authorize.Net | |
| Adaçayı Ödeme | |
| Verisign | |
| para birimi | |
| PayPal | |
| Bağlantı Noktası | |
| Westpac Ödeme Yolu | |
| Authorize.Net | |
| para birimi | |
| PayPal | |
| Adyen | |
| PayPal | |
| Authorize.Net | |
| USAePay | |
| EBizŞarj | |
| Authorize.Net | |
| Verisign | |
| Verisign | |
| Authorize.Net | |
| PayPal | |
| para birimi | |
| Authorize.Net | |
| PayPal | |
| PayPal | |
| Westpac Ödeme Yolu | |
| Authorize.Net | |
| Authorize.Net | |
| Adaçayı Ödeme | |
| Verisign | |
| Authorize.Net | |
| PayPal | |
| payfort | |
| SiberKaynak | |
| PayPal Payflow Pro | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Adaçayı Ödeme | |
| Authorize.Net | |
| Şerit | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Adaçayı Ödeme | |
| Authorize.Net | |
| Authorize.Net | |
| PayPal | |
| Flint | |
| PayPal | |
| Adaçayı Ödeme | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Şerit | |
| Şişman Zebra | |
| Adaçayı Ödeme | |
| Authorize.Net | |
| İlk Veri Küresel Ağ Geçidi | |
| Authorize.Net | |
| eWAY Hızlı | |
| Adyen | |
| PayPal | |
| QuickBooks Satıcı Hizmetleri | |
| Verisign | |
| Adaçayı Ödeme | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Adaçayı Ödeme | |
| Authorize.Net | |
| eWAY Hızlı | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| SiberKaynak | |
| Authorize.Net | |
| Adaçayı Ödeme | |
| Realex | |
| SiberKaynak | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Hızlı | |
| Adaçayı Ödeme | |
| Adaçayı Ödeme | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| İlk Veri Küresel Ağ Geçidi | |
| Authorize.Net | |
| Authorize.Net | |
| para birimi | |
| Authorize.Net | |
| PayPal |
Şifre dinleyicisi
Bir web sitesinin istemci tarafında çalışan JavaScript algılayıcılarının avantajlarından biri de çok yönlülüğüdür: Bir web sitesine yerleştirilmiş kötü amaçlı kod, ödeme verileri veya bir kullanıcı hesabının kullanıcı adı ve şifresi gibi her türlü veriyi çalabilir. Group-IB uzmanları, site kullanıcılarının e-posta adreslerini ve şifrelerini çalmak üzere tasarlanmış, ReactGet ailesine ait bir algılayıcı örneğini keşfetti.
ImageID algılayıcıyla kesişme
Etkilenen mağazalardan birinin analizi sırasında sitenin iki kez etkilendiği tespit edildi: ReactGet ailesi algılayıcısının kötü amaçlı koduna ek olarak ImageID ailesi algılayıcısının kodu da tespit edildi. Bu örtüşme, her iki algılayıcının arkasındaki operatörlerin kötü amaçlı kod enjekte etmek için benzer teknikler kullandığının kanıtı olabilir.
Evrensel algılayıcı
ReactGet sniffer altyapısıyla ilişkili alan adlarından birinin analizi, aynı kullanıcının üç alan adını daha kaydettirdiğini ortaya çıkardı. Bu üç alan adı, gerçek hayattaki web sitelerinin alan adlarını taklit ediyordu ve daha önce algılayıcıları barındırmak için kullanılıyordu. Üç meşru sitenin kodu analiz edilirken bilinmeyen bir algılayıcı tespit edildi ve daha ileri analizler, bunun ReactGet algılayıcısının geliştirilmiş bir versiyonu olduğunu gösterdi. Bu algılayıcı ailesinin daha önce izlenen tüm versiyonları tek bir ödeme sistemini hedefliyordu, yani her ödeme sistemi özel bir algılayıcı sürümü gerektiriyordu. Ancak bu durumda, çevrimiçi ödeme yapmak için e-ticaret sitelerinin 15 farklı ödeme sistemi ve modülü ile ilgili formlardan bilgi çalabilen evrensel bir sniffer versiyonu keşfedildi.
Bu nedenle, işin başında algılayıcı, kurbanın kişisel bilgilerini içeren temel form alanlarını aradı: tam ad, fiziksel adres, telefon numarası.
Daha sonra algılayıcı, farklı ödeme sistemlerine ve çevrimiçi ödeme modüllerine karşılık gelen 15'ten fazla farklı öneki aradı.
Daha sonra kurbanın kişisel verileri ve ödeme bilgileri bir araya toplandı ve saldırgan tarafından kontrol edilen bir siteye gönderildi: Bu özel vakada, saldırıya uğrayan iki farklı sitede bulunan evrensel ReactGet algılayıcısının iki versiyonu keşfedildi. Ancak her iki sürüm de çalınan verileri aynı saldırıya uğramış siteye gönderdi zoobashop.com.
Sniffer'ın kurbanın ödeme bilgilerini içeren alanları aramak için kullandığı öneklerin analizi, bu sniffer örneğinin aşağıdaki ödeme sistemlerini hedeflediğini belirlememize olanak sağladı:
- Authorize.Net
- Verisign
- First Data
- USAePay
- Şerit
- PayPal
- ANZ eGate
- Braintree
- DataCash (MasterCard)
- Realex Ödemeleri
- PsiGate
- Kalp Merkezi Ödeme Sistemleri
Ödeme bilgilerini çalmak için hangi araçlar kullanılır?
Saldırganların altyapısının analizi sırasında keşfedilen ilk araç, banka kartlarının çalınmasından sorumlu olan kötü amaçlı komut dosyalarını gizlemek için kullanılıyor. Saldırganın ana bilgisayarlarından birinde projenin CLI'sini kullanan bir bash betiği keşfedildi algılayıcı kodunun gizlenmesini otomatikleştirmek için.
Keşfedilen ikinci araç, ana algılayıcının yüklenmesinden sorumlu kodu oluşturmak için tasarlandı. Bu araç, kullanıcının mevcut adresindeki dizeleri arayarak, kullanıcının ödeme sayfasında olup olmadığını kontrol eden JavaScript kodu oluşturur. çıkış, sepet vb. ve eğer sonuç pozitifse kod, saldırganların sunucusundan ana algılayıcıyı yükler. Kötü niyetli etkinliği gizlemek için, ödeme sayfasını belirlemeye yönelik test satırlarının yanı sıra algılayıcıya giden bir bağlantı da dahil olmak üzere tüm satırlar, şu kod kullanılarak kodlanır: base64.
Kimlik avı saldırıları
Saldırganların ağ altyapısının analizi, suç grubunun hedef çevrimiçi mağazanın yönetim paneline erişim sağlamak için sıklıkla kimlik avı kullandığını ortaya çıkardı. Saldırganlar, görsel olarak bir mağazanın alan adına benzeyen bir alan adını kaydettiriyor ve ardından bu alana sahte bir Magento yönetim paneli giriş formu yerleştiriyor. Başarılı olmaları durumunda saldırganlar, Magento CMS'nin yönetim paneline erişim kazanacak ve bu da onlara web sitesi bileşenlerini düzenleme ve kredi kartı verilerini çalmak için bir algılayıcı uygulama fırsatı verecek.
Altyapı
| Alan Adı | Keşif/görünüş tarihi |
|---|---|
| medyapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracer.com | 20.04.2018 |
| tagtracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| Trust-tracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| Etiketlermediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
G-Analytics Ailesi
Bu algılayıcı ailesi, çevrimiçi mağazalardan müşteri kartlarını çalmak için kullanılıyor. Grubun kullandığı ilk alan adı Nisan 2016'da tescil edilmiş, bu da grubun 2016 ortasında faaliyete başladığını gösteriyor olabilir.
Mevcut kampanyada grup, Google Analytics ve jQuery gibi gerçek hayattaki hizmetleri taklit eden alan adları kullanıyor ve algılayıcıların faaliyetlerini meşru komut dosyaları ve meşru olanlara benzer alan adlarıyla maskeliyor. Magento CMS'yi çalıştıran sitelere saldırı düzenlendi.
G-Analytics bir çevrimiçi mağazanın koduna nasıl uygulanır?
Bu ailenin ayırt edici özelliği, kullanıcı ödeme bilgilerini çalmak için çeşitli yöntemlerin kullanılmasıdır. Suç grubu, sitenin istemci tarafına klasik JavaScript kodu enjeksiyonunun yanı sıra, sitenin sunucu tarafına da kod enjeksiyon tekniklerini, yani kullanıcı tarafından girilen verileri işleyen PHP komut dosyalarını kullandı. Bu teknik tehlikelidir çünkü üçüncü taraf araştırmacıların kötü amaçlı kodları tespit etmesini zorlaştırır. Group-IB uzmanları, sitenin PHP koduna yerleştirilmiş ve alan adını kapı olarak kullanan bir algılayıcı sürümünü keşfetti dittm.org.
Çalınan verileri toplamak için aynı etki alanını kullanan bir algılayıcının eski bir sürümü de keşfedildi dittm.org, ancak bu sürüm bir çevrimiçi mağazanın istemci tarafında kurulum için tasarlanmıştır.
Grup daha sonra taktiklerini değiştirerek kötü niyetli faaliyetleri gizlemeye ve kamufle etmeye daha fazla odaklanmaya başladı.
Grup, 2017 yılının başında alan adını kullanmaya başladı. jquery-js.com, jQuery için CDN kılığına giriyor: saldırganların sitesine gittiğinde kullanıcı meşru bir siteye yönlendiriliyor jquery.com.
Ve 2018'in ortalarında grup, alan adını benimsedi g-analytics.com ve algılayıcının faaliyetlerini meşru bir Google Analytics hizmetiymiş gibi gizlemeye başladı.
Sürüm Analizi
Algılama kodunu depolamak için kullanılan alan adlarının analizi sırasında, sitenin, gizleme varlığında farklılık gösteren çok sayıda sürüm içerdiği ve ayrıca dikkati dağıtmak için dosyaya eklenen ulaşılamayan kodun varlığı veya yokluğu olduğu tespit edildi. ve kötü amaçlı kodu gizleyin.
Sitede toplam jquery-js.com Altı tane koklayıcı versiyonu belirlendi. Bu algılayıcılar çalınan verileri, algılayıcının kendisiyle aynı web sitesinde bulunan bir adrese gönderir: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Daha sonra alan adı g-analytics.comGrubun 2018 ortasından bu yana saldırılarda kullandığı . Toplamda 16 farklı sniffer versiyonu keşfedildi. Bu durumda, çalınan veriyi gönderen kapı, bir resim formatına bağlantı olarak gizlenmişti. GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
Çalınan verilerden para kazanma
Suç grubu, kartçılara hizmet sağlayan özel olarak oluşturulmuş bir yer altı mağazası aracılığıyla kart satarak çalınan verilerden para kazanıyor. Saldırganların kullandığı alan adlarının analizi şunları belirlememize olanak sağladı: google-analytics.cm alan adıyla aynı kullanıcı tarafından kaydedildi kartz.vc. Alan adı kartz.vc çalıntı banka kartları satan bir mağazayı ifade eder Cardsurfs (Flysurfs), yeraltı ticaret platformu AlphaBay'in bir algılayıcı kullanılarak çalınan banka kartlarını satan bir mağaza olarak faaliyet gösterdiği günlerde popülerlik kazanmıştır.
Alanı analiz etme analitik.is, algılayıcıların çalınan verileri toplamak için kullandıkları alan adlarıyla aynı sunucuda bulunan Group-IB uzmanları, daha sonra geliştirici tarafından terk edilmiş gibi görünen, çerez hırsızı günlüklerini içeren bir dosya keşfetti. Günlükteki girişlerden biri bir etki alanı içeriyordu iozoz.com, daha önce 2016'da aktif olan algılayıcılardan birinde kullanılmıştı. Muhtemelen bu alan adı daha önce bir saldırgan tarafından, bir algılayıcı kullanılarak çalınan kartları toplamak için kullanılmıştı. Bu alan adı bir e-posta adresine kayıtlı [e-posta korumalı], aynı zamanda alan adlarını kaydetmek için de kullanıldı kartz.su и kartz.vc, taraklama mağazası Cardsurfs ile ilgili.
Elde edilen verilere dayanarak G-Analytics sniffer ailesi ile Cardsurf banka kartları satan yer altı mağazasının aynı kişiler tarafından yönetildiği ve mağazanın sniffer kullanılarak çalınan banka kartlarını satmak için kullanıldığı varsayılabilir.
Altyapı
| Alan Adı | Keşif/görünüş tarihi |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| analitik.to | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| analitik.is | 28.12.2018 |
| googlc-analytics.cm | 17.01.2019 |
Ilum ailesi
Illum, Magento CMS çalıştıran çevrimiçi mağazalara saldırmak için kullanılan bir algılayıcı ailesidir. Bu algılayıcının operatörleri, kötü amaçlı kod yerleştirmenin yanı sıra, saldırganlar tarafından kontrol edilen kapılara veri gönderen tam teşekküllü sahte ödeme formlarının tanıtımını da kullanıyor.
Bu algılayıcının operatörleri tarafından kullanılan ağ altyapısı analiz edilirken, çok sayıda kötü amaçlı komut dosyası, açıklardan yararlanma, sahte ödeme formlarının yanı sıra rakiplerden gelen kötü niyetli algılayıcıların yer aldığı bir dizi örnek dikkat çekti. Grubun kullandığı alan adlarının yayınlanma tarihlerine ilişkin bilgilere dayanarak kampanyanın 2016 yılı sonunda başladığı varsayılabilir.
Illum bir çevrimiçi mağazanın koduna nasıl uygulanır?
Keşfedilen algılayıcının ilk versiyonları doğrudan ele geçirilen sitenin koduna yerleştirilmişti. Çalınan veriler şu adrese gönderildi: cdn.illum[.]pw/records.php, kapı kullanılarak kodlandı base64.
Daha sonra, algılayıcının farklı bir geçit kullanan paketlenmiş bir versiyonu keşfedildi. kayıtlar.nstatistics[.]com/records.php.
Göre Willem de Groot, üzerinde uygulanan algılayıcıda aynı ana bilgisayar kullanıldı Alman siyasi partisi CSU'ya aittir.
Saldırganların web sitesinin analizi
Group-IB uzmanları, bu suç grubu tarafından araçları depolamak ve çalıntı bilgileri toplamak için kullanılan bir web sitesini keşfetti ve analiz etti.
Saldırganların sunucusunda bulunan araçlar arasında Linux işletim sistemindeki ayrıcalıkları artırmaya yönelik komut dosyaları ve açıklardan yararlanma programları da vardı: örneğin, Mike Czumak tarafından geliştirilen Linux Ayrıcalık Yükseltme Denetim Komut Dosyasının yanı sıra CVE-2009-1185'e yönelik bir açıktan yararlanma.
Saldırganlar çevrimiçi mağazalara saldırmak için doğrudan iki açıktan yararlandı: kötü amaçlı kod enjekte etme yeteneğine sahip core_config_data CVE-2016-4010'dan yararlanarak, CMS Magento eklentilerindeki bir RCE güvenlik açığından yararlanarak, savunmasız bir web sunucusunda rastgele kod çalıştırılmasına izin veriyor.
Ayrıca sunucunun analizi sırasında, saldırganların saldırıya uğramış sitelerden ödeme bilgilerini toplamak için kullandığı çeşitli koklayıcı örnekleri ve sahte ödeme formları keşfedildi. Aşağıdaki listeden de görebileceğiniz gibi, saldırıya uğrayan her site için ayrı ayrı bazı scriptler oluşturulurken, belirli CMS ve ödeme ağ geçitleri için evrensel bir çözüm kullanıldı. Örneğin, komut dosyaları segapay_standart.js и segapay_onpage.js Sage Pay ödeme ağ geçidini kullanan sitelerde uygulanmak üzere tasarlanmıştır.
Çeşitli ödeme ağ geçitleri için komut dosyalarının listesi
| Senaryo | Ödeme Sağlayıcı |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdierenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //şimdi öde[.]cf/?ödeme= |
| [.]pw/magento/payment_redcrypt.js | //şimdi öde[.]cf/?ödeme= |
| [.]pw/magento/payment_forminsite.js | //şimdi ödeme[.]tk/?ödeme= |
Ev sahibi şimdi ödeme[.]tk, bir komut dosyasında kapı olarak kullanılır ödeme_forminsite.jsolarak keşfedildi konuAltName CloudFlare hizmetiyle ilgili çeşitli sertifikalarda. Ayrıca, ana bilgisayar bir komut dosyası içeriyordu kötülük.js. Komut dosyasının adına bakılırsa, CVE-2016-4010'dan yararlanmanın bir parçası olarak kullanılabilir, bu sayede CMS Magento çalıştıran bir sitenin alt bilgisine kötü amaçlı kod enjekte etmek mümkündür. Ana bilgisayar bu betiği geçit olarak kullandı request.requestnet[.]tkana bilgisayarla aynı sertifikayı kullanma şimdi ödeme[.]tk.
Sahte ödeme formları
Aşağıdaki şekilde kart verilerini girmek için bir form örneği gösterilmektedir. Bu form bir çevrimiçi mağazaya sızmak ve kart verilerini çalmak için kullanıldı.
Aşağıdaki şekil, saldırganlar tarafından bu ödeme yöntemiyle sitelere sızmak için kullanılan sahte PayPal ödeme formunun bir örneğini göstermektedir.
Altyapı
| Alan Adı | Keşif/görünüş tarihi |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| kayıtlar.nstatistics.com | 06/09/2018 |
| request.payrightnow.cf | 25/05/2018 |
| ödemeşimdi.tk | 16/07/2017 |
| ödeme hattı.tk | 01/03/2018 |
| ödemepal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
KahveMokko ailesi
Çevrimiçi mağaza kullanıcılarından banka kartlarını çalmak için tasarlanan CoffeMokko algılayıcı ailesi, en az Mayıs 2017'den beri kullanılıyor. Muhtemelen, bu algılayıcı ailesinin operatörleri, RiskIQ uzmanları tarafından 1 yılında tanımlanan Grup 2016 suç grubudur. Magento, OpenCart, WordPress, osCommerce ve Shopify gibi CMS'leri çalıştıran siteler saldırıya uğradı.
CoffeMokko bir çevrimiçi mağazanın koduna nasıl uygulanır?
Bu ailenin operatörleri her enfeksiyon için benzersiz algılayıcılar oluşturur: algılama dosyası dizinde bulunur src veya js saldırganların sunucusunda. Site koduna ekleme, algılayıcıya doğrudan bir bağlantı aracılığıyla gerçekleştirilir.
Sniffer kodu, verilerin çalınması gereken form alanlarının adlarını sabit kodlar. Sniffer ayrıca kullanıcının geçerli adresini içeren anahtar kelime listesini kontrol ederek kullanıcının ödeme sayfasında olup olmadığını da kontrol eder.
Algılayıcının keşfedilen bazı sürümleri karartılmıştı ve ana kaynak dizisinin depolandığı şifrelenmiş bir dizi içeriyordu: çeşitli ödeme sistemleri için form alanlarının adlarının yanı sıra çalınan verilerin gönderilmesi gereken kapı adresini de içeriyordu.
Çalınan ödeme bilgileri, yol boyunca saldırganların sunucusundaki bir komut dosyasına gönderildi /savePayment/index.php veya /tr/index.php. Muhtemelen, bu komut dosyası, tüm algılayıcılardan gelen verileri birleştiren, geçitten ana sunucuya veri göndermek için kullanılıyor. İletilen verileri gizlemek için kurbanın tüm ödeme bilgileri şifrelenir. base64ve ardından birkaç karakter değişikliği gerçekleşir:
- "e" karakteri ":" ile değiştirilir
- "w" sembolü "+" ile değiştirildi
- "o" karakteri "%" ile değiştirilir
- "d" karakteri "#" ile değiştirilir
- "a" karakteri "-" ile değiştirilir
- "7" sembolü "^" ile değiştirildi
- "h" karakteri "_" ile değiştirilir
- "T" sembolü "@" ile değiştirildi
- "0" karakteri "/" ile değiştirilir
- "Y" karakteri "*" ile değiştirildi
Kullanılarak kodlanan karakter değişiklikleri sonucunda base64 Verilerin kodu, ters dönüşüm gerçekleştirilmeden çözülemez.
Bu, şaşırtılmamış bir algılama kodu parçasının neye benzediğidir:
Altyapı Analizi
İlk kampanyalarda saldırganlar, yasal çevrimiçi alışveriş sitelerinin alan adlarına benzer alan adlarını kaydettiriyordu. Etki alanları meşru olandan bir sembol veya başka bir TLD ile farklı olabilir. Kayıtlı alanlar, mağaza koduna bir bağlantı yerleştirilmiş olan algılama kodunu depolamak için kullanıldı.
Bu grup ayrıca popüler jQuery eklentilerini hatırlatan alan adlarını da kullandı (Slickjs[.]org eklentiyi kullanan siteler için kaygan.js), ödeme ağ geçitleri (sagecdn[.]org Sage Pay ödeme sistemini kullanan siteler için).
Daha sonra grup, adlarının mağazanın alanıyla veya mağazanın temasıyla hiçbir ilgisi olmayan alanlar oluşturmaya başladı.
Her alan adı, dizinin oluşturulduğu siteye karşılık geliyordu /js veya / kaynak. Algılayıcı komut dosyaları bu dizinde saklanıyordu: her yeni enfeksiyon için bir algılayıcı. Algılayıcı, doğrudan bir bağlantı aracılığıyla web sitesi koduna yerleştirildi ancak nadir durumlarda saldırganlar, web sitesi dosyalarından birini değiştirdi ve bu dosyaya kötü amaçlı kod ekledi.
Kod analizi
İlk gizleme algoritması
Bu ailenin keşfedilen bazı algılayıcı örneklerinde kod karartılmıştı ve algılayıcının çalışması için gerekli olan şifrelenmiş verileri içeriyordu: özellikle algılayıcı kapısı adresi, ödeme formu alanlarının listesi ve bazı durumlarda sahte kod ödeme formu. Fonksiyonun içindeki kodda, kaynaklar kullanılarak şifrelendi. XOR aynı işleve argüman olarak iletilen anahtar tarafından.
Her örnek için benzersiz olan uygun anahtarla dizenin şifresini çözerek, bir ayırıcı karakterle ayrılmış algılama kodundaki tüm dizeleri içeren bir dize elde edebilirsiniz.
İkinci gizleme algoritması
Bu ailenin daha sonraki algılayıcı örneklerinde farklı bir gizleme mekanizması kullanıldı: bu durumda veriler, kendi kendine yazılan bir algoritma kullanılarak şifrelendi. Algılayıcının çalışması için gerekli olan şifrelenmiş verileri içeren bir dize, şifre çözme işlevine argüman olarak iletildi.
Tarayıcı konsolunu kullanarak şifrelenmiş verilerin şifresini çözebilir ve algılayıcı kaynakları içeren bir dizi elde edebilirsiniz.
İlk MageCart saldırılarıyla bağlantı
Grubun çalıntı verileri toplamak için ağ geçidi olarak kullandığı alan adlarından birinin analizi sırasında, bu alanın kredi kartı hırsızlığına yönelik ilk gruplardan Grup 1'in kullandığı altyapının aynısını barındırdığı tespit edildi. RiskIQ uzmanları tarafından.
CoffeMokko koklayıcı ailesinin sunucusunda iki dosya bulundu:
- mage.js — kapı adresiyle birlikte Grup 1 algılayıcı kodunu içeren dosya js-cdn.link
- mag.php — Algılayıcı tarafından çalınan verilerin toplanmasından sorumlu PHP betiği
mage.js dosyasının içeriği
Ayrıca CoffeMokko algılayıcı ailesinin arkasındaki grup tarafından kullanılan en eski alan adlarının 17 Mayıs 2017'de tescil edildiği belirlendi:
- link-js[.]link
- bilgi-js[.]bağlantısı
- track-js[.]bağlantısı
- harita-js[.]bağlantısı
- akıllı-js[.]bağlantısı
Bu alan adlarının formatı, 1 saldırılarında kullanılan Grup 2016 alan adlarıyla eşleşiyor.
Keşfedilen gerçeklere dayanarak, CoffeMokko koklayıcılarının operatörleri ile Grup 1 suç grubu arasında bir bağlantı olduğu varsayılabilir. Muhtemelen CoffeMokko operatörleri, kartları çalmak için öncekilerden araç ve yazılım ödünç almış olabilirler. Ancak CoffeMokko koklayıcı ailesinin kullanımının arkasındaki suç grubunun, Grup 1 saldırılarını gerçekleştiren kişilerle aynı kişiler olması daha muhtemeldir.Suç grubunun faaliyetlerine ilişkin ilk raporun yayınlanmasının ardından, tüm alan adları ele geçirildi. bloklanmış ve araçlar detaylı olarak incelenmiş ve açıklanmıştır. Grup, saldırılarına devam etmek ve tespit edilmemek için ara vermek, dahili araçlarını geliştirmek ve algılama kodunu yeniden yazmak zorunda kaldı.
Altyapı
| Alan Adı | Keşif/görünüş tarihi |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| harita-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| güvenlik-ödeme.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| Slickjs.org | 04.09.2017 |
| Oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| çocuk oyun kıyafetleri.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| klozetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| pil-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| harikamobilyatradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| Remotemyremote.org'u değiştir | 04.12.2017 |
| her şey hakkında-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| Walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parklar.su | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| kahvetea.org | 31.01.2018 |
| enerjicoffe.org | 31.01.2018 |
| enerjitea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| kahvemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| pilnart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| yetkilicdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| tazechat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplma.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| tazedepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| çokwellfitnesse.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
Kaynak: habr.com