Những kẻ đánh hơi có thể: Gia đình FakeSecurity đã lây nhiễm các cửa hàng trực tuyến như thế nào

Vào tháng 2018 năm XNUMX, các chuyên gia của Group-IB đã phát hiện ra một dòng thiết bị đánh hơi mới, được gọi là Bảo mật giả mạoChúng được một nhóm tội phạm sử dụng để lây nhiễm vào các trang web chạy hệ điều hành CMS. MagentoPhân tích cho thấy trong một chiến dịch gần đây, tin tặc đã sử dụng phần mềm độc hại để đánh cắp mật khẩu. Các nạn nhân là chủ sở hữu các cửa hàng trực tuyến bị nhiễm phần mềm gián điệp JavaScript. Nhóm CERT của Group-IB đã cảnh báo các trang web bị ảnh hưởng, và một nhà phân tích Tình báo Mối đe dọa của Group-IB đã được thông báo. Victor Okorokov Tôi quyết định nói về cách chúng tôi xác định hoạt động tội phạm.

Chúng ta hãy nhớ lại rằng vào tháng 2019 năm XNUMX Group-IB đã xuất bản báo cáo “Tội ác không bị trừng phạt: phân tích các dòng trình thám thính JS,” đã phân tích 15 dòng trình thám thính JS khác nhau được sử dụng để lây nhiễm hơn hai nghìn trang web mua sắm trực tuyến.

Địa chỉ duy nhất

Trong quá trình lây nhiễm, những kẻ tấn công đã chèn một liên kết đến một tập lệnh độc hại vào mã trang web; tập lệnh này đã được tải và tại thời điểm thanh toán hàng hóa, chúng đã chặn dữ liệu thanh toán của khách truy cập cửa hàng trực tuyến, sau đó gửi nó cho những kẻ tấn công. ' máy chủ. Ở giai đoạn đầu tiên của các cuộc tấn công sử dụng FakeSecurity, bản thân các tập lệnh độc hại và trình dò ​​tìm cổng đều nằm trên cùng một miền magento-security[.]org.

Sau đó một số Magento-Các trang web này được phát hiện bị nhiễm cùng một loại phần mềm gián điệp, nhưng lần này những kẻ tấn công đã sử dụng các tên miền mới để lưu trữ mã độc:

• fiswedbesign[.]com
• alloaypparel[.]com

Cả hai tên miền này đều được đăng ký vào cùng một địa chỉ email greenstreethunter@india[.]com. Địa chỉ tương tự đã được chỉ định khi đăng ký tên miền thứ ba Firstofbanks[.]com.

Chúng tôi vui lòng yêu cầu

Phân tích về ba miền mới được nhóm tội phạm FakeSecurity sử dụng cho thấy một số miền trong số đó có liên quan đến chiến dịch phân phối phần mềm độc hại bắt đầu vào tháng 2019 năm XNUMX. Những kẻ tấn công đã phân phối các liên kết đến các trang thông báo rằng người dùng cần cài đặt một plugin bị thiếu để hiển thị tài liệu một cách chính xác. Nếu người dùng bắt đầu tải xuống ứng dụng thì máy tính của họ đã bị nhiễm phần mềm độc hại đánh cắp mật khẩu.

Tổng cộng có 11 liên kết duy nhất đã được xác định dẫn đến các trang giả mạo khuyến khích người dùng cài đặt phần mềm độc hại.

• hxxps://www.etdoors.com/uploads/Statement00534521[.]html
• hxxps://www.healthcare4all.co.uk/manuals/Statement00534521[.]html
• hxxps://www.healthcare4all.co.uk/lib/Statement001845[.]html
• hxxps://www.healthcare4all.co.uk/doc/BankStatement001489232[.]html
• hxxp://verticalinsider.com/bookmarks/Bank_Statement0052890[.]html
• hxxp://thepinetree.net/n/docs/Statement00159701[.]html
• hxxps://www.readicut.co.uk/media/pdf/Bank_Statement00334891[.]html
• hxxp://www.e-cig.com/doc/pdf/eStmt[.]html
• hxxps://www.genstattu.com/doc/PoliceStatement001854[.]html
• hxxps://www.tokyoflash.com/pdf/statment001854[.]html
• hxxps://www.readicut.co.uk/media/pdf/statment00789[.]html

Một nạn nhân tiềm năng của một chiến dịch độc hại đã nhận được email spam chứa liên kết đến trang cấp một. Trang này là một tài liệu HTML nhỏ có iframe, nội dung của nó được tải từ trang cấp hai. Trang cấp hai là trang đích có nội dung khuyến khích người nhận cài đặt tệp thực thi. Trong trường hợp của chiến dịch độc hại này, những kẻ tấn công đã sử dụng một trang đích có chủ đề cài đặt một plugin bị thiếu cho Adobe Reader, do đó, trang cấp một đã bắt chước liên kết đến tệp PDF được mở ở chế độ xem trực tuyến trên trình duyệt. Trang cấp hai chứa liên kết đến tệp độc hại được phân phối như một phần của chiến dịch độc hại, tệp này sẽ được tải xuống khi bạn nhấp vào nút Tải xuống plugin.

Phân tích các trang được sử dụng trong chiến dịch này cho thấy rằng các trang cấp hai thường nằm trên miền của kẻ tấn công, trong khi trang cấp một và chính tệp độc hại thường nằm trên các trang thương mại điện tử bị tấn công.

Cấu trúc trang mẫu để phát tán phần mềm độc hại

Thông qua thư rác, nạn nhân tiềm năng sẽ nhận được liên kết tới tệp HTML, ví dụ: hxxps://www.healthcare4all[.]co[.]uk/manuals/Statement00534521[.]html. Tệp HTML tại liên kết chứa phần tử iframe có liên kết đến nội dung chính của trang; trong ví dụ này, nội dung trang được đặt tại hxxps://alloaypparel[.]com/view/public/Statement00534521/PDF/Statement001854[.]pdf. Như chúng ta có thể thấy từ ví dụ này, trong trường hợp này, những kẻ tấn công đã sử dụng miền đã đăng ký chứ không phải trang web bị tấn công để đăng nội dung trang. Trong giao diện hiển thị tại link này có nút Tải xuống plugin. Nếu nạn nhân nhấp vào nút này, tệp thực thi sẽ được tải xuống từ liên kết được chỉ định trong mã trang; trong ví dụ này, tệp thực thi được tải xuống từ liên kết hxxps://www.healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe, tức là bản thân tệp độc hại được lưu trữ trên trang web bị tấn công.

"Mephistopheles" của thời đại chúng ta

Phân tích tên miền alloaypparel[.]com tiết lộ rằng bộ lừa đảo Mephistophilus đã được sử dụng để phát tán phần mềm độc hại, cho phép bạn tạo và triển khai các trang lừa đảo để phát tán phần mềm độc hại: Mephistophilus sử dụng một số loại trang đích khuyến khích người dùng cài đặt một plugin được cho là bị thiếu cần thiết để ứng dụng hoạt động. Trên thực tế, người dùng sẽ được cài đặt phần mềm độc hại, một liên kết mà nhà điều hành thêm vào thông qua bảng quản trị Mephistophilus.

Hệ thống tấn công lừa đảo nhắm mục tiêu Mephistophilus đã được bán trên các diễn đàn ngầm vào tháng 2016 năm XNUMX. Đây là một trò lừa đảo lừa đảo tiêu chuẩn sử dụng các trang web giả mạo cung cấp tính năng tải xuống phần mềm độc hại dưới chiêu bài cập nhật plugin (MS Word, MS Excel, PDF, YouTube) để xem nội dung của tài liệu hoặc trang. Mephistophilus được phát triển và phát hành bởi người dùng diễn đàn ngầm Kokain. Để lây nhiễm thành công bằng cách sử dụng bộ công cụ lừa đảo, kẻ tấn công cần dụ người dùng nhấp vào liên kết dẫn đến trang do Mephistophilus tạo ra. Bất kể chủ đề của trang lừa đảo là gì, một thông báo sẽ xuất hiện cho biết bạn cần cài đặt plugin bị thiếu để hiển thị chính xác tài liệu trực tuyến hoặc video YouTube. Để làm điều này, Mephistophilus có một số loại trang lừa đảo bắt chước các dịch vụ hợp pháp:

• Trình xem tài liệu trực tuyến cho Microsoft Office365 Word hoặc Excel
• Trình xem PDF trực tuyến
• Trang nhân bản dịch vụ YouTube

Ảnh hưởng

Là một phần của chiến dịch độc hại, nhóm tội phạm không giới hạn việc sử dụng tên miền tự đăng ký: để lưu trữ các mẫu tệp độc hại được phân phối, những kẻ tấn công cũng sử dụng một số trang web mua sắm trực tuyến trước đó đã bị nhiễm trình thám thính FakeSecurity.

Tổng cộng có 5 liên kết độc lập đến 5 mẫu phần mềm độc hại khác nhau đã được phát hiện, trong đó 4 liên kết được lưu trữ trên các trang web bị tấn công sử dụng hệ thống quản lý nội dung (CMS). Magento:

• hxxps://www.healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe
• hxxps://www.genstattu[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
• hxxps://firstofbanks[.]com/file_d/Adobe-Reader-PDF-Plugin-2.35.8.exe
• hxxp://e-cig[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
• hxxp://thepinetree[.]net/docs/msw070619.exe

Các mẫu phần mềm độc hại được phát tán trong chiến dịch này là mẫu của kẻ đánh cắp Vidar, được thiết kế để đánh cắp mật khẩu từ trình duyệt và một số ứng dụng. Nó cũng có thể thu thập các tệp theo các tham số được chỉ định và chuyển chúng đến bảng quản trị, điều này giúp việc lấy cắp tệp từ ví tiền điện tử trở nên dễ dàng hơn, chẳng hạn như. Vidar giới thiệu phần mềm độc hại dưới dạng dịch vụ: tất cả dữ liệu thu thập được sẽ được chuyển đến cổng và sau đó được gửi đến bảng quản trị tập trung, nơi mỗi người mua kẻ đánh cắp có thể xem nhật ký đến từ các máy tính bị nhiễm.

Kẻ trộm có khả năng

Kẻ đánh cắp Vidar xuất hiện vào tháng 2018 năm 250. Nó được phát triển và phát hành để bán trên các diễn đàn ngầm bởi một người dùng có bút danh Loadbaks. Theo mô tả của nhà phát triển, Vidar có thể đánh cắp mật khẩu từ trình duyệt, tệp bằng cách sử dụng các đường dẫn và mặt nạ nhất định, dữ liệu thẻ ngân hàng, tệp ví lạnh, thư từ Telegram và Skype, cũng như lịch sử truy cập trang web từ trình duyệt. Giá thuê một tên trộm là từ 300 USD đến XNUMX USD một tháng. Bảng quản trị của kẻ đánh cắp và các miền được sử dụng làm cổng đều được đặt trên máy chủ của tác giả Vidar, giúp giảm chi phí cơ sở hạ tầng cho người mua.

Trong trường hợp có tập tin độc hại msw070619.exe, ngoài việc được phát tán bằng trang đích Mephistophilus, một tệp DOC độc hại cũng được phát hiện Báo cáo Ngân hàng0040918404.doc (MD5: 1b8a824074b414419ac10f5ded847ef1), đã thả tệp thi hành này vào đĩa bằng cách sử dụng macro. tập tin DOC Báo cáo Ngân hàng0040918404.doc được đính kèm dưới dạng tệp đính kèm vào các email độc hại được gửi như một phần của chiến dịch độc hại.

Phân tích cuộc tấn công

lá thư được phát hiện (MD5: 53554192ca888cccbb5747e71825facd) đã được gửi đến địa chỉ liên hệ của trang web đang sử dụng CMS. MagentoTừ đó, ta có thể kết luận rằng một trong những mục tiêu của chiến dịch độc hại là các quản trị viên của các cửa hàng trực tuyến, và mục đích của việc lây nhiễm là giành quyền truy cập vào bảng điều khiển quản trị. Magento và các nền tảng thương mại điện tử khác để cài đặt phần mềm gián điệp và đánh cắp dữ liệu khách hàng từ các cửa hàng bị nhiễm.

Do đó, toàn bộ sơ đồ lây nhiễm bao gồm các bước sau:

1. Những kẻ tấn công đã triển khai bảng quản trị Mephistophilus Phishing Kit trên máy chủ alloaypparel[.]com.
2. Những kẻ tấn công đã đặt phần mềm độc hại đánh cắp mật khẩu trên các trang web hợp pháp bị tấn công và trên trang web của chính chúng.
3. Bằng cách sử dụng một bộ công cụ lừa đảo, những kẻ tấn công đã triển khai một số trang đích để phát tán phần mềm độc hại, đồng thời tạo ra các tài liệu độc hại có macro tải phần mềm độc hại xuống máy tính của người dùng.
4. Những kẻ tấn công đã tiến hành một chiến dịch thư rác để gửi email có tệp đính kèm độc hại, cũng như liên kết đến các trang đích để cài đặt phần mềm độc hại. Ít nhất một số mục tiêu của kẻ tấn công là quản trị viên của các trang mua sắm trực tuyến.
5. Khi máy tính của quản trị viên cửa hàng trực tuyến bị xâm nhập thành công, thông tin đăng nhập bị đánh cắp sẽ được sử dụng để truy cập vào bảng quản trị của cửa hàng và cài đặt trình thám thính JS để đánh cắp thẻ ngân hàng của người dùng thanh toán trên trang web bị nhiễm virus.

Mối quan hệ với các cuộc tấn công khác

Cơ sở hạ tầng của kẻ tấn công đã được triển khai trên máy chủ có địa chỉ IP 200.63.40.2, thuộc dịch vụ cho thuê máy chủ Máy chủ Panama[.]com. Trước chiến dịch FakeSecurity, máy chủ này được sử dụng để lừa đảo cũng như lưu trữ bảng quản trị của nhiều chương trình độc hại khác nhau nhằm đánh cắp mật khẩu.

Dựa trên các chi tiết cụ thể của chiến dịch FakeSecurity, có thể giả định rằng bảng quản trị của kẻ đánh cắp Lokibot và AZORULT, nằm trên máy chủ này, có thể đã được sử dụng trong các cuộc tấn công trước đó của cùng một nhóm vào tháng 2019 năm XNUMX. Dựa theo bài viết nàyVào ngày 14 tháng 2019 năm 18, những kẻ tấn công không xác định đã phát tán phần mềm độc hại Lokibot bằng cách gửi hàng loạt thư có tệp DOC độc hại dưới dạng tệp đính kèm. Ngày 2019 tháng XNUMX năm XNUMX cũng là đã tiến hành phân phối các tài liệu độc hại đã cài đặt phần mềm độc hại AZORULT. Phân tích chiến dịch này cho thấy các bảng quản trị sau nằm trên máy chủ có địa chỉ IP 200.63.40.2:

• http[:]//chuxagama[.]com/web-obtain/Panel/year/PvqDq929BSx_A_D_M1n_a.php (Lokibot)
• http[:]//umbra-diego[.]com/wp/Panel/year/PvqDq929BSx_A_D_M1n_a.php (Lokibot)
• http[:]//chuxagama[.]com/web-obtain/Panel/year/index.php (AZORUlt)

Tên miền chuxagama[.]com và umbra-diego[.]com được đăng ký bởi cùng một người dùng với địa chỉ email dicksonfletcher@gmail.com. Cùng một địa chỉ đã được sử dụng để đăng ký tên miền worldcourrierservices[.]com vào tháng 2016 năm XNUMX, sau đó được sử dụng làm trang web cho công ty lừa đảo World Courier Service.

Dựa trên thực tế là là một phần của chiến dịch độc hại FakeSecurity, những kẻ tấn công đã sử dụng phần mềm độc hại để đánh cắp mật khẩu và phát tán nó thông qua thư rác email, đồng thời sử dụng máy chủ có địa chỉ IP 200.63.40.2, có thể giả định rằng chiến dịch độc hại vào tháng 2019 Năm XNUMX đã được thực hiện cùng một nhóm tội phạm.

Các chỉ số

Tên tệp Adobe-Reader-PDF-Plugin-2.37.2.exe

• MD5 3ec1ac0be981ce6d3f83f4a776e37622
• SHA-1 346d580ecb4ace858d71213808f4c75341a945c1
• SHA-256 6ec8b7ce6c9858755964f94acdf618773275589024e2b66583e3634127b7e32c
• Kích thước 615984

Tên tệp Adobe-Reader-PDF-Plugin-2.31.4.exe

• MD5 58476e1923de46cd4b8bee4cdeed0911
• SHA-1 aafa9885b8b686092b003ebbd9aaf8e604eea3a6
• SHA-256 15abc3f55703b89ff381880a10138591c6214dee7cc978b7040dd8b1e6f96297
• Kích thước 578048

Tên tệp Adobe-Reader-PDF-Plugin-2.35.8.exe

• MD5 286096c7e3452aad4acdc9baf897fd0c
• SHA-1 26d71553098b5c92b55e49db85c719f5bb366513
• SHA-256 af04334369878408898a223e63ec50e1434c512bc21d919769c97964492fee19
• Kích thước 1069056

Tên tệp Adobe-Reader-PDF-Plugin-2.31.4.exe

• MD5 fd0e11372a4931b262f0dd21cdc69c01
• SHA-1 54d34b6a6c4dc78e62ad03713041891b6e7eb90f
• SHA-256 4587da5dca2374fd824a15e434dae6630b24d6be6916418cee48589aa6145ef6
• Kích thước 856576

Tên tệp msw070619.exe

• MD5 772db176ff61e9addbffbb7e08d8b613
• SHA-1 6ee62834ab3aa4294eebe4a9aebb77922429cb45
• SHA-256 0660059f3e2fb2ab0349242b4dde6bf9e37305dacc2da870935f4bede78aed34
• Kích thước 934448

• fiswedbesign[.]com
• alloaypparel[.]com
• Firstofbanks[.]com
• bảo mật magento[.]org
• mage-security[.]org

• https[:]//www[.]healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe
• https[:]//www[.]genstattu[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
• https[:]//firstofbanks[.]com/file_d/Adobe-Reader-PDF-Plugin-2.35.8.exe
• http[:]//e-cig[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
• http[:]//thepinetree[.]net/docs/msw070619.exe

Nguồn: www.habr.com