Sniffers ti o le: bawo ni idile FakeSecurity ṣe akoran awọn ile itaja ori ayelujara

Ni Oṣu Kejila ọdun 2018, awọn alamọja Ẹgbẹ-IB ṣe awari idile tuntun ti sniffers, ti a pe Aabo iroÀwọn ẹgbẹ́ ọ̀daràn kan tí wọ́n kó àrùn bá àwọn ojú-òpó wẹ́ẹ̀bù tí wọ́n ń lo CMS ló lò wọ́n. MagentoÀgbéyẹ̀wò fi hàn pé nínú ìpolongo kan láìpẹ́ yìí, àwọn agbésùn lo malware láti jí ọ̀rọ̀ìpamọ́. Àwọn tí wọ́n farapa jẹ́ àwọn onílé ìtajà orí ayélujára tí ó ní àkóràn JavaScript. CERT ti Group-IB kìlọ̀ fún àwọn ojú òpó tí ó ní ipa náà, àti onímọ̀ nípa ìmòye ìhalẹ̀mọ́ni Group-IB. Victor Okorokov Mo pinnu lati sọrọ nipa bawo ni a ṣe ṣakoso lati ṣe idanimọ iṣẹ ọdaràn.

Jẹ ki a ranti pe ni Oṣu Kẹta ọdun 2019 Ẹgbẹ-IB ti a tẹjade iroyin "Ẹṣẹ laisi ijiya: igbekale ti awọn idile sniffer JS," eyiti o ṣe atupale awọn idile 15 ti o yatọ si JS sniffers ti a lo lati ṣe ikolu diẹ sii ju ẹgbẹrun meji awọn aaye iṣowo ori ayelujara.

Adirẹsi ẹyọkan

Lakoko ikolu naa, awọn ikọlu fi ọna asopọ kan si iwe afọwọkọ irira sinu koodu aaye naa; iwe afọwọkọ yii ti kojọpọ ati, ni akoko isanwo fun ẹru naa, gba data isanwo ti alejo ile itaja ori ayelujara, lẹhinna firanṣẹ si awọn ikọlu naa. 'olupin. Ni awọn ipele akọkọ ti awọn ikọlu nipa lilo FakeSecurity, awọn iwe afọwọkọ irira ati awọn apanirun ẹnu-ọna funrara wọn wa lori agbegbe magento-aabo[.]org kanna.

Nígbà tó yá lórí díẹ̀ Magento-àwọn ojú-òpó wẹ́ẹ̀bù ni ìdílé sniffer kan náà rí tí ó ní àkóràn náà, ṣùgbọ́n ní àkókò yìí àwọn olùkọlù náà lo àwọn orúkọ ìkápá tuntun láti gbàlejò kódì búburú náà:

• fiswedbesign[.] pẹlu
• alloaypparel[.] pẹlu

Mejeji ti awọn orukọ ìkápá wọnyi ni a forukọsilẹ si adirẹsi imeeli kanna greenstreethunter@india[.] pẹlu. Adirẹsi kanna ni pato nigbati fiforukọṣilẹ orukọ ìkápá kẹta firstofbanks[.] com.

A fi inu rere beere

Itupalẹ ti awọn agbegbe tuntun mẹta ti ẹgbẹ ọdaràn FakeSecurity lo fihan pe diẹ ninu wọn ni ipa ninu ipolongo pinpin malware kan ti o bẹrẹ ni Oṣu Kẹta ọdun 2019. Awọn ikọlu naa pin awọn ọna asopọ si awọn oju-iwe ti o sọ pe olumulo nilo lati fi ohun itanna kan ti o nsọnu sori ẹrọ lati ṣafihan iwe naa ni deede. Ti olumulo kan ba bẹrẹ igbasilẹ ohun elo naa, kọnputa wọn ti ni akoran pẹlu malware ji ọrọ igbaniwọle.

Apapọ awọn ọna asopọ alailẹgbẹ 11 ni idanimọ ti o yori si awọn oju-iwe iro ti n gba olumulo niyanju lati fi malware sori ẹrọ.

• hxxps://www.etodoors.com/uploads/Statement00534521[.]html
• hxxps://www.healthcare4all.co.uk/manuals/Statement00534521[.]html
• hxxps://www.healthcare4all.co.uk/lib/Statement001845[.]html
• hxxps://www.healthcare4all.co.uk/doc/BankStatement001489232[.]html
• hxxp://verticalinsider.com/bookmarks/Bank_Statement0052890[.]html
• hxxp://thepinetree.net/n/docs/Statement00159701[.]html
• hxxps://www.readicut.co.uk/media/pdf/Bank_Statement00334891[.]html
• hxxp://www.e-cig.com/doc/pdf/eStmt[.]html
• hxxps://www.genstattu.com/doc/PoliceStatement001854[.]html
• hxxps://www.tokyoflash.com/pdf/statment001854[.]html
• hxxps://www.readicut.co.uk/media/pdf/statment00789[.]html

Olufaragba ti o pọju ipolongo irira gba imeeli àwúrúju ti o ni ọna asopọ kan si oju-iwe ipele akọkọ. Oju-iwe yii jẹ iwe HTML kekere kan pẹlu iframe, akoonu eyiti o jẹ ti kojọpọ lati oju-iwe ipele keji. Oju-iwe ipele keji jẹ oju-iwe ibalẹ pẹlu akoonu ti o gba olugba niyanju lati fi faili ti o le ṣiṣẹ sori ẹrọ. Ninu ọran ti ipolongo irira yii, awọn ikọlu lo oju-iwe ibalẹ pẹlu akori ti fifi ohun itanna ti o padanu fun Adobe Reader, nitorinaa oju-iwe ipele akọkọ farawe ọna asopọ si faili PDF ti o ṣii ni ipo wiwo ori ayelujara ni ẹrọ aṣawakiri kan. Oju-iwe ipele keji ni ọna asopọ si faili irira ti a pin kaakiri gẹgẹbi apakan ti ipolongo irira, eyiti yoo ṣe igbasilẹ nigbati o tẹ bọtini naa. Ṣe igbasilẹ ohun itanna.

Itupalẹ awọn oju-iwe ti a lo ninu ipolongo yii fihan pe nigbagbogbo awọn oju-iwe ipele keji wa lori awọn ibugbe awọn ikọlu, lakoko ti oju-iwe ipele akọkọ ati faili irira funrararẹ nigbagbogbo wa lori awọn aaye e-commerce ti gige.

Iṣeto oju-iwe apẹẹrẹ fun pinpin malware

Nipasẹ àwúrúju, olufaragba ti o pọju gba ọna asopọ si faili HTML kan, fun apẹẹrẹ, hxxps://www.healthcare4all[.]co[.]uk/manuals/Statement00534521[.]html. Faili HTML ni ọna asopọ ni nkan iframe pẹlu ọna asopọ si akoonu akọkọ ti oju-iwe naa; ni yi apẹẹrẹ, awọn iwe akoonu ti wa ni be ni hxxps://alloaypparel[.]com/view/public/Statement00534521/PDF/Statement001854[.]pdf. Gẹgẹbi a ti le rii lati apẹẹrẹ yii, ninu ọran yii awọn ikọlu lo agbegbe ti a forukọsilẹ, kii ṣe oju opo wẹẹbu ti gepa, lati firanṣẹ akoonu oju-iwe naa. Ni wiwo ti o han ni ọna asopọ yii, bọtini kan wa Ṣe igbasilẹ ohun itanna. Ti olufaragba ba tẹ bọtini yii, faili ti o le ṣiṣẹ yoo ṣe igbasilẹ lati ọna asopọ ti o pato ninu koodu oju-iwe; ni apẹẹrẹ yii, faili ti o le ṣiṣẹ ti wa ni igbasilẹ lati ọna asopọ hxxps://www.healthcare4all[.] àjọ[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe, iyẹn ni, faili irira funrararẹ wa ni ipamọ lori aaye ti a gepa.

"Mephistopheles" ti akoko wa

Domain Analysis alloaypparel[.] pẹlu ṣafihan pe ohun elo aṣiri-ararẹ Mephistophilus ni a lo lati pin kaakiri malware, eyiti o fun ọ laaye lati ṣẹda ati fi awọn oju-iwe aṣiri ranṣẹ lati pin kaakiri malware: Mephistophilus nlo ọpọlọpọ awọn oriṣi awọn oju-iwe ibalẹ ti o gba olumulo niyanju lati fi ohun itanna ti a sọ pe o padanu pataki fun ohun elo lati ṣiṣẹ. Ni otitọ, olumulo yoo fi malware sori ẹrọ, ọna asopọ si eyiti oniṣẹ ṣe afikun nipasẹ igbimọ iṣakoso Mephistophilus.

Eto ikọlu ararẹ ti o fojusi Mephistophilus lọ tita lori awọn apejọ ipamo ni Oṣu Kẹjọ ọdun 2016. Eyi jẹ ete itanjẹ aṣiwere ti o ṣe deede ni lilo awọn iro wẹẹbu ti o funni ni igbasilẹ ti malware labẹ itanjẹ ti imudojuiwọn ohun itanna kan (MS Word, MS Excel, PDF, YouTube) lati wo awọn akoonu inu iwe tabi oju-iwe kan. Mephistophilus jẹ idagbasoke ati idasilẹ nipasẹ olumulo apejọ ipamo Kokain. Lati ṣaṣeyọri ni akoran nipa lilo ohun elo aṣiri, ikọlu nilo lati fa olumulo lati tẹ ọna asopọ kan ti o yori si oju-iwe ti Mephistophilus ṣe ipilẹṣẹ. Laibikita koko-ọrọ ti oju-iwe aṣiri, ifiranṣẹ yoo han pe o nilo lati fi ohun itanna ti o sonu sori ẹrọ lati ṣafihan deede iwe aṣẹ lori ayelujara tabi fidio YouTube. Lati ṣe eyi, Mephistophilus ni ọpọlọpọ awọn iru oju-iwe aṣiri ti o ṣafarawe awọn iṣẹ ti o tọ:

• Oluwo iwe ori ayelujara fun Microsoft Office365 Ọrọ tabi Tayo
• Oluwo PDF lori ayelujara
• Oju-iwe ẹda oniye iṣẹ YouTube

Awọn olufaragba

Gẹgẹbi apakan ti ipolongo irira, ẹgbẹ ọdaràn ko ni opin ararẹ si lilo awọn orukọ-ašẹ ti a forukọsilẹ ti ara ẹni: lati tọju awọn apẹẹrẹ ti awọn faili irira ti a pin, awọn olutapa naa tun lo ọpọlọpọ awọn aaye ibi-itaja ori ayelujara ti o ti ni akoran tẹlẹ pẹlu FakeSecurity sniffer.

A rí àwọn ìjápọ̀ àrà ọ̀tọ̀ márùn-ún sí àwọn àpẹẹrẹ malware mẹ́ẹ̀ẹ́dógún, mẹ́rin nínú wọn ni a tọ́jú sórí àwọn ojú-òpó wẹ́ẹ̀bù tí a ti gé tí ó ń lo CMS. Magento:

• hxxps://www.healthcare4all[.] àjọ[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe
• hxxps://www.genstattu[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
• hxxps://firstofbanks[.] com/file_d/Adobe-Reader-PDF-Plugin-2.35.8.exe
• hxxp://e-cig[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
• hxxp://thepinetree[.]net/docs/msw070619.exe

Awọn ayẹwo malware ti a pin ni ipolongo yii jẹ awọn ayẹwo ti Vidar ole, ti a ṣe lati ji awọn ọrọigbaniwọle lati awọn aṣàwákiri ati diẹ ninu awọn ohun elo. O tun le gba awọn faili ni ibamu si awọn aye ti a ti sọ ati gbe wọn lọ si igbimọ iṣakoso, eyiti o jẹ ki o rọrun, fun apẹẹrẹ, lati ji awọn faili lati awọn apamọwọ cryptocurrency. Vidar ṣafihan malware-bi-iṣẹ: gbogbo data ti a gba ni a gbe lọ si ẹnu-bode, ati lẹhinna firanṣẹ si igbimọ iṣakoso aarin, nibiti olura ole kọọkan le wo awọn akọọlẹ ti o wa lati awọn kọnputa ti o ni akoran.

Alagbara ole

Vidar ole han ni Oṣu kọkanla ọdun 2018. O jẹ idagbasoke ati idasilẹ fun tita lori awọn apejọ ipamo nipasẹ olumulo kan labẹ orukọ apeso Loadbaks. Gẹgẹbi apejuwe olupilẹṣẹ, Vidar le ji awọn ọrọ igbaniwọle lati awọn aṣawakiri, awọn faili nipa lilo awọn ọna ati awọn iboju iparada, data kaadi banki, awọn faili apamọwọ tutu, Telegram ati ibaraẹnisọrọ Skype, ati itan-akọọlẹ ibewo oju opo wẹẹbu lati awọn aṣawakiri. Iye owo yiyalo fun ole jẹ lati $250 si $300 fun oṣu kan. Igbimọ iṣakoso ti awọn ole ati awọn ibugbe ti a lo bi awọn ẹnu-bode wa lori awọn olupin ti awọn onkọwe Vidar, eyiti o dinku awọn idiyele amayederun fun awọn ti onra.

Ni ọran ti faili irira msw070619.exe, ni afikun si pinpin ni lilo oju-iwe ibalẹ Mephistophilus, faili DOC irira ni a tun rii BankStatement0040918404.doc (MD5: 1b8a824074b414419ac10f5ded847ef1), eyiti o sọ faili ti o le ṣiṣẹ si disk nipa lilo awọn macros. DOC faili BankStatement0040918404.doc ti so bi asomọ si awọn imeeli irira ti a firanṣẹ gẹgẹbi apakan ti ipolongo irira.

Dissecting awọn kolu

Awari lẹta (MD5: 53554192ca888cccbb5747e71825facd) A fi ranṣẹ si adirẹsi olubasọrọ ti aaye ayelujara ti n ṣiṣẹ CMS Magento, láti inú èyí tí a lè parí èrò sí pé ọ̀kan lára ​​àwọn ibi tí wọ́n fojú sí ìpolongo burúkú náà ni àwọn olùṣàkóso àwọn ilé ìtajà orí ayélujára, àti pé ète àkóràn náà ni wíwọlé sí ìgbìmọ̀ olùṣàkóso Magento àti àwọn ìpèsè ìtajà oní-ẹ̀rọ-alátagbà míràn fún fífi ẹ̀rọ ìfọ́mọ́ra sínifásítì sílẹ̀ lẹ́yìn náà àti jíjí ìwífún oníbàárà láti àwọn ilé ìtajà tí ó ní àrùn náà.

Nitorinaa, eto ikolu lapapọ ni awọn igbesẹ wọnyi:

1. Awọn ikọlu naa gbe igbimọ iṣakoso Mephistophilus Phishing Kit sori agbalejo naa alloaypparel[.] pẹlu.
2. Awọn ikọlu naa gbe malware ji ọrọ igbaniwọle sori awọn aaye ti o tọ ti gige ati lori awọn aaye tiwọn.
3. Lilo ohun elo aṣiri-ararẹ, awọn ikọlu naa ran ọpọlọpọ awọn oju-iwe ibalẹ lati kaakiri malware, ati tun ṣẹda awọn iwe irira pẹlu Makiro ti o ṣe igbasilẹ malware si kọnputa olumulo.
4. Awọn ikọlu naa ṣe ipolongo àwúrúju kan lati fi imeeli ranṣẹ pẹlu awọn asomọ irira, bakanna bi awọn ọna asopọ si awọn oju-iwe ibalẹ fun fifi malware sori ẹrọ. O kere ju diẹ ninu awọn ibi-afẹde awọn ikọlu jẹ awọn alabojuto ti awọn aaye rira ori ayelujara.
5. Nígbà tí kọ̀ǹpútà alábòójútó ilé ìtajà orí Íńtánẹ́ẹ̀tì ti kọ̀ jálẹ̀ àṣeyọrí, àwọn ẹ̀rí tí wọ́n jí gbé náà ni wọ́n lò láti ráyè sí ibi ìṣàkóso ilé ìtajà náà kí wọ́n sì fi JS sniffer síi láti jí àwọn káàdì ìfowópamọ́ ti àwọn aṣàmúlò tí wọ́n ń san owó lórí ojúlé tí ó ní àrùn náà.

Ibasepo si miiran ku

Awọn amayederun ti awọn ikọlu naa ni a gbe lọ sori olupin pẹlu adiresi IP 200.63.40.2, eyiti o jẹ ti iṣẹ iyalo olupin kan. Panamaservers[.] pẹlu. Ṣaaju ipolongo FakeSecurity, olupin yii ni a lo fun aṣiri-ararẹ, bakanna fun gbigbalejo awọn panẹli iṣakoso ti ọpọlọpọ awọn eto irira lati ji awọn ọrọ igbaniwọle.

Da lori awọn pato ti ipolongo FakeSecurity, a le ro pe awọn panẹli iṣakoso ti awọn ole Lokibot ati AZORULT, ti o wa lori olupin yii, le ti lo ni awọn ikọlu iṣaaju nipasẹ ẹgbẹ kanna ni Oṣu Kini ọdun 2019. Gẹgẹ bi Arokọ yi, Ni Oṣu Kini Ọjọ 14, Ọdun 2019, awọn ikọlu aimọ ti pin kaakiri Lokibot malware ni lilo awọn ifiweranṣẹ lọpọlọpọ pẹlu faili DOC irira bi asomọ. Oṣu Kini Ọjọ 18, Ọdun 2019 tun wa ti gbe jade pinpin awọn iwe aṣẹ irira ti o fi AZORULT malware sori ẹrọ. Onínọmbà ti ipolongo yii ṣafihan awọn panẹli iṣakoso atẹle wọnyi ti o wa lori olupin pẹlu adiresi IP 200.63.40.2:

• http[:]//chuxagama[.]com/web-obtain/Panel/five/PvqDq929BSx_A_D_M1n_a.php (Lokibot)
• http[:]//umbra-diego[.]com/wp/Panel/five/PvqDq929BSx_A_D_M1n_a.php (Lokibot)
• http[:]//chuxagama[.]com/web-obtain/Panel/five/index.php (AZORUlt)

Awọn orukọ ìkápá chuxagama[.]com ati umbra-diego[.]com jẹ aami-orukọ nipasẹ olumulo kanna pẹlu adirẹsi imeeli dicksonfletcher@gmail.com. Adirẹsi kanna ni a lo lati forukọsilẹ orukọ ìkápá worldcourrierservices[.]com ni May 2016, eyiti a lo lẹhinna bi oju opo wẹẹbu kan fun ile-iṣẹ itanjẹ World Courier Service.

Da lori otitọ pe gẹgẹbi apakan ti ipolongo irira FakeSecurity, awọn apaniyan lo malware lati ji awọn ọrọ igbaniwọle ati pinpin nipasẹ àwúrúju imeeli, ati tun lo olupin pẹlu adiresi IP 200.63.40.2, o le ro pe ipolongo irira ti January Ọdun 2019 ni a ṣe ni ẹgbẹ ọdaràn kanna.

Awọn afihan

Orukọ faili Adobe-Reader-PDF-Plugin-2.37.2.exe

• MD5 3ec1ac0be981ce6d3f83f4a776e37622
• SHA-1 346d580ecb4ace858d71213808f4c75341a945c1
• SHA-256 6ec8b7ce6c9858755964f94acdf618773275589024e2b66583e3634127b7e32c
• Iwọn 615984

Orukọ faili Adobe-Reader-PDF-Plugin-2.31.4.exe

• MD5 58476e1923de46cd4b8bee4cdeed0911
• SHA-1 aafa9885b8b686092b003ebbd9aaf8e604eea3a6
• SHA-256 15abc3f55703b89ff381880a10138591c6214dee7cc978b7040dd8b1e6f96297
• Iwọn 578048

Orukọ faili Adobe-Reader-PDF-Plugin-2.35.8.exe

• MD5 286096c7e3452aad4acdc9baf897fd0c
• SHA-1 26d71553098b5c92b55e49db85c719f5bb366513
• SHA-256 af04334369878408898a223e63ec50e1434c512bc21d919769c97964492fee19
• Iwọn 1069056

Orukọ faili Adobe-Reader-PDF-Plugin-2.31.4.exe

• MD5 fd0e11372a4931b262f0dd21cdc69c01
• SHA-1 54d34b6a6c4dc78e62ad03713041891b6e7eb90f
• SHA-256 4587da5dca2374fd824a15e434dae6630b24d6be6916418cee48589aa6145ef6
• Iwọn 856576

Orukọ faili msw070619.exe

• MD5 772db176ff61e9addbffbb7e08d8b613
• SHA-1 6ee62834ab3aa4294eebe4a9aebb77922429cb45
• SHA-256 0660059f3e2fb2ab0349242b4dde6bf9e37305dacc2da870935f4bede78aed34
• Iwọn 934448

• fiswedbesign[.] pẹlu
• alloaypparel[.] pẹlu
• firstofbanks[.] com
• magento-aabo[.]org
• mage-aabo[.]org

• https[:]/www[.]healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe
• https[:]//www[.]genstattu[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
• https[:]//firstofbanks[.]com/file_d/Adobe-Reader-PDF-Plugin-2.35.8.exe
• http[:]//e-cig[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
• http[:]//thepinetree[.]net/docs/msw070619.exe

orisun: www.habr.com