Deyarli barchamiz onlayn-do'konlar xizmatlaridan foydalanamiz, ya'ni ertami-kechmi biz JavaScript snifferlarining qurboni bo'lish xavfi ostida qolamiz - buzg'unchilar veb-saytda bank kartalari ma'lumotlari, manzillari, loginlari va foydalanuvchilarning parollarini o'g'irlash uchun qo'llaydigan maxsus kod .
British Airways veb-sayti va mobil ilovasining deyarli 400 000 foydalanuvchisi allaqachon snifferlar, shuningdek, FILA sport gigantining Britaniya veb-saytiga tashrif buyuruvchilar va Amerika chiptalari distribyutori Ticketmaster tomonidan ta'sirlangan. PayPal, Chase Paymenttech, USAePay, Moneris - bu va boshqa ko'plab to'lov tizimlari zararlangan.
Threat Intelligence Group-IB tahlilchisi Viktor Okorokov snayferlar veb-sayt kodiga qanday kirib borishi va to'lov ma'lumotlarini o'g'irlashi, shuningdek, ular qanday CRMlarga hujum qilishlari haqida gapiradi.
"Yashirin tahdid"
Shunday bo'ldiki, JS snifferlari uzoq vaqt davomida antivirus tahlilchilari e'tiboridan chetda qolib ketishdi va banklar va to'lov tizimlari ularni jiddiy tahdid sifatida ko'rmadi. Va mutlaqo behuda. Group-IB ekspertlari 2440 1,5 ta yuqtirilgan onlayn-do'konlar, ularning tashrif buyuruvchilari - kuniga jami XNUMX million kishi - murosa xavfi ostida edi. Qurbonlar orasida nafaqat foydalanuvchilar, balki buzilgan kartalarni chiqargan internet-do‘konlar, to‘lov tizimlari va banklar ham bor.
Group-IB snifferlar uchun darknet bozori, ularning infratuzilmasi va monetizatsiya usullari bo'yicha birinchi tadqiqot bo'ldi, bu ularning yaratuvchilariga millionlab dollar olib keladi. Biz hidlovchilarning 38 ta oilasini aniqladik, ulardan faqat 12 tasi ilgari tadqiqotchilarga ma'lum edi.
Keling, tadqiqot davomida o'rganilgan hidlovchilarning to'rtta oilasiga batafsil to'xtalib o'tamiz.
ReactGet Family
ReactGet oilasining snifferlari onlayn xarid qilish saytlarida bank kartalari ma'lumotlarini o'g'irlash uchun ishlatiladi. Sniffer saytda qo'llaniladigan juda ko'p turli xil to'lov tizimlari bilan ishlashi mumkin: bitta parametr qiymati bitta to'lov tizimiga mos keladi va snayferning individual aniqlangan versiyalari hisob ma'lumotlarini o'g'irlash, shuningdek to'lovdan bank kartasi ma'lumotlarini o'g'irlash uchun ishlatilishi mumkin. bir vaqtning o'zida bir nechta to'lov tizimlarining shakllari, masalan, universal sniffer. Aniqlanishicha, ba'zi hollarda tajovuzkorlar saytning ma'muriy paneliga kirish uchun onlayn-do'kon ma'murlariga fishing hujumlarini amalga oshiradilar.
2017-yil may oyida bu hidlovchilar oilasidan foydalangan holda kampaniya boshlandi; CMS va Magento, Bigcommerce va Shopify platformalarida ishlaydigan saytlar hujumga uchradi.
ReactGet onlayn-do'kon kodiga qanday kiritiladi
Skriptni havola orqali "klassik" amalga oshirishdan tashqari, ReactGet snifferlar oilasi operatorlari maxsus texnikadan foydalanadilar: JavaScript kodidan foydalanib, ular foydalanuvchi joylashgan joriy manzilning ma'lum mezonlarga mos kelishini tekshiradilar. Zararli kod faqat pastki satr joriy URLda mavjud bo'lsa bajariladi tekshirib ko'rmoq yoki bir qadam to'lov, bir sahifa/, out/onepag, chiqish/bir, skaut/bir. Shunday qilib, sniffer kodi foydalanuvchi xaridlar uchun to'lovni davom ettirayotgan va saytdagi shaklga to'lov ma'lumotlarini kiritgan paytda amalga oshiriladi.
Bu sniffer nostandart texnikadan foydalanadi. Jabrlanuvchining to'lovi va shaxsiy ma'lumotlari birgalikda yig'iladi va yordamida kodlanadi base64, va keyin olingan satr tajovuzkorlar veb-saytiga so'rov yuborish uchun parametr sifatida ishlatiladi. Ko'pincha, darvoza yo'li, masalan, JavaScript faylini taqlid qiladi resp.js, data.js va hokazo, lekin rasm fayllariga havolalar ham ishlatiladi, GIF и JPG. Xususiyat shundaki, sniffer 1 dan 1 pikselgacha o'lchamdagi tasvir ob'ektini yaratadi va parametr sifatida avval olingan havoladan foydalanadi. src Tasvirlar. Ya'ni, foydalanuvchi uchun trafikdagi bunday so'rov oddiy rasm uchun so'rov kabi ko'rinadi. Xuddi shunday texnika ImageID hidlovchilar oilasida ham qo'llanilgan. Bundan tashqari, 1 ga 1 pikselli tasvirni ishlatish usuli ko'plab qonuniy onlayn tahlil skriptlarida qo'llaniladi, bu ham foydalanuvchini chalg'itishi mumkin.
Versiya tahlili
ReactGet sniffer operatorlari tomonidan qo'llaniladigan faol domenlar tahlili ushbu snifferlar oilasining ko'plab turli versiyalarini aniqladi. Versiyalar noaniqlikning mavjudligi yoki yo'qligi bilan farqlanadi va bundan tashqari, har bir sniffer onlayn-do'konlar uchun bank kartalari to'lovlarini qayta ishlaydigan muayyan to'lov tizimi uchun mo'ljallangan. Versiya raqamiga mos keladigan parametr qiymatini saralab, Group-IB mutaxassislari mavjud sniffer o'zgarishlarining to'liq ro'yxatini oldilar va har bir sniffer sahifa kodida qidiradigan shakl maydonlarining nomlari bo'yicha ular to'lov tizimlarini aniqladilar. sniffer mo'ljallangan.
Snifferlar ro'yxati va ularga mos keladigan to'lov tizimlari
| Sniffer URL | To'lov tizimi |
|---|---|
| Authorize.Net | |
| Kartani saqlash | |
| Authorize.Net | |
| Authorize.Net | |
| eWAY Rapid | |
| Authorize.Net | |
| Adyen | |
| USAePay | |
| Authorize.Net | |
| USAePay | |
| Authorize.Net | |
| Moneris | |
| USAePay | |
| PayPal | |
| Sage Pay | |
| Verisign | |
| PayPal | |
| chiziq | |
| Realex | |
| PayPal | |
| LinkPoint | |
| PayPal | |
| PayPal | |
| DataCash | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Moneris | |
| Sage Pay | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| Authorize.Net | |
| Moneris | |
| Sage Pay | |
| Sage Pay | |
| Chase Paymentech | |
| Authorize.Net | |
| Adyen | |
| PsiGate | |
| Kibermanba | |
| ANZ eGate | |
| Realex | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| PayPal | |
| Realex | |
| Sage Pay | |
| PayPal | |
| Verisign | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Kibermanba | |
| Authorize.Net | |
| Sage Pay | |
| Realex | |
| Kibermanba | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Rapid | |
| Sage Pay | |
| Sage Pay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Birinchi Global Data Gateway | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| PayPal | |
| Verisign | |
| USAePay | |
| USAePay | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| chiziq | |
| Authorize.Net | |
| eWAY Rapid | |
| Sage Pay | |
| Authorize.Net | |
| Braintree | |
| Braintree | |
| PayPal | |
| Sage Pay | |
| Sage Pay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| chiziq | |
| Authorize.Net | |
| eWAY Rapid | |
| Sage Pay | |
| Authorize.Net | |
| Braintree | |
| PayPal | |
| Sage Pay | |
| Sage Pay | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Sage Pay | |
| Sage Pay | |
| Westpac PayWay | |
| PayFort | |
| PayPal | |
| Authorize.Net | |
| chiziq | |
| Birinchi Global Data Gateway | |
| PsiGate | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| Sage Pay | |
| Verisign | |
| Moneris | |
| PayPal | |
| LinkPoint | |
| Westpac PayWay | |
| Authorize.Net | |
| Moneris | |
| PayPal | |
| Adyen | |
| PayPal | |
| Authorize.Net | |
| USAePay | |
| EBizCharge | |
| Authorize.Net | |
| Verisign | |
| Verisign | |
| Authorize.Net | |
| PayPal | |
| Moneris | |
| Authorize.Net | |
| PayPal | |
| PayPal | |
| Westpac PayWay | |
| Authorize.Net | |
| Authorize.Net | |
| Sage Pay | |
| Verisign | |
| Authorize.Net | |
| PayPal | |
| PayFort | |
| Kibermanba | |
| PayPal Payflow Pro | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Sage Pay | |
| Authorize.Net | |
| chiziq | |
| Authorize.Net | |
| Authorize.Net | |
| Verisign | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Sage Pay | |
| Authorize.Net | |
| Authorize.Net | |
| PayPal | |
| Flint | |
| PayPal | |
| Sage Pay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| chiziq | |
| Semiz zebra | |
| Sage Pay | |
| Authorize.Net | |
| Birinchi Global Data Gateway | |
| Authorize.Net | |
| eWAY Rapid | |
| Adyen | |
| PayPal | |
| QuickBooks savdo xizmatlari | |
| Verisign | |
| Sage Pay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Sage Pay | |
| Authorize.Net | |
| eWAY Rapid | |
| Authorize.Net | |
| ANZ eGate | |
| PayPal | |
| Kibermanba | |
| Authorize.Net | |
| Sage Pay | |
| Realex | |
| Kibermanba | |
| PayPal | |
| PayPal | |
| PayPal | |
| Verisign | |
| eWAY Rapid | |
| Sage Pay | |
| Sage Pay | |
| Verisign | |
| Authorize.Net | |
| Authorize.Net | |
| Birinchi Global Data Gateway | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| PayPal |
Parol sniffer
Veb-saytning mijoz tomonida ishlaydigan JavaScript snifferlarining afzalliklaridan biri ularning ko'p qirraliligidir: veb-saytga o'rnatilgan zararli kod har qanday turdagi ma'lumotlarni o'g'irlashi mumkin, u to'lov ma'lumotlari yoki foydalanuvchi hisobining login va paroli. Group-IB mutaxassislari ReactGet oilasiga mansub, sayt foydalanuvchilarining elektron pochta manzillari va parollarini o‘g‘irlash uchun mo‘ljallangan snayfer namunasini topdi.
ImageID sniffer bilan kesishish
Zararlangan do‘konlardan birini tahlil qilish chog‘ida uning veb-sayti ikki marta zararlangani aniqlandi: ReactGet oilasi snifferining zararli kodidan tashqari, ImageID oilasi snifferining kodi aniqlangan. Bu bir-biriga o'xshashlik ikkala sniffer ortidagi operatorlar zararli kodni kiritish uchun o'xshash usullardan foydalanishiga dalil bo'lishi mumkin.
Universal hidlovchi
ReactGet sniffer infratuzilmasi bilan bog'langan domen nomlaridan birining tahlili shuni ko'rsatdiki, xuddi shu foydalanuvchi yana uchta domen nomini ro'yxatdan o'tkazgan. Ushbu uchta domen real hayotdagi veb-saytlar domenlariga taqlid qilgan va ilgari snifferlarni joylashtirish uchun ishlatilgan. Uchta qonuniy sayt kodini tahlil qilishda noma'lum sniffer aniqlandi va keyingi tahlillar bu ReactGet snifferning takomillashtirilgan versiyasi ekanligini ko'rsatdi. Ushbu snifferlar oilasining ilgari kuzatilgan barcha versiyalari yagona to'lov tizimiga qaratilgan edi, ya'ni har bir to'lov tizimi snifferning maxsus versiyasini talab qildi. Biroq, bu holda, 15 xil to'lov tizimlari va onlayn to'lovlarni amalga oshirish uchun elektron tijorat saytlarining modullari bilan bog'liq shakllardan ma'lumotlarni o'g'irlashga qodir bo'lgan snayferning universal versiyasi aniqlandi.
Shunday qilib, ishning boshida sniffer jabrlanuvchining shaxsiy ma'lumotlarini o'z ichiga olgan asosiy shakl maydonlarini qidirdi: to'liq ism, jismoniy manzil, telefon raqami.
So'ngra snayfer turli to'lov tizimlari va onlayn to'lov modullariga mos keladigan 15 dan ortiq turli prefikslarni qidirdi.
Keyinchalik, jabrlanuvchining shaxsiy ma'lumotlari va to'lov ma'lumotlari birgalikda to'plangan va tajovuzkor tomonidan boshqariladigan saytga yuborilgan: bu alohida holatda, ikki xil buzilgan saytlarda joylashgan universal ReactGet snifferning ikkita versiyasi topilgan. Biroq, ikkala versiya ham o'g'irlangan ma'lumotlarni bir xil buzilgan saytga yubordi zoobashop.com.
Jabrlanuvchining to'lov ma'lumotlarini o'z ichiga olgan maydonlarni qidirish uchun snayfer tomonidan ishlatilgan prefikslarni tahlil qilish bizga ushbu sniffer namunasi quyidagi to'lov tizimlariga qaratilganligini aniqlashga imkon berdi:
- Authorize.Net
- Verisign
- Birinchi ma'lumot
- USAePay
- chiziq
- PayPal
- ANZ eGate
- Braintree
- DataCash (MasterCard)
- Realex to'lovlari
- PsiGate
- Heartland to'lov tizimlari
To'lov ma'lumotlarini o'g'irlash uchun qanday vositalar qo'llaniladi?
Hujumchilarning infratuzilmasini tahlil qilish jarayonida topilgan birinchi vosita bank kartalarini o'g'irlash uchun javobgar bo'lgan zararli skriptlarni yashirish uchun ishlatiladi. Hujumchining xostlaridan birida loyihaning CLI-dan foydalanadigan bash skripti topildi sniffer kodini xiralashtirishni avtomatlashtirish uchun.
Topilgan ikkinchi vosita asosiy snifferni yuklash uchun javob beradigan kodni yaratish uchun mo'ljallangan. Ushbu vosita foydalanuvchining joriy manzilida satrlarni qidirish orqali foydalanuvchining to'lov sahifasida ekanligini tekshiradigan JavaScript kodini ishlab chiqaradi. tekshirib ko'rmoq, arava va hokazo va agar natija ijobiy bo'lsa, kod tajovuzkorlar serveridan asosiy snayferni yuklaydi. Zararli harakatni yashirish uchun barcha qatorlar, shu jumladan to'lov sahifasini aniqlash uchun test satrlari, shuningdek, snayferga havolalar kodlangan. base64.
Fishing hujumlari
Hujumchilarning tarmoq infratuzilmasi tahlili shuni ko‘rsatdiki, jinoiy guruh ko‘pincha maqsadli internet-do‘konning ma’muriy paneliga kirish uchun fishingdan foydalanadi. Buzg'unchilar vizual tarzda do'kon domeniga o'xshash domenni ro'yxatdan o'tkazadilar va so'ngra unga soxta Magento boshqaruv paneliga kirish formasini joylashtiradilar. Agar muvaffaqiyatli bo'lsa, tajovuzkorlar Magento CMS ma'muriy paneliga kirish huquqiga ega bo'ladilar, bu ularga veb-sayt komponentlarini tahrirlash va kredit karta ma'lumotlarini o'g'irlash uchun snayferni amalga oshirish imkoniyatini beradi.
Infrastruktura
| Domen nomi | Topish/ko'rinish sanasi |
|---|---|
| mediapack.info | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| reactjsapi.com | 19.01.2018 |
| mxcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagstracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trust-tracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| tagsmediaget.com | 02.11.2018 |
| hs-payments.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| sydneysalonssupplies.com | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| nr-public.com | 03.01.2019 |
| cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| asianfoodgracer.com | 25.01.2019 |
G-Analytics oilasi
Bu hidlovchilar oilasi onlayn-do'konlardan mijozlar kartalarini o'g'irlash uchun ishlatiladi. Guruh tomonidan ishlatiladigan birinchi domen nomi 2016 yil aprel oyida ro'yxatga olingan, bu guruh 2016 yil o'rtalarida faoliyat boshlaganini ko'rsatishi mumkin.
Joriy kampaniyada guruh Google Analytics va jQuery kabi real xizmatlarga taqlid qiluvchi domen nomlaridan foydalanadi, bu esa snifferlar faoliyatini qonuniy skriptlar va qonuniylarga o‘xshash domen nomlari bilan maskalaydi. Magento CMS bilan ishlaydigan saytlar hujumga uchradi.
G-Analytics onlayn-do'kon kodiga qanday kiritiladi
Ushbu oilaning o'ziga xos xususiyati foydalanuvchi to'lov ma'lumotlarini o'g'irlashning turli usullaridan foydalanishdir. Jinoiy guruh saytning mijoz tomoniga klassik JavaScript kodini kiritishdan tashqari, saytning server tomoniga kod kiritish usullaridan, ya’ni foydalanuvchi kiritgan ma’lumotlarni qayta ishlovchi PHP skriptlaridan ham foydalangan. Bu usul xavfli, chunki u uchinchi tomon tadqiqotchilariga zararli kodni aniqlashni qiyinlashtiradi. Group-IB mutaxassislari domendan darvoza sifatida foydalangan holda saytning PHP kodiga o‘rnatilgan sniffer versiyasini aniqladilar. dittm.org.
O'g'irlangan ma'lumotlarni yig'ish uchun xuddi shu domendan foydalanadigan snifferning dastlabki versiyasi ham topildi dittm.org, lekin bu versiya onlayn-do'konning mijoz tomonida o'rnatish uchun mo'ljallangan.
Guruh keyinchalik oʻz taktikasini oʻzgartirib, koʻproq eʼtiborni zararli faoliyat va kamuflyajni yashirishga qarata boshladi.
2017 yil boshida guruh domendan foydalanishni boshladi jquery-js.com, jQuery uchun CDN sifatida niqoblangan: tajovuzkorlar saytiga kirganda, foydalanuvchi qonuniy saytga yo'naltiriladi jquery.com.
Va 2018 yilning o'rtalarida guruh domen nomini qabul qildi g-analytics.com va sniffer faoliyatini qonuniy Google Analytics xizmati sifatida yashira boshladi.
Versiya tahlili
Sniffer kodini saqlash uchun foydalaniladigan domenlar tahlili davomida, sayt ma'lum bo'lishicha, ko'p sonli versiyalarni o'z ichiga oladi, ular chalg'itish, shuningdek, e'tiborni chalg'itish uchun faylga qo'shilgan etib bo'lmaydigan kodning mavjudligi yoki yo'qligi bilan farqlanadi. va zararli kodni yashiring.
Saytda jami jquery-js.com Snifferlarning oltita versiyasi aniqlandi. Ushbu snifferlar o'g'irlangan ma'lumotlarni o'zi bilan bir xil veb-saytda joylashgan manzilga yuboradilar: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
Keyinchalik domen g-analytics.com, 2018-yilning oʻrtalaridan beri guruh tomonidan hujumlarda foydalanilgan, koʻproq hidlovchilar uchun ombor boʻlib xizmat qiladi. Hammasi bo'lib snifferning 16 xil versiyasi topildi. Bunday holda, o'g'irlangan ma'lumotlarni yuborish uchun eshik tasvir formatiga havola sifatida yashiringan GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
O'g'irlangan ma'lumotlarni monetizatsiya qilish
Jinoiy guruh o‘g‘irlangan ma’lumotlarni kartalarni sotuvga qo‘yib, kartochkalarga xizmat ko‘rsatadigan maxsus tashkil etilgan er osti do‘koni orqali monetizatsiya qiladi. Hujumchilar tomonidan ishlatiladigan domenlarni tahlil qilish bizga buni aniqlash imkonini berdi google-analytics.cm domen bilan bir xil foydalanuvchi tomonidan ro'yxatdan o'tgan cardz.vc. Domen cardz.vc Bu o'g'irlangan Cardsurfs (Flysurfs) bank kartalarini sotuvchi do'konga tegishli bo'lib, u AlphaBay er osti savdo platformasi faoliyati davrida sniffer yordamida o'g'irlangan bank kartalarini sotuvchi do'kon sifatida mashhur bo'lgan.
Domenni tahlil qilish analytical.is, o'g'irlangan ma'lumotlarni to'plash uchun snayferlar tomonidan ishlatiladigan domenlar bilan bir serverda joylashgan, Group-IB mutaxassislari cookie fayllarini o'g'irlash jurnallarini o'z ichiga olgan faylni topdilar, keyinchalik ishlab chiquvchi uni tashlab ketganga o'xshaydi. Jurnaldagi yozuvlardan birida domen mavjud edi iozoz.com, bu avvalroq 2016 yilda faol hidlovchilardan birida ishlatilgan. Taxminlarga ko'ra, bu domen avval tajovuzkor tomonidan sniffer yordamida o'g'irlangan kartalarni yig'ish uchun ishlatilgan. Ushbu domen elektron pochta manziliga ro'yxatdan o'tgan [elektron pochta bilan himoyalangan], bu domenlarni ro'yxatdan o'tkazish uchun ham ishlatilgan cardz.su и cardz.vc, Cardsurfs karting do'koni bilan bog'liq.
Olingan ma'lumotlarga asoslanib, taxmin qilish mumkinki, G-Analytics snifferlar oilasi va Cardsurfs bank kartalari sotiladigan er osti do'koni xuddi shu shaxslar tomonidan boshqariladi va do'kondan sniffer yordamida o'g'irlangan bank kartalarini sotish uchun foydalaniladi.
Infrastruktura
| Domen nomi | Topish/ko'rinish sanasi |
|---|---|
| iozoz.com | 08.04.2016 |
| dittm.org | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| google-analytics.is | 21.11.2018 |
| analitik.to | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| google-analytics.cm | 28.12.2018 |
| analytical.is | 28.12.2018 |
| googlc-analytics.cm | 17.01.2019 |
Illum oilasi
Illum - bu Magento CMS-da ishlaydigan onlayn-do'konlarga hujum qilish uchun ishlatiladigan hidlovchilar oilasi. Zararli kodni joriy qilishdan tashqari, ushbu snayfer operatorlari tajovuzkorlar tomonidan boshqariladigan darvozalarga ma'lumotlarni yuboradigan to'liq soxta to'lov shakllarini joriy etishdan ham foydalanadilar.
Ushbu sniffer operatorlari tomonidan foydalaniladigan tarmoq infratuzilmasini tahlil qilishda ko'plab zararli skriptlar, ekspluatatsiyalar, soxta to'lov shakllari, shuningdek, raqobatchilarning zararli snifferlari bilan misollar to'plami qayd etildi. Guruh tomonidan foydalaniladigan domen nomlarining paydo bo'lish sanalari haqidagi ma'lumotlarga asoslanib, kampaniya 2016 yil oxirida boshlangan deb taxmin qilish mumkin.
Illum onlayn-do'kon kodiga qanday kiritiladi
Topilgan snifferning birinchi versiyalari to'g'ridan-to'g'ri buzilgan saytning kodiga kiritilgan. O'g'irlangan ma'lumotlar yuborildi cdn.illum[.]pw/records.php, darvoza yordamida kodlangan base64.
Keyinchalik, boshqa eshikdan foydalanadigan hidlovchining paketlangan versiyasi topildi - records.nstatistics[.]com/records.php.
Shunga ko'ra Villem de Groot, xuddi shu uy egasi snifferda ishlatilgan, qaysi kuni amalga oshirilgan , Germaniyaning CSU siyosiy partiyasiga tegishli.
Hujumchilar veb-saytini tahlil qilish
Group-IB mutaxassislari ushbu jinoiy guruh tomonidan vositalarni saqlash va oʻgʻirlangan maʼlumotlarni yigʻish uchun foydalanilgan veb-saytni topib, tahlil qilishdi.
Hujumchilar serverida topilgan vositalar orasida Linux OS da imtiyozlarni oshirish uchun skriptlar va ekspluatatsiyalar bor edi: masalan, Mayk Czumak tomonidan ishlab chiqilgan Linux imtiyozlarini oshirishni tekshirish skripti, shuningdek, CVE-2009-1185 uchun ekspluatatsiya.
Hujumchilar onlayn-do'konlarga hujum qilish uchun ikkita ekspluatatsiyadan foydalanganlar: zararli kodni kiritish imkoniyatiga ega yadro_config_ma'lumotlari CVE-2016-4010 dan foydalanish orqali, CMS Magento plaginlaridagi RCE zaifligidan foydalanib, zaif veb-serverda o'zboshimchalik bilan kodni bajarishga imkon beradi.
Shuningdek, serverni tahlil qilish chog‘ida tajovuzkorlar tomonidan buzilgan saytlardan to‘lov ma’lumotlarini yig‘ishda foydalanilgan turli xil sniffer namunalari va soxta to‘lov shakllari aniqlangan. Quyidagi ro'yxatda ko'rib turganingizdek, har bir buzilgan sayt uchun ba'zi skriptlar alohida yaratilgan, ma'lum CMS va to'lov shlyuzlari uchun universal yechim ishlatilgan. Masalan, skriptlar segapay_standart.js и segapay_onpage.js Sage Pay to'lov shlyuzidan foydalangan holda saytlarda amalga oshirish uchun mo'ljallangan.
Turli to'lov shlyuzlari uchun skriptlar ro'yxati
| Skript | To'lov shlyuzi |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/topdierenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/checkpayment.php |
| [.]pw/magento/payment_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/payment_redirect.js | //payrightnow[.]cf/?to'lov= |
| [.]pw/magento/payment_redcrypt.js | //payrightnow[.]cf/?to'lov= |
| [.]pw/magento/payment_forminsite.js | //paymentnow[.]tk/?payment= |
Xost paymentnow[.]tk, skriptda darvoza sifatida ishlatiladi payment_forminsite.js, sifatida kashf etilgan subjectAltName CloudFlare xizmatiga tegishli bir nechta sertifikatlarda. Bundan tashqari, uy egasi skriptni o'z ichiga olgan evil.js. Skript nomidan kelib chiqadigan bo'lsak, uni CVE-2016-4010 ekspluatatsiyasining bir qismi sifatida ishlatish mumkin, buning yordamida CMS Magento bilan ishlaydigan saytning pastki qismiga zararli kodni kiritish mumkin. Uy egasi bu skriptni darvoza sifatida ishlatgan request.requestnet[.]tkxost bilan bir xil sertifikatdan foydalanish paymentnow[.]tk.
Soxta to'lov shakllari
Quyidagi rasmda karta ma'lumotlarini kiritish shaklining namunasi ko'rsatilgan. Ushbu shakl onlayn-do'konga kirish va karta ma'lumotlarini o'g'irlash uchun ishlatilgan.
Quyidagi rasmda tajovuzkorlar tomonidan ushbu toʻlov usuli bilan saytlarga kirish uchun foydalanilgan soxta PayPal toʻlov shakli namunasi koʻrsatilgan.
Infrastruktura
| Domen nomi | Topish/ko'rinish sanasi |
|---|---|
| cdn.illum.pw | 27/11/2016 |
| records.nstatistics.com | 06/09/2018 |
| request.payrightnow.cf | 25/05/2018 |
| paymentnow.tk | 16/07/2017 |
| payment-line.tk | 01/03/2018 |
| paymentpal.cf | 04/09/2017 |
| requestnet.tk | 28/06/2017 |
CoffeeMokko oilasi
Internet-do‘kon foydalanuvchilarining bank kartalarini o‘g‘irlash uchun mo‘ljallangan CoffeMokko snifferlar oilasi kamida 2017-yilning may oyidan beri qo‘llanilmoqda. Taxminlarga ko'ra, bu hidlovchilar oilasining operatorlari 1 yilda RiskIQ mutaxassislari tomonidan tasvirlangan 2016-guruh jinoiy guruhdir. Magento, OpenCart, WordPress, osCommerce va Shopify kabi CMS bilan ishlaydigan saytlar hujumga uchradi.
CoffeMokko onlayn-do'kon kodiga qanday kiritiladi
Ushbu oila operatorlari har bir infektsiya uchun noyob snifferlarni yaratadilar: sniffer fayli katalogda joylashgan. src yoki js tajovuzkorlar serverida. Sayt kodiga kiritish snifferga to'g'ridan-to'g'ri havola orqali amalga oshiriladi.
Sniffer kodi ma'lumotlar o'g'irlanishi kerak bo'lgan shakl maydonlarining nomlarini qattiq kodlaydi. Sniffer, shuningdek, foydalanuvchining joriy manzili bilan kalit so'zlar ro'yxatini tekshirish orqali to'lov sahifasida foydalanuvchi bor yoki yo'qligini tekshiradi.
Snifferning ba'zi topilgan versiyalari xiralashgan va asosiy resurslar to'plami saqlanadigan shifrlangan qatorni o'z ichiga olgan: unda turli to'lov tizimlari uchun shakl maydonlarining nomlari, shuningdek, o'g'irlangan ma'lumotlar yuborilishi kerak bo'lgan darvoza manzili mavjud edi.
O'g'irlangan to'lov ma'lumotlari yo'lda hujumchilar serveridagi skriptga yuborilgan /savePayment/index.php yoki /tr/index.php. Taxminlarga ko'ra, ushbu skript barcha snifferlarning ma'lumotlarini birlashtiruvchi asosiy serverga darvozadan ma'lumotlarni yuborish uchun ishlatiladi. O'tkazilgan ma'lumotlarni yashirish uchun jabrlanuvchining barcha to'lov ma'lumotlari shifrlangan base64, va keyin bir nechta belgilar almashinuvi sodir bo'ladi:
- "e" belgisi ":" bilan almashtiriladi
- "w" belgisi "+" bilan almashtirildi
- "o" belgisi "%" bilan almashtiriladi
- "d" belgisi "#" bilan almashtiriladi
- "a" belgisi "-" bilan almashtirildi
- "7" belgisi "^" bilan almashtirildi
- "h" belgisi "_" bilan almashtirildi
- "T" belgisi "@" bilan almashtirildi
- "0" belgisi "/" bilan almashtirildi
- "Y" belgisi "*" bilan almashtiriladi
yordamida kodlangan belgilar almashtirish natijasida base64 Ma'lumotlarni teskari konvertatsiya qilmasdan dekodlab bo'lmaydi.
Sniffer kodining noaniq bo'lmagan qismi shunday ko'rinadi:
Infratuzilma tahlili
Dastlabki kampaniyalarda tajovuzkorlar qonuniy onlayn xarid saytlariga o'xshash domen nomlarini ro'yxatdan o'tkazishgan. Ularning domeni qonuniy domendan bir belgi yoki boshqa TLD bilan farq qilishi mumkin. Ro'yxatdan o'tgan domenlar sniffer kodini saqlash uchun ishlatilgan, unga havola do'kon kodiga kiritilgan.
Bu guruh mashhur jQuery plaginlarini eslatuvchi domen nomlaridan ham foydalangan (slickjs[.]org plagindan foydalanadigan saytlar uchun slick.js), to'lov shlyuzlari (sagecdn[.]org Sage Pay to'lov tizimidan foydalanadigan saytlar uchun).
Keyinchalik, guruh nomlari do'kon domeniga yoki do'kon mavzusiga hech qanday aloqasi bo'lmagan domenlarni yaratishni boshladi.
Har bir domen katalog yaratilgan saytga mos keladi /js yoki /src. Sniffer skriptlari ushbu katalogda saqlangan: har bir yangi infektsiya uchun bitta sniffer. Sniffer veb-sayt kodiga to'g'ridan-to'g'ri havola orqali kiritilgan, ammo kamdan-kam hollarda tajovuzkorlar veb-sayt fayllaridan birini o'zgartirgan va unga zararli kod qo'shgan.
Kod tahlili
Birinchi chalkashlik algoritmi
Ushbu oilaning ba'zi topilgan snifferlar namunalarida kod chigallashtirilgan va hidlovchining ishlashi uchun zarur bo'lgan shifrlangan ma'lumotlarni o'z ichiga olgan: xususan, sniffer darvozasi manzili, to'lov shakli maydonlari ro'yxati va ba'zi hollarda soxta kod. to'lov shakli. Funktsiya ichidagi kodda resurslar yordamida shifrlangan XOR bir xil funktsiyaga argument sifatida uzatilgan kalit orqali.
Har bir namuna uchun noyob bo'lgan tegishli kalit bilan satrni shifrlash orqali siz ajratuvchi belgi bilan ajratilgan sniffer kodidan barcha satrlarni o'z ichiga olgan qatorni olishingiz mumkin.
Ikkinchi chalkashlik algoritmi
Ushbu oilaning hidlovchilarining keyingi namunalarida boshqa xiralashish mexanizmi ishlatilgan: bu holda ma'lumotlar o'z-o'zidan yozilgan algoritm yordamida shifrlangan. Sniffer ishlashi uchun zarur bo'lgan shifrlangan ma'lumotlarni o'z ichiga olgan qator shifrni ochish funksiyasiga argument sifatida uzatildi.
Brauzer konsolidan foydalanib, siz shifrlangan ma'lumotlarning shifrini ochishingiz va sniffer resurslarini o'z ichiga olgan massivni olishingiz mumkin.
Dastlabki MageCart hujumlariga ulanish
Guruh tomonidan o'g'irlangan ma'lumotlarni to'plash uchun shlyuz sifatida foydalanilgan domenlardan birini tahlil qilish paytida, ushbu domen birinchi guruhlardan biri bo'lgan 1-guruh tomonidan ishlatiladigan kredit kartalarini o'g'irlash uchun infratuzilmaga ega ekanligi aniqlandi. RiskIQ mutaxassislari tomonidan.
CoffeMokko hidlovchilar oilasi xostida ikkita fayl topildi:
- mage.js — darvoza manzili bilan 1-guruh sniffer kodini o'z ichiga olgan fayl js-cdn.link
- mag.php — Sniffer tomonidan o'g'irlangan ma'lumotlarni yig'ish uchun mas'ul bo'lgan PHP skripti
Mage.js faylining mazmuni
Shuningdek, CoffeMokko snifferlar oilasi ortidagi guruh tomonidan foydalanilgan eng qadimgi domenlar 17-yil 2017-mayda ro‘yxatga olinganligi aniqlandi:
- link-js[.]havola
- info-js[.]havolasi
- track-js[.]havolasi
- map-js[.]havolasi
- smart-js[.]havolasi
Ushbu domen nomlarining formati 1 yilgi hujumlarda ishlatilgan 2016-guruh domen nomlariga mos keladi.
Aniqlangan faktlarga asoslanib, CoffeMokko snifferlari operatorlari va 1-guruh jinoiy guruhi o‘rtasida aloqa borligini taxmin qilish mumkin. Taxminlarga ko'ra, CoffeMokko operatorlari kartalarni o'g'irlash uchun o'zlarining avvalgilaridan asboblar va dasturlarni qarzga olishlari mumkin edi. Ammo, ehtimol, CoffeMokko snayferlar oilasidan foydalanish ortida turgan jinoiy guruh 1-guruh hujumlarini amalga oshirgan o‘sha shaxslardir.Jinoyat guruhining faoliyati haqidagi birinchi hisobot e’lon qilinganidan beri ularning barcha domen nomlari. bloklangan va asboblar batafsil o'rganilgan va tavsiflangan. Guruh hujumlarini davom ettirish va aniqlanmaslik uchun tanaffus qilishga, ichki vositalarini takomillashtirishga va sniffer kodini qayta yozishga majbur bo'ldi.
Infrastruktura
| Domen nomi | Topish/ko'rinish sanasi |
|---|---|
| link-js.link | 17.05.2017 |
| info-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| map-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| adorebeauty.org | 03.09.2017 |
| security-payment.su | 03.09.2017 |
| braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| oakandfort.org | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| dobell.su | 04.10.2017 |
| childrensplayclothing.org | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| shop-rnib.org | 15.11.2017 |
| closetlondon.org | 16.11.2017 |
| misshaus.org | 28.11.2017 |
| battery-force.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| greatfurnituretradingco.org | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| replacemyremote.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| nililotan.org | 07.12.2017 |
| lamoodbighat.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| dahlie.org | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| blackriverimaging.org | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| parks.su | 09.01.2018 |
| pmtonline.su | 12.01.2018 |
| otocap.org | 15.01.2018 |
| christohperward.org | 27.01.2018 |
| coffetea.org | 31.01.2018 |
| Energycoffe.org | 31.01.2018 |
| energytea.org | 31.01.2018 |
| teacoffe.net | 31.01.2018 |
| adaptivecss.org | 01.03.2018 |
| coffemokko.com | 01.03.2018 |
| londontea.net | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| labbe.biz | 20.03.2018 |
| batterynart.com | 03.04.2018 |
| btosports.net | 09.04.2018 |
| chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| authorizecdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| bannerbuzz.info | 03.06.2018 |
| kandypens.net | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| freshchat.info | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| mechat.info | 02.07.2018 |
| zoplm.com | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitnesse.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
Manba: www.habr.com