ہم میں سے تقریباً ہر ایک آن لائن اسٹورز کی خدمات استعمال کرتا ہے، جس کا مطلب ہے کہ جلد یا بدیر ہم جاوا اسکرپٹ سنیفرز کا شکار ہونے کا خطرہ مول لیتے ہیں - ایک خاص کوڈ جسے حملہ آور بینک کارڈ کا ڈیٹا، پتے، صارف نام اور پاس ورڈ چرانے کے لیے ویب سائٹ میں داخل کرتے ہیں۔ .
برٹش ایئرویز کی ویب سائٹ اور موبائل ایپ کے تقریباً 400 صارفین پہلے ہی سنیفرز سے متاثر ہو چکے ہیں، ساتھ ہی کھیلوں کی بڑی کمپنی FILA اور امریکی ٹکٹ تقسیم کرنے والے ٹکٹ ماسٹر کی برطانوی ویب سائٹ کے زائرین بھی متاثر ہو چکے ہیں۔ PayPal, Chase Paymenttech, USAePay, Moneris - یہ اور بہت سے دوسرے ادائیگی کے نظام متاثر ہوئے ہیں۔
تھریٹ انٹیلی جنس گروپ-IB کے تجزیہ کار وکٹر اوکوروکوف اس بارے میں بات کرتے ہیں کہ کس طرح سنیفرز ویب سائٹ کوڈ میں گھس کر ادائیگی کی معلومات چوری کرتے ہیں، نیز وہ کن سی آر ایم پر حملہ کرتے ہیں۔
"پوشیدہ خطرہ"
ایسا ہوا کہ JS-sniffers ایک طویل عرصے تک اینٹی وائرس تجزیہ کاروں کی نظروں سے باہر رہے، اور بینکوں اور ادائیگی کے نظام نے انہیں ایک سنگین خطرہ کے طور پر نہیں دیکھا۔ اور بالکل بیکار۔ گروپ-آئی بی ماہرین 2440 متاثرہ آن لائن اسٹورز، جن کے زائرین - کل تقریباً 1,5 ملین لوگ روزانہ - سمجھوتہ کے خطرے میں تھے۔ متاثرین میں نہ صرف صارفین بلکہ آن لائن اسٹورز، ادائیگی کے نظام اور بینک بھی شامل ہیں جنہوں نے سمجھوتہ شدہ کارڈ جاری کیے ہیں۔
Group-IB سنیفرز کی ڈارک نیٹ مارکیٹ، ان کے بنیادی ڈھانچے اور منیٹائزیشن کے طریقوں کا پہلا مطالعہ بن گیا، جس سے ان کے تخلیق کاروں کو لاکھوں ڈالر ملے۔ ہم نے 38 سونگھنے والے خاندانوں کی نشاندہی کی، جن میں سے صرف 12 پہلے محققین کو معلوم تھے۔
آئیے ہم مطالعہ کے دوران سنیفرز کے چار خاندانوں پر تفصیل سے غور کریں۔
ReactGet فیملی
ReactGet فیملی کے Sniffers آن لائن شاپنگ سائٹس پر بینک کارڈ کا ڈیٹا چرانے کے لیے استعمال ہوتے ہیں۔ سنیفر سائٹ پر استعمال ہونے والے مختلف ادائیگی کے نظاموں کی ایک بڑی تعداد کے ساتھ کام کر سکتا ہے: ایک پیرامیٹر کی قدر ایک ادائیگی کے نظام کے مساوی ہے، اور سنیففر کے انفرادی طور پر پائے جانے والے ورژن کو اسناد چوری کرنے کے ساتھ ساتھ بینک کارڈ کا ڈیٹا چوری کرنے کے لیے استعمال کیا جا سکتا ہے۔ ایک ساتھ کئی ادائیگی کے نظاموں کی ادائیگی کے فارم، جیسے نام نہاد یونیورسل سنیفر۔ یہ پایا گیا کہ کچھ معاملات میں، حملہ آور سائٹ کے انتظامی پینل تک رسائی حاصل کرنے کے لیے آن لائن اسٹور کے منتظمین پر فشنگ حملے کرتے ہیں۔
سنیفرز کے اس خاندان کو استعمال کرنے کی مہم مئی 2017 میں شروع ہوئی۔ CMS اور پلیٹ فارمز Magento، Bigcommerce، Shopify چلانے والی سائٹوں پر حملہ کیا گیا۔
آن لائن اسٹور کے کوڈ میں ReactGet کیسے سرایت کرتا ہے۔
لنک کے ذریعے "کلاسک" اسکرپٹ انجیکشن کے علاوہ، ReactGet فیملی سنففر آپریٹرز ایک خاص تکنیک کا استعمال کرتے ہیں: JavaScript کوڈ کا استعمال کرتے ہوئے، یہ چیک کرتا ہے کہ آیا موجودہ پتہ جہاں صارف موجود ہے کچھ معیارات پر پورا اترتا ہے۔ بدنیتی پر مبنی کوڈ صرف اس صورت میں چلے گا جب موجودہ URL میں ایک ذیلی سٹرنگ ہو۔ چیک آؤٹ یا ایک قدم چیک آؤٹ, ایک صفحہ/, آؤٹ/ون پیگ, چیک آؤٹ/ایک, ckout/one. اس طرح، سنیفر کوڈ کو بالکل اسی وقت لاگو کیا جائے گا جب صارف خریداری کے لیے ادائیگی کرنے کے لیے آگے بڑھے گا اور سائٹ پر موجود فارم میں ادائیگی کی معلومات درج کرے گا۔
یہ سنففر ایک غیر معیاری تکنیک کا استعمال کرتا ہے۔ متاثرہ کی ادائیگی اور ذاتی ڈیٹا اکٹھا کیا جاتا ہے، ان کو استعمال کرتے ہوئے انکوڈ کیا جاتا ہے۔ بیس 64، اور پھر نتیجے میں سٹرنگ کو ایک پیرامیٹر کے طور پر استعمال کیا جاتا ہے تاکہ نقصان دہ سائٹ کو درخواست بھیجیں۔ اکثر، گیٹ کا راستہ جاوا اسکرپٹ فائل کی نقل کرتا ہے، مثال کے طور پر resp.js, ڈیٹا.js وغیرہ، لیکن تصویری فائلوں کے لنکس بھی استعمال ہوتے ہیں، GIF и JPG. خاص بات یہ ہے کہ سنیففر 1 بائی 1 پکسل کے سائز کے ساتھ ایک تصویری آبجیکٹ بناتا ہے اور پہلے سے حاصل کردہ لنک کو پیرامیٹر کے طور پر استعمال کرتا ہے۔ ایسآرسی امیجز یعنی صارف کے لیے ٹریفک میں ایسی درخواست ایک باقاعدہ تصویر کی درخواست کی طرح نظر آئے گی۔ اسی طرح کی تکنیک سنیفرز کے امیج آئی ڈی فیملی میں استعمال کی گئی تھی۔ اس کے علاوہ، 1x1 پکسل امیج تکنیک کا استعمال بہت سے جائز آن لائن تجزیاتی اسکرپٹس میں کیا جاتا ہے، جو صارف کو گمراہ بھی کر سکتا ہے۔
ورژن کا تجزیہ
ReactGet sniffer آپریٹرز کے زیر استعمال فعال ڈومینز کے تجزیے سے سنیفرز کے اس خاندان کے بہت سے مختلف ورژن سامنے آئے۔ مبہم کی موجودگی یا غیر موجودگی میں ورژن مختلف ہوتے ہیں، اور اس کے علاوہ، ہر سنیفر کو ایک مخصوص ادائیگی کے نظام کے لیے ڈیزائن کیا گیا ہے جو آن لائن اسٹورز کے لیے بینک کارڈ کی ادائیگیوں پر کارروائی کرتا ہے۔ ورژن نمبر کے مطابق پیرامیٹر کی قدر کو ترتیب دینے کے بعد، گروپ-آئی بی کے ماہرین کو سنیفر کی دستیاب مختلف حالتوں کی مکمل فہرست موصول ہوئی، اور ان فارم فیلڈز کے ناموں سے جو ہر سنیففر صفحہ کے کوڈ میں تلاش کرتا ہے، انہوں نے ادائیگی کے نظام کا تعین کیا۔ کہ سونگھنے والا نشانہ بناتا ہے۔
سنیفرز کی فہرست اور ان سے متعلقہ ادائیگی کے نظام
| Sniffer URL | ادائیگی کا نظام |
|---|---|
| مجاز۔ نیٹ | |
| کارڈ سیو | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| eWAY ریپڈ | |
| مجاز۔ نیٹ | |
| اڈین | |
| USAePay | |
| مجاز۔ نیٹ | |
| USAePay | |
| مجاز۔ نیٹ | |
| مونیرس | |
| USAePay | |
| پے پال | |
| سیج پے | |
| ویری سائن | |
| پے پال | |
| پٹی | |
| ریئلیکس | |
| پے پال | |
| لنک پوائنٹ | |
| پے پال | |
| پے پال | |
| ڈیٹا کیش۔ | |
| پے پال | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| ویری سائن | |
| مجاز۔ نیٹ | |
| مونیرس | |
| سیج پے | |
| USAePay | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| اے این زیڈ ای گیٹ | |
| مجاز۔ نیٹ | |
| مونیرس | |
| سیج پے | |
| سیج پے | |
| چیس پے مینٹیک | |
| مجاز۔ نیٹ | |
| اڈین | |
| PsiGate | |
| سائبر سورس | |
| اے این زیڈ ای گیٹ | |
| ریئلیکس | |
| USAePay | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| اے این زیڈ ای گیٹ | |
| پے پال | |
| پے پال | |
| ریئلیکس | |
| سیج پے | |
| پے پال | |
| ویری سائن | |
| مجاز۔ نیٹ | |
| ویری سائن | |
| مجاز۔ نیٹ | |
| اے این زیڈ ای گیٹ | |
| پے پال | |
| سائبر سورس | |
| مجاز۔ نیٹ | |
| سیج پے | |
| ریئلیکس | |
| سائبر سورس | |
| پے پال | |
| پے پال | |
| پے پال | |
| ویری سائن | |
| eWAY ریپڈ | |
| سیج پے | |
| سیج پے | |
| ویری سائن | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| پہلا ڈیٹا گلوبل گیٹ وے | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| مونیرس | |
| مجاز۔ نیٹ | |
| پے پال | |
| ویری سائن | |
| USAePay | |
| USAePay | |
| مجاز۔ نیٹ | |
| ویری سائن | |
| پے پال | |
| مجاز۔ نیٹ | |
| پٹی | |
| مجاز۔ نیٹ | |
| eWAY ریپڈ | |
| سیج پے | |
| مجاز۔ نیٹ | |
| braintree کی | |
| braintree کی | |
| پے پال | |
| سیج پے | |
| سیج پے | |
| مجاز۔ نیٹ | |
| پے پال | |
| مجاز۔ نیٹ | |
| ویری سائن | |
| پے پال | |
| مجاز۔ نیٹ | |
| پٹی | |
| مجاز۔ نیٹ | |
| eWAY ریپڈ | |
| سیج پے | |
| مجاز۔ نیٹ | |
| braintree کی | |
| پے پال | |
| سیج پے | |
| سیج پے | |
| مجاز۔ نیٹ | |
| پے پال | |
| مجاز۔ نیٹ | |
| ویری سائن | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| سیج پے | |
| سیج پے | |
| ویسٹ پیک پے وے | |
| پے فورٹ | |
| پے پال | |
| مجاز۔ نیٹ | |
| پٹی | |
| پہلا ڈیٹا گلوبل گیٹ وے | |
| PsiGate | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| مونیرس | |
| مجاز۔ نیٹ | |
| سیج پے | |
| ویری سائن | |
| مونیرس | |
| پے پال | |
| لنک پوائنٹ | |
| ویسٹ پیک پے وے | |
| مجاز۔ نیٹ | |
| مونیرس | |
| پے پال | |
| اڈین | |
| پے پال | |
| مجاز۔ نیٹ | |
| USAePay | |
| EBizCharge | |
| مجاز۔ نیٹ | |
| ویری سائن | |
| ویری سائن | |
| مجاز۔ نیٹ | |
| پے پال | |
| مونیرس | |
| مجاز۔ نیٹ | |
| پے پال | |
| پے پال | |
| ویسٹ پیک پے وے | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| سیج پے | |
| ویری سائن | |
| مجاز۔ نیٹ | |
| پے پال | |
| پے فورٹ | |
| سائبر سورس | |
| پے پال پے فلو پرو | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| ویری سائن | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| سیج پے | |
| مجاز۔ نیٹ | |
| پٹی | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| ویری سائن | |
| پے پال | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| سیج پے | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| پے پال | |
| چکمک پتھر | |
| پے پال | |
| سیج پے | |
| ویری سائن | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| پٹی | |
| موٹا زیبرا | |
| سیج پے | |
| مجاز۔ نیٹ | |
| پہلا ڈیٹا گلوبل گیٹ وے | |
| مجاز۔ نیٹ | |
| eWAY ریپڈ | |
| اڈین | |
| پے پال | |
| کوئک بوکس مرچنٹ خدمات | |
| ویری سائن | |
| سیج پے | |
| ویری سائن | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| سیج پے | |
| مجاز۔ نیٹ | |
| eWAY ریپڈ | |
| مجاز۔ نیٹ | |
| اے این زیڈ ای گیٹ | |
| پے پال | |
| سائبر سورس | |
| مجاز۔ نیٹ | |
| سیج پے | |
| ریئلیکس | |
| سائبر سورس | |
| پے پال | |
| پے پال | |
| پے پال | |
| ویری سائن | |
| eWAY ریپڈ | |
| سیج پے | |
| سیج پے | |
| ویری سائن | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| پہلا ڈیٹا گلوبل گیٹ وے | |
| مجاز۔ نیٹ | |
| مجاز۔ نیٹ | |
| مونیرس | |
| مجاز۔ نیٹ | |
| پے پال |
پاس ورڈ سونگھنے والا
ویب سائٹ کے کلائنٹ سائیڈ پر کام کرنے والے JavaScript sniffers کے فوائد میں سے ایک اس کی استعداد ہے: ویب سائٹ پر سرایت شدہ کوڈ کسی بھی قسم کا ڈیٹا چوری کر سکتا ہے، چاہے وہ ادائیگی کی معلومات ہو یا صارف کے اکاؤنٹ سے لاگ ان اور پاس ورڈ۔ گروپ-آئی بی کے ماہرین نے ری ایکٹ گیٹ فیملی سے تعلق رکھنے والے ایک سنیففر کا ایک نمونہ دریافت کیا، جسے سائٹ کے صارفین کے ای میل ایڈریس اور پاس ورڈ چرانے کے لیے ڈیزائن کیا گیا تھا۔
ImageID sniffer کے ساتھ انٹرسیکشن
متاثرہ اسٹورز میں سے ایک کے تجزیے کے دوران، یہ پایا گیا کہ اس کی ویب سائٹ دو بار متاثر ہوئی تھی: ReactGet فیملی سنیفر کے نقصان دہ کوڈ کے علاوہ، ImageID فیملی سنیفر کا کوڈ بھی ملا۔ یہ اوورلیپ اس بات کا ثبوت ہو سکتا ہے کہ دونوں سنیفرز کے پیچھے آپریٹرز بدنیتی پر مبنی کوڈ لگانے کے لیے ایک جیسی تکنیک استعمال کر رہے ہیں۔
یونیورسل سونگھنے والا
ReactGet sniffer انفراسٹرکچر سے متعلق ڈومین ناموں میں سے ایک کے تجزیے کے دوران، یہ پتہ چلا کہ اسی صارف نے تین دیگر ڈومین ناموں کو رجسٹر کیا ہے۔ ان تینوں ڈومینز نے حقیقی زندگی کی سائٹس کے ڈومینز کی تقلید کی اور پہلے سنیفرز کی میزبانی کے لیے استعمال کیے جاتے تھے۔ تین جائز سائٹس کے کوڈ کا تجزیہ کرتے وقت، ایک نامعلوم سنیفر ملا، اور مزید تجزیے سے معلوم ہوا کہ یہ ReactGet sniffer کا ایک بہتر ورژن ہے۔ سنیفرز کے اس خاندان کے پہلے سے ٹریک کیے گئے تمام ورژنز کو ایک ہی ادائیگی کے نظام پر نشانہ بنایا گیا تھا، یعنی ہر ادائیگی کے نظام کے لیے سنیفر کا ایک خاص ورژن درکار تھا۔ تاہم، اس معاملے میں، سنیفر کا ایک عالمگیر ورژن دریافت ہوا، جو 15 مختلف ادائیگی کے نظاموں اور آن لائن ادائیگیوں کے لیے ای کامرس سائٹس کے ماڈیولز سے متعلق معلومات چرانے کے قابل ہے۔
لہذا، کام کے آغاز میں، سنیفر نے شکار کی ذاتی معلومات پر مشتمل بنیادی فارم فیلڈز کی تلاش کی: پورا نام، جسمانی پتہ، فون نمبر۔
اس کے بعد سنیفر نے آن لائن ادائیگیوں کے لیے مختلف ادائیگی کے نظاموں اور ماڈیولز سے مماثل 15 مختلف سابقے تلاش کیے۔
اس کے بعد، متاثرہ کا ذاتی ڈیٹا اور ادائیگی کی معلومات اکٹھی کی گئیں اور حملہ آور کے زیر کنٹرول سائٹ پر بھیجی گئیں: اس خاص معاملے میں، ReactGet یونیورسل سنیفر کے دو ورژن دو مختلف ہیک شدہ سائٹس پر پائے گئے۔ تاہم دونوں ورژنز نے چوری شدہ ڈیٹا کو ایک ہی ہیک شدہ سائٹ پر بھیجا۔ zoobashop.com.
شکار کی ادائیگی کی معلومات پر مشتمل فیلڈز کو تلاش کرنے کے لیے سنیففر کے ذریعے استعمال کیے جانے والے سابقہ جات کے تجزیے سے معلوم ہوا کہ اس سنیفر کے نمونے نے درج ذیل ادائیگی کے نظام کو نشانہ بنایا:
- مجاز۔ نیٹ
- ویری سائن
- پہلا ڈیٹا
- USAePay
- پٹی
- پے پال
- اے این زیڈ ای گیٹ
- braintree کی
- ڈیٹا کیش (ماسٹر کارڈ)
- ریئلیکس ادائیگیاں
- PsiGate
- ہارٹ لینڈ ادائیگی کے نظام
ادائیگی کی معلومات چوری کرنے کے لیے کون سے اوزار استعمال کیے جاتے ہیں۔
حملہ آوروں کے بنیادی ڈھانچے کے تجزیے کے دوران دریافت ہونے والا پہلا ٹول بینک کارڈز کی چوری کے لیے ذمہ دار بدنیتی پر مبنی اسکرپٹ کو مبہم کرنے کا کام کرتا ہے۔ حملہ آور کے میزبانوں میں سے ایک پر پروجیکٹ کی CLI کا استعمال کرتے ہوئے ایک bash اسکرپٹ ملا۔ sniffer code obfuscation کو خودکار کرنے کے لیے۔
دوسرا دریافت شدہ ٹول مین سنیفر کو لوڈ کرنے کے لیے ذمہ دار کوڈ بنانے کے لیے ڈیزائن کیا گیا ہے۔ یہ ٹول ایک جاوا اسکرپٹ کوڈ تیار کرتا ہے جو چیک کرتا ہے کہ آیا صارف چیک آؤٹ پیج پر ہے یا نہیں اسٹرنگ کے لیے صارف کا موجودہ پتہ تلاش کر کے چیک آؤٹ, گاڑی اور اسی طرح، اور اگر نتیجہ مثبت ہے، تو کوڈ گھسنے والے کے سرور سے مین سنیفر کو لوڈ کرتا ہے۔ بدنیتی پر مبنی سرگرمی کو چھپانے کے لیے، تمام لائنوں بشمول ادائیگی کے صفحہ کا تعین کرنے کے لیے ٹیسٹ لائنوں کے ساتھ ساتھ سنیفر کے لیے ایک لنک، کو استعمال کرتے ہوئے انکوڈ کیا جاتا ہے۔ بیس 64.
فشنگ حملے
حملہ آوروں کے نیٹ ورک انفراسٹرکچر کے تجزیے کے دوران، یہ پایا گیا کہ مجرمانہ گروہ اکثر ٹارگٹ آن لائن اسٹور کے انتظامی پینل تک رسائی حاصل کرنے کے لیے فشنگ کا استعمال کرتا ہے۔ حملہ آور ایک ڈومین رجسٹر کرتے ہیں جو اسٹور ڈومین کی طرح لگتا ہے اور پھر اس پر ایک جعلی Magento ایڈمن لاگ ان فارم لگاتے ہیں۔ اگر کامیاب ہو جاتے ہیں، تو حملہ آور Magento CMS ایڈمن پینل تک رسائی حاصل کر لیں گے، جو انہیں سائٹ کے اجزاء میں ترمیم کرنے اور کریڈٹ کارڈ کا ڈیٹا چوری کرنے کے لیے سنیفر کو لاگو کرنے کی صلاحیت فراہم کرتا ہے۔
بنیادی ڈھانچے
| ڈومین۔ | دریافت/ظہور کی تاریخ |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagtracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trusttracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonsupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
G-Analytics فیملی
سونگھنے والوں کا یہ خاندان آن لائن اسٹورز سے کسٹمر کارڈ چرانے کے لیے استعمال ہوتا ہے۔ گروپ کی طرف سے استعمال ہونے والا پہلا ڈومین نام اپریل 2016 میں رجسٹر کیا گیا تھا، جو 2016 کے وسط میں گروپ کی سرگرمی کے آغاز کی نشاندہی کر سکتا ہے۔
موجودہ مہم میں، گروپ ایسے ڈومین ناموں کا استعمال کرتا ہے جو حقیقی زندگی کی خدمات جیسے کہ Google Analytics اور jQuery کی نقل کرتے ہیں، جائز اسکرپٹس اور جائز نظر آنے والے ڈومین ناموں کے ساتھ اسنفر سرگرمی کو ماسک کرتے ہیں۔ CMS Magento کے تحت چلنے والی ویب سائٹس پر حملہ کیا گیا۔
G-Analytics کو آن لائن اسٹور کوڈ میں کیسے لاگو کیا جاتا ہے۔
اس خاندان کی ایک مخصوص خصوصیت صارف کی ادائیگی کی معلومات چرانے کے مختلف طریقوں کا استعمال ہے۔ سائٹ کے کلائنٹ سائیڈ میں کلاسک JavaScript انجیکشن کے علاوہ، مجرمانہ گروپ نے سائٹ کے سرور سائیڈ میں کوڈ کو انجیکشن لگانے کی تکنیک کا بھی استعمال کیا، یعنی PHP اسکرپٹس جو صارف کے ان پٹ پر کارروائی کرتی ہیں۔ یہ تکنیک اس لحاظ سے خطرناک ہے کہ یہ تیسرے فریق کے محققین کے لیے بدنیتی پر مبنی کوڈ کا پتہ لگانا مشکل بنا دیتی ہے۔ گروپ-آئی بی کے ماہرین نے ڈومین کو گیٹ کے طور پر استعمال کرتے ہوئے سائٹ کے پی ایچ پی کوڈ میں سرایت شدہ سنیفر کا ایک ورژن دریافت کیا۔ dittm.org.
سنیفر کا ایک ابتدائی ورژن بھی دریافت ہوا جو چوری شدہ ڈیٹا اکٹھا کرنے کے لیے اسی ڈومین کا استعمال کرتا ہے۔ dittm.org، لیکن اس ورژن کا مقصد آن لائن اسٹور کے کلائنٹ سائیڈ پر انسٹال کرنا ہے۔
بعد میں، اس گروپ نے اپنی حکمت عملی تبدیل کی اور بدنیتی پر مبنی سرگرمیوں اور چھلاوے کو چھپانے پر زیادہ توجہ دینا شروع کی۔
2017 کے اوائل میں، گروپ نے ڈومین استعمال کرنا شروع کیا۔ jquery-js.comjQuery کے لیے CDN کے طور پر چھپانا: نقصان دہ سائٹ پر جانے پر صارف کو ایک جائز سائٹ پر ری ڈائریکٹ کرتا ہے jquery.com.
اور 2018 کے وسط میں، گروپ نے ایک ڈومین نام اپنایا g-analytics.com اور sniffer کی سرگرمی کو ایک جائز Google Analytics سروس کے طور پر چھپانے لگا۔
ورژن کا تجزیہ
سنیفر کوڈ کو ذخیرہ کرنے کے لیے استعمال کیے جانے والے ڈومینز کے تجزیے کے دوران یہ بات سامنے آئی کہ سائٹ میں بہت زیادہ ورژن موجود ہیں جو کہ مبہم ہونے کی وجہ سے مختلف ہیں، ساتھ ہی توجہ ہٹانے کے لیے فائل میں ناقابل رسائی کوڈ کی موجودگی یا عدم موجودگی کو شامل کیا گیا ہے۔ اور بدنیتی پر مبنی کوڈ چھپائیں۔
سائٹ پر کل jquery-js.com سنیفرز کے چھ ورژن کی نشاندہی کی گئی۔ یہ سنیفرز چوری شدہ ڈیٹا کو اسی سائٹ پر موجود ایڈریس پر بھیجتے ہیں جس پر سنیفر خود ہے: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
بعد میں ڈومین g-analytics.com2018 کے وسط سے حملوں میں گروپ کی طرف سے استعمال کیا گیا، مزید سونگھنے والوں کے لیے ایک ذخیرہ کے طور پر کام کرتا ہے۔ مجموعی طور پر، سنیفر کے 16 مختلف ورژن دریافت ہوئے۔ اس معاملے میں، چوری شدہ ڈیٹا بھیجنے کے گیٹ کو فارمیٹ کی تصویر کے لنک کے طور پر بھیس دیا گیا تھا۔ GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
1283183910.1527732071 =:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
چوری شدہ ڈیٹا کی منیٹائزیشن
جرائم پیشہ گروہ چوری شدہ ڈیٹا کو خصوصی طور پر بنائے گئے انڈر گراؤنڈ اسٹور کے ذریعے کارڈ بیچ کر رقم کماتا ہے جو کارڈرز کو خدمات فراہم کرتا ہے۔ حملہ آوروں کے زیر استعمال ڈومینز کے تجزیے سے اس بات کا تعین کرنا ممکن ہوا۔ google-analytics.cm ڈومین کے طور پر اسی صارف کی طرف سے رجسٹر کیا گیا تھا cardz.vc. ڈومین cardz.vc Cardsurfs (Flysurfs) سے مراد ہے، چوری شدہ بینک کارڈز فروخت کرنے والا ایک اسٹور، جس نے AlphaBay کے زیر زمین مارکیٹ پلیس کے دوران ایک سٹور کے طور پر مقبولیت حاصل کی جو ایک سنیفر کے ذریعے چوری شدہ بینک کارڈ فروخت کرتا ہے۔
ڈومین کا تجزیہ کرنا analytical.is, اسی سرور پر واقع ہے جو اسنیفرز کے ذریعے چوری شدہ ڈیٹا اکٹھا کرنے کے لیے استعمال کیے جاتے ہیں، گروپ-IB کے ماہرین نے کوکی اسٹیلر لاگز پر مشتمل ایک فائل دریافت کی، جسے ایسا لگتا ہے کہ بعد میں ڈویلپر نے اسے ترک کر دیا تھا۔ لاگ میں اندراجات میں سے ایک میں ایک ڈومین تھا۔ iozoz.com، جو اس سے پہلے 2016 میں فعال سنیفرز میں سے ایک میں استعمال ہوا تھا۔ غالباً، اس ڈومین کو پہلے ایک حملہ آور نے سنیفر کے ذریعے چوری شدہ کارڈز کو جمع کرنے کے لیے استعمال کیا تھا۔ یہ ڈومین ایک ای میل ایڈریس پر رجسٹرڈ تھا۔ [ای میل محفوظ]، جو ڈومینز کو رجسٹر کرنے کے لیے بھی استعمال ہوتا تھا۔ cardz.su и cardz.vcکارڈ سرفس کارڈنگ شاپ سے متعلق۔
حاصل کردہ ڈیٹا کی بنیاد پر، یہ اندازہ لگایا جا سکتا ہے کہ G-Analytics sniffer فیملی اور زیر زمین Cardsurfs بینک کارڈ اسٹور ایک ہی لوگ چلاتے ہیں، اور یہ اسٹور سنیفر کا استعمال کرتے ہوئے چوری کیے گئے بینک کارڈ فروخت کرنے کے لیے استعمال کیا جاتا ہے۔
بنیادی ڈھانچے
| ڈومین۔ | دریافت/ظہور کی تاریخ |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| analytical.to | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| analytical.is | 28.12.2018 |
| googlelc-analytics.cm | 17.01.2019 |
Illum خاندان
Illum سنیفرز کا ایک خاندان ہے جو Magento CMS چلانے والے آن لائن اسٹورز پر حملہ کرنے کے لیے استعمال ہوتا ہے۔ نقصان دہ کوڈ کے تعارف کے علاوہ، اس سنیفر کے آپریٹرز مکمل طور پر جعلی ادائیگی کے فارموں کا تعارف بھی استعمال کرتے ہیں جو حملہ آوروں کے کنٹرول والے گیٹس پر ڈیٹا بھیجتے ہیں۔
اس سنیفر کے آپریٹرز کے ذریعے استعمال کیے جانے والے نیٹ ورک انفراسٹرکچر کا تجزیہ کرتے وقت، بڑی تعداد میں بدنیتی پر مبنی اسکرپٹس، کارنامے، جعلی ادائیگی کے فارم نوٹ کیے گئے، اور ساتھ ہی نقصان دہ سنففر حریفوں کے ساتھ مثالوں کا مجموعہ بھی۔ گروپ کی طرف سے استعمال کردہ ڈومین ناموں کی ظاہری تاریخوں کے بارے میں معلومات کی بنیاد پر، یہ فرض کیا جا سکتا ہے کہ مہم کا آغاز 2016 کے آخر میں ہوگا۔
ایک آن لائن اسٹور کے کوڈ میں Illum کو کیسے لاگو کیا جاتا ہے۔
سنیفر کے پہلے دریافت شدہ ورژن کو براہ راست سمجھوتہ شدہ سائٹ کے کوڈ میں شامل کیا گیا تھا۔ کو چوری شدہ ڈیٹا بھیج دیا گیا۔ cdn.illum[.]pw/records.php، گیٹ کا استعمال کرتے ہوئے انکوڈ کیا گیا تھا۔ بیس 64.
بعد میں، ایک مختلف گیٹ کا استعمال کرتے ہوئے سنیفر کا ایک پیک شدہ ورژن دریافت کیا گیا۔ records.nstatistics[.]com/records.php.
کے مطابق ولیم ڈی گروٹ، اسی میزبان کو سنیفر میں استعمال کیا گیا تھا جس پر لاگو کیا گیا تھا۔ جرمن سیاسی جماعت CSU کی ملکیت ہے۔
حملہ سائٹ کا تجزیہ
گروپ-آئی بی کے ماہرین نے اس مجرمانہ گروہ کی طرف سے اوزاروں کو ذخیرہ کرنے اور چوری شدہ معلومات اکٹھا کرنے کے لیے استعمال ہونے والی سائٹ کو دریافت اور تجزیہ کیا۔
حملہ آور کے سرور پر پائے جانے والے ٹولز میں سے لینکس OS میں استحقاق میں اضافے کے لیے اسکرپٹس اور کارنامے پائے گئے: مثال کے طور پر، مائیک زیماک کے ذریعے تیار کردہ لینکس پرائیولج ایسکلیشن چیک اسکرپٹ، نیز CVE-2009-1185 کے لیے ایک استحصال۔
حملہ آوروں نے آن لائن اسٹورز پر حملہ کرنے کے لیے براہ راست دو کارنامے استعمال کیے: میں بدنیتی پر مبنی کوڈ لگانے کے قابل core_config_data CVE-2016-4010 کا استحصال کرکے، Magento CMS پلگ انز میں RCE کی کمزوری کا فائدہ اٹھاتا ہے، جس سے صوابدیدی کوڈ کو کمزور ویب سرور پر عمل میں لایا جا سکتا ہے۔
اس کے علاوہ، سرور کے تجزیے کے دوران، سنیفرز کے مختلف نمونے اور جعلی ادائیگی فارم ملے، جنہیں حملہ آور ہیک کی گئی سائٹس سے ادائیگی کی معلومات اکٹھا کرنے کے لیے استعمال کرتے تھے۔ جیسا کہ آپ نیچے دی گئی فہرست سے دیکھ سکتے ہیں، ہر ہیک کی گئی سائٹ کے لیے کچھ اسکرپٹ انفرادی طور پر بنائے گئے تھے، جب کہ کچھ CMS اور ادائیگی کے گیٹ ویز کے لیے ایک عالمگیر حل استعمال کیا گیا تھا۔ مثال کے طور پر اسکرپٹس segapay_standard.js и segapay_onpage.js سیج پے ادائیگی کے گیٹ وے کا استعمال کرتے ہوئے سائٹس پر سرایت کرنے کے لیے ڈیزائن کیا گیا ہے۔
مختلف ادائیگی کے گیٹ ویز کے لیے اسکرپٹس کی فہرست
| اسکرپٹ۔ | پیسے ادا کرنے کا طریقہ |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdirenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standard.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standard.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?payment= |
| [.]pw/magento/payment_forminsite.js | //paymentnow[.]tk/?payment= |
میزبان ابھی ادائیگی[.]tk، اسکرپٹ میں گیٹ کے طور پر استعمال ہوتا ہے۔ payment_forminsite.jsکے طور پر دریافت کیا گیا تھا۔ موضوع AltName CloudFlare سروس سے متعلق کئی سرٹیفکیٹس میں۔ اس کے علاوہ، اسکرپٹ میزبان پر واقع تھا evil.js. اسکرپٹ کے نام کو دیکھتے ہوئے، اسے CVE-2016-4010 کے استحصال کے حصے کے طور پر استعمال کیا جا سکتا تھا، جس کی بدولت Magento CMS چلانے والی سائٹ کے فوٹر میں بدنیتی پر مبنی کوڈ ڈالنا ممکن ہے۔ اس اسکرپٹ نے میزبان کو گیٹ کے طور پر استعمال کیا۔ request.requestnet[.]tk, میزبان کے طور پر ایک ہی سرٹیفکیٹ کا استعمال کرتے ہوئے ابھی ادائیگی[.]tk.
جعلی ادائیگی فارم
نیچے دی گئی تصویر کارڈ ڈیٹا داخل کرنے کے لیے فارم کی ایک مثال دکھاتی ہے۔ یہ فارم ایک آن لائن سٹور کی ویب سائٹ میں گھسنے اور کارڈ کا ڈیٹا چوری کرنے کے لیے استعمال کیا جاتا تھا۔
مندرجہ ذیل اعداد و شمار جعلی PayPal ادائیگی کے فارم کی ایک مثال ہے جسے حملہ آوروں نے ادائیگی کے اس طریقے کو استعمال کرتے ہوئے سائٹس میں دراندازی کرنے کے لیے استعمال کیا تھا۔
بنیادی ڈھانچے
| ڈومین۔ | دریافت/ظہور کی تاریخ |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| request.payrightnow.cf | 25/05/2018 |
| paynow.tk | 16/07/2017 |
| payment-line.tk | 01/03/2018 |
| paypal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
کافی موکو فیملی
آن لائن سٹور کے صارفین کے بینک کارڈ چرانے کے لیے بنائے گئے سنیفرز کی CoffeMokko فیملی کم از کم مئی 2017 سے استعمال ہو رہی ہے۔ ممکنہ طور پر، سنیفرز کے اس خاندان کے آپریٹرز گروپ 1 کا مجرمانہ گروہ ہے، جسے 2016 میں RiskIQ ماہرین نے بیان کیا ہے۔ Magento، OpenCart، WordPress، osCommerce، Shopify جیسی CMS چلانے والی ویب سائٹس پر حملہ کیا گیا۔
آن لائن اسٹور کے کوڈ میں CoffeMokko کو کیسے سرایت کیا جاتا ہے۔
اس خاندان کے آپریٹرز ہر انفیکشن کے لیے منفرد سنیفرز بناتے ہیں: سنففر فائل ڈائریکٹری میں موجود ہوتی ہے۔ ایسآرسی یا js حملہ آور کے سرور پر۔ سائٹ کوڈ میں عمل درآمد سنیفر کے براہ راست لنک کے ذریعہ کیا جاتا ہے۔
سنیفر کوڈ ان فارم فیلڈز کے ناموں کو ہارڈ کوڈ کرتا ہے جہاں سے آپ ڈیٹا چرانا چاہتے ہیں۔ sniffer یہ بھی چیک کرتا ہے کہ آیا صارف صارف کے موجودہ ایڈریس کے خلاف مطلوبہ الفاظ کی فہرست کو چیک کرکے چیک آؤٹ پیج پر ہے۔
سنیفر کے کچھ دریافت شدہ ورژن مبہم تھے اور اس میں ایک انکرپٹڈ سٹرنگ موجود تھی جس میں وسائل کی مرکزی صف کو محفوظ کیا گیا تھا: اس میں مختلف ادائیگی کے نظاموں کے فارم فیلڈز کے نام کے ساتھ ساتھ اس گیٹ کا پتہ بھی تھا جس پر چوری شدہ ڈیٹا بھیجا جانا چاہیے۔
چوری شدہ ادائیگی کی معلومات راستے میں حملہ آوروں کے سرور پر ایک اسکرپٹ پر بھیجی گئی۔ /savePayment/index.php یا /tr/index.php. غالباً، اس اسکرپٹ کو گیٹ سے مرکزی سرور تک ڈیٹا بھیجنے کے لیے استعمال کیا جاتا ہے، جو تمام سنیفرز کے ڈیٹا کو اکٹھا کرتا ہے۔ منتقل شدہ ڈیٹا کو چھپانے کے لیے، متاثرہ کی تمام ادائیگی کی معلومات کو استعمال کرتے ہوئے انکوڈ کیا جاتا ہے۔ بیس 64، اور پھر کئی کرداروں کے متبادل ہوتے ہیں:
- حرف "e" کو ":" سے بدل دیا گیا ہے۔
- علامت "w" کی جگہ "+" ہے
- حرف "o" کی جگہ "%" ہے
- حرف "d" کی جگہ "#" ہے
- حرف "a" کو "-" سے بدل دیا جاتا ہے
- علامت "7" کی جگہ "^" ہے
- حرف "h" کی جگہ "_" ہے
- "T" علامت کو "@" سے بدل دیا گیا ہے۔
- حرف "0" کی جگہ "/" ہے
- حرف "Y" کی جگہ "*" ہے
انکوڈ شدہ کردار کے متبادل کے نتیجے میں بیس 64 الٹا تبدیلی کے بغیر ڈیٹا کو ڈی کوڈ نہیں کیا جا سکتا۔
اس طرح سنیفر کوڈ کا ایک ٹکڑا جو مبہم نہیں ہوا ہے ایسا لگتا ہے:
بنیادی ڈھانچے کا تجزیہ
ابتدائی مہمات میں، حملہ آوروں نے جائز آن لائن شاپنگ سائٹس سے ملتے جلتے ڈومین ناموں کا اندراج کیا۔ ان کا ڈومین ایک ایک کریکٹر یا دوسرے TLD سے جائز سے مختلف ہو سکتا ہے۔ رجسٹرڈ ڈومینز کا استعمال سنیفر کوڈ کو اسٹور کرنے کے لیے کیا گیا تھا، جس کا لنک اسٹور کوڈ میں سرایت کیا گیا تھا۔
اس گروپ نے مقبول jQuery پلگ ان کی یاد دلانے والے ڈومین نام بھی استعمال کیے (slickjs[.]org پلگ ان استعمال کرنے والی سائٹوں کے لیے slick.jsادائیگی کے گیٹ ویز (sagecdn[.]org سیج پے ادائیگی کا نظام استعمال کرنے والی سائٹوں کے لیے)۔
بعد میں، گروپ نے ایسے ڈومین بنانا شروع کیے جن کے نام کا اسٹور کے ڈومین یا اسٹور کی تھیم سے کوئی تعلق نہیں تھا۔
ہر ڈومین اس سائٹ سے مطابقت رکھتا ہے جس پر ڈائریکٹری بنائی گئی تھی۔ /js یا /src. اس ڈائرکٹری میں سنیفر اسکرپٹس محفوظ کیے گئے تھے: ہر نئے انفیکشن کے لیے ایک سنیفر۔ سنیفر کو براہ راست لنک کے ذریعے سائٹ کوڈ میں متعارف کرایا گیا تھا، لیکن غیر معمولی معاملات میں، حملہ آوروں نے سائٹ کی فائلوں میں سے ایک میں ترمیم کی اور اس میں بدنیتی پر مبنی کوڈ شامل کیا۔
کوڈ کا تجزیہ
پہلا Obfuscation الگورتھم
اس خاندان کے کچھ سنیفر کے نمونوں میں، کوڈ کو مبہم کیا گیا تھا اور اس میں انکرپٹڈ ڈیٹا موجود تھا جو سنیفر کے کام کرنے کے لیے ضروری تھا: خاص طور پر، سنیففر کا گیٹ ایڈریس، ادائیگی کے فارم کے شعبوں کی فہرست، اور کچھ معاملات میں، ایک جعلی ادائیگی فارم کا کوڈ۔ فنکشن کے اندر موجود کوڈ میں، وسائل کو انکرپٹ کیا گیا تھا۔ XOR کلید کے ذریعہ جو اسی فنکشن کی دلیل کے طور پر منظور کی گئی تھی۔
متعلقہ کلید کے ساتھ سٹرنگ کو ڈکرپٹ کر کے، ہر نمونے کے لیے منفرد، آپ ایک سٹرنگ حاصل کر سکتے ہیں جس میں سنیفر کوڈ کی تمام لائنیں ایک حد بندی کریکٹر سے الگ کی گئی ہیں۔
دوسرا مبہم الگورتھم
سنیفرز کے اس خاندان کے بعد کے نمونوں میں، ایک مختلف مبہم طریقہ کار استعمال کیا گیا تھا: اس معاملے میں، ڈیٹا کو خود تحریر کردہ الگورتھم کا استعمال کرتے ہوئے انکرپٹ کیا گیا تھا۔ ایک سٹرنگ جس میں sniffer کو کام کرنے کے لیے درکار انکرپٹڈ ڈیٹا کو ڈیکرپشن فنکشن کی دلیل کے طور پر پاس کیا گیا تھا۔
براؤزر کنسول کا استعمال کرتے ہوئے، آپ خفیہ کردہ ڈیٹا کو ڈکرپٹ کر سکتے ہیں اور سنففر وسائل پر مشتمل ایک صف حاصل کر سکتے ہیں۔
ابتدائی میج کارٹ حملوں سے لنک کریں۔
گروپ کی طرف سے چوری شدہ ڈیٹا اکٹھا کرنے کے لیے گیٹ کے طور پر استعمال کیے جانے والے ڈومینز میں سے ایک کے تجزیے میں، یہ پایا گیا کہ اس ڈومین پر کریڈٹ کارڈز کی چوری کے لیے بنیادی ڈھانچہ تعینات کیا گیا تھا، جیسا کہ گروپ 1، پہلے گروپوں میں سے ایک کے ذریعے استعمال کیا جاتا تھا۔ RiskIQ ماہرین۔
CoffeMokko سنیففر فیملی کے میزبان پر دو فائلیں پائی گئیں۔
- mage.js - گیٹ ایڈریس کے ساتھ گروپ 1 سنیفر کوڈ پر مشتمل فائل js-cdn.link
- mag.php - سنیفر کے ذریعہ چوری شدہ ڈیٹا کو جمع کرنے کے لئے ذمہ دار پی ایچ پی اسکرپٹ
mage.js فائل کا مواد
اس بات کا بھی تعین کیا گیا ہے کہ CoffeMokko sniffer خاندان کے پیچھے گروپ کی طرف سے استعمال ہونے والے ابتدائی ڈومینز 17 مئی 2017 کو رجسٹر کیے گئے تھے:
- link-js[.]link
- info-js[.]لنک
- track-js[.]لنک
- map-js[.]لنک
- smart-js[.]لنک
ان ڈومین ناموں کا فارمیٹ گروپ 1 کے ڈومین ناموں جیسا ہی ہے جو 2016 کے حملوں میں استعمال ہوئے تھے۔
دریافت شدہ حقائق کی بنیاد پر یہ اندازہ لگایا جا سکتا ہے کہ CoffeMokko سنیفر آپریٹرز اور گروپ 1 کے جرائم پیشہ گروہ کے درمیان کوئی تعلق ہے۔ ممکنہ طور پر، CoffeMokko آپریٹرز نے اپنے پیشرو سے کارڈ چرانے کے لیے ٹولز اور سافٹ ویئر ادھار لیے ہوں گے۔ تاہم، اس بات کا زیادہ امکان ہے کہ CoffeMokko فیملی سنیفرز کے استعمال کے پیچھے مجرمانہ گروہ وہی لوگ ہیں جنہوں نے گروپ 1 کی سرگرمیوں کے حصے کے طور پر یہ حملے کیے تھے۔ ڈومین ناموں کو مسدود کردیا گیا تھا، اور ٹولز کا تفصیل سے مطالعہ کیا گیا تھا اور بیان کیا گیا تھا۔ گروپ کو اپنے حملوں کو جاری رکھنے اور کسی کا دھیان نہ رہنے کے لیے وقفہ لینے، اپنے اندرونی آلات کو ٹھیک کرنے اور سنیفر کوڈ کو دوبارہ لکھنے پر مجبور کیا گیا۔
بنیادی ڈھانچے
| ڈومین۔ | دریافت/ظہور کی تاریخ |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| security-payment.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| Childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parks.su | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffetea.org | 31.01.2018 |
| energycoffe.org | 31.01.2018 |
| energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| authorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitness.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
ماخذ: www.habr.com