幾乎我們每個人都使用在線商店的服務,這意味著我們遲早會面臨成為 JavaScript 嗅探器受害者的風險 - 攻擊者將一種特殊代碼注入網站以竊取銀行卡數據、地址、用戶名和密碼。
英國航空公司網站和移動應用程序的近 400 萬用戶以及英國體育巨頭 FILA 網站和美國門票分銷商 Ticketmaster 的訪問者已經受到嗅探器的影響。 PayPal、Chase Paymenttech、USAePay、Moneris - 這些以及許多其他支付系統都受到了感染。
Threat Intelligence Group-IB 分析師 Viktor Okorokov 談論嗅探器如何滲透網站代碼並竊取支付信息,以及他們攻擊哪些 CRM。
“隱藏的威脅”
碰巧的是,很長一段時間以來,JS 嗅探器一直處於反病毒分析師的視線之外,銀行和支付系統也沒有將它們視為嚴重威脅。 而且絕對是徒勞的。 IB組專家 2440 家受感染的在線商店,其訪客(每天總計約 1,5 萬人)面臨受到感染的風險。 受害者不僅包括用戶,還包括發行受感染卡的在線商店、支付系統和銀行。
Group-IB 成為第一個對嗅探器暗網市場、其基礎設施和貨幣化方式進行研究的機構,為嗅探器的創建者帶來了數百萬美元的收入。 我們確定了 38 個嗅探器家族,其中研究人員之前只知道其中 12 個家族。
讓我們詳細討論在研究過程中研究的四個嗅探器家族。
ReactGet 家族
ReactGet 系列的嗅探器用於竊取在線購物網站上的銀行卡數據。 該嗅探器可以與網站上使用的大量不同的支付系統配合使用:一個參數值對應於一種支付系統,並且嗅探器的各個檢測到的版本可用於竊取憑據,以及從該系統竊取銀行卡數據。同時支持多種支付系統的支付形式,例如所謂的通用嗅探器。 研究發現,在某些情況下,攻擊者會對在線商店管理員進行網絡釣魚攻擊,以獲得對該網站管理面板的訪問權限。
使用該系列嗅探器的活動始於 2017 年 XNUMX 月。運行 CMS 和 Magento、Bigcommerce、Shopify 平台的網站受到攻擊。
ReactGet 如何嵌入在線商店的代碼中
除了通過鏈接進行“經典”腳本注入之外,ReactGet 系列嗅探器操作員還使用一種特殊技術:使用 JavaScript 代碼檢查用戶當前所在的地址是否符合特定條件。 僅噹噹前 URL 包含子字符串時,惡意代碼才會運行 結帳 或 一步結賬, 一頁/, 出/onepag, 結賬/一, 結賬/一。 因此,嗅探器代碼將在用戶繼續支付購買費用並將支付信息輸入網站表格時準確執行。
該嗅探器使用非標準技術。 受害者的付款和個人數據被收集在一起,並使用編碼 base64,然後將生成的字符串用作參數向惡意站點發送請求。 大多數情況下,門的路徑會模仿 JavaScript 文件,例如 響應.js, 數據.js 等等,但也使用圖像文件的鏈接, 的GIF и JPG格式。 特殊之處在於嗅探器創建一個大小為 1 x 1 像素的圖像對象,並使用之前獲得的鏈接作為參數 SRC 圖片。 也就是說,對於用戶來說,這樣的流量請求看起來就像是對常規圖片的請求。 ImageID 系列嗅探器中使用了類似的技術。 此外,許多合法的在線分析腳本中都使用了1x1像素圖像技術,這也會誤導用戶。
版本分析
對 ReactGet 嗅探器操作員使用的活動域的分析揭示了該嗅探器系列的許多不同版本。 版本的不同之處在於是否存在混淆,此外,每個嗅探器都是針對處理在線商店銀行卡支付的特定支付系統而設計的。 對版本號對應的參數值進行排序後,Group-IB 專家收到了可用嗅探器變體的完整列表,並根據每個嗅探器在頁面代碼中查找的表單字段的名稱,他們確定了支付系統嗅探器的目標。
嗅探器列表及其對應的支付系統
| 嗅探器網址 | 支付系統 |
|---|---|
| Authorize.Net | |
| 卡片保存 | |
| Authorize.Net | |
| Authorize.Net | |
| 易路快速 | |
| Authorize.Net | |
| 阿登 | |
| USAePay | |
| Authorize.Net | |
| USAePay | |
| Authorize.Net | |
| Moneris | |
| USAePay | |
| PayPal | |
| 賽捷支付 | |
| 威瑞信 | |
| PayPal | |
| 條紋 | |
| 瑞萊克斯 | |
| PayPal | |
| 鏈接點 | |
| PayPal | |
| PayPal | |
| 數據現金 | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| 威瑞信 | |
| Authorize.Net | |
| Moneris | |
| 賽捷支付 | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| 澳新銀行電子門 | |
| Authorize.Net | |
| Moneris | |
| 賽捷支付 | |
| 賽捷支付 | |
| 大通帕耶奇 | |
| Authorize.Net | |
| 阿登 | |
| 心靈之門 | |
| 網絡資源 | |
| 澳新銀行電子門 | |
| 瑞萊克斯 | |
| USAePay | |
| Authorize.Net | |
| Authorize.Net | |
| 澳新銀行電子門 | |
| PayPal | |
| PayPal | |
| 瑞萊克斯 | |
| 賽捷支付 | |
| PayPal | |
| 威瑞信 | |
| Authorize.Net | |
| 威瑞信 | |
| Authorize.Net | |
| 澳新銀行電子門 | |
| PayPal | |
| 網絡資源 | |
| Authorize.Net | |
| 賽捷支付 | |
| 瑞萊克斯 | |
| 網絡資源 | |
| PayPal | |
| PayPal | |
| PayPal | |
| 威瑞信 | |
| 易路快速 | |
| 賽捷支付 | |
| 賽捷支付 | |
| 威瑞信 | |
| Authorize.Net | |
| Authorize.Net | |
| 第一數據全球網關 | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| PayPal | |
| 威瑞信 | |
| USAePay | |
| USAePay | |
| Authorize.Net | |
| 威瑞信 | |
| PayPal | |
| Authorize.Net | |
| 條紋 | |
| Authorize.Net | |
| 易路快速 | |
| 賽捷支付 | |
| Authorize.Net | |
| 布倫特里 | |
| 布倫特里 | |
| PayPal | |
| 賽捷支付 | |
| 賽捷支付 | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| 威瑞信 | |
| PayPal | |
| Authorize.Net | |
| 條紋 | |
| Authorize.Net | |
| 易路快速 | |
| 賽捷支付 | |
| Authorize.Net | |
| 布倫特里 | |
| PayPal | |
| 賽捷支付 | |
| 賽捷支付 | |
| Authorize.Net | |
| PayPal | |
| Authorize.Net | |
| 威瑞信 | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| Authorize.Net | |
| 賽捷支付 | |
| 賽捷支付 | |
| 西太平洋銀行PayWay | |
| 支付寶 | |
| PayPal | |
| Authorize.Net | |
| 條紋 | |
| 第一數據全球網關 | |
| 心靈之門 | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| 賽捷支付 | |
| 威瑞信 | |
| Moneris | |
| PayPal | |
| 鏈接點 | |
| 西太平洋銀行PayWay | |
| Authorize.Net | |
| Moneris | |
| PayPal | |
| 阿登 | |
| PayPal | |
| Authorize.Net | |
| USAePay | |
| 電子商務收費 | |
| Authorize.Net | |
| 威瑞信 | |
| 威瑞信 | |
| Authorize.Net | |
| PayPal | |
| Moneris | |
| Authorize.Net | |
| PayPal | |
| PayPal | |
| 西太平洋銀行PayWay | |
| Authorize.Net | |
| Authorize.Net | |
| 賽捷支付 | |
| 威瑞信 | |
| Authorize.Net | |
| PayPal | |
| 支付寶 | |
| 網絡資源 | |
| 貝寶Payflow Pro | |
| Authorize.Net | |
| Authorize.Net | |
| 威瑞信 | |
| Authorize.Net | |
| Authorize.Net | |
| 賽捷支付 | |
| Authorize.Net | |
| 條紋 | |
| Authorize.Net | |
| Authorize.Net | |
| 威瑞信 | |
| PayPal | |
| Authorize.Net | |
| Authorize.Net | |
| 賽捷支付 | |
| Authorize.Net | |
| Authorize.Net | |
| PayPal | |
| 燧石 | |
| PayPal | |
| 賽捷支付 | |
| 威瑞信 | |
| Authorize.Net | |
| Authorize.Net | |
| 條紋 | |
| 胖斑馬 | |
| 賽捷支付 | |
| Authorize.Net | |
| 第一數據全球網關 | |
| Authorize.Net | |
| 易路快速 | |
| 阿登 | |
| PayPal | |
| QuickBooks 商家服務 | |
| 威瑞信 | |
| 賽捷支付 | |
| 威瑞信 | |
| Authorize.Net | |
| Authorize.Net | |
| 賽捷支付 | |
| Authorize.Net | |
| 易路快速 | |
| Authorize.Net | |
| 澳新銀行電子門 | |
| PayPal | |
| 網絡資源 | |
| Authorize.Net | |
| 賽捷支付 | |
| 瑞萊克斯 | |
| 網絡資源 | |
| PayPal | |
| PayPal | |
| PayPal | |
| 威瑞信 | |
| 易路快速 | |
| 賽捷支付 | |
| 賽捷支付 | |
| 威瑞信 | |
| Authorize.Net | |
| Authorize.Net | |
| 第一數據全球網關 | |
| Authorize.Net | |
| Authorize.Net | |
| Moneris | |
| Authorize.Net | |
| PayPal |
密碼嗅探器
在網站客戶端工作的 JavaScript 嗅探器的優點之一是其多功能性:嵌入網站的惡意代碼可以竊取任何類型的數據,無論是支付信息還是用戶帳戶的登錄名和密碼。 Group-IB 專家發現了屬於 ReactGet 系列的嗅探器樣本,旨在竊取網站用戶的電子郵件地址和密碼。
與 ImageID 嗅探器的交集
在對其中一家受感染商店進行分析時,發現其網站被感染兩次:除了ReactGet家族嗅探器的惡意代碼外,還發現了ImageID家族嗅探器的代碼。 這種重疊可能證明兩個嗅探器背後的操作者正在使用類似的技術來注入惡意代碼。
通用嗅探器
在分析與 ReactGet 嗅探器基礎設施相關的其中一個域名時,發現同一用戶註冊了另外三個域名。 這三個域模仿了現實生活中站點的域,並且以前用於託管嗅探器。 在分析三個合法站點的代碼時,發現了一個未知的嗅探器,進一步分析表明,這是ReactGet嗅探器的改進版本。 該系列嗅探器之前跟踪的所有版本都針對單一支付系統,即每個支付系統都需要一個特殊版本的嗅探器。 然而,在這種情況下,發現了通用版本的嗅探器,能夠從與 15 個不同支付系統和電子商務網站在線支付模塊相關的表單中竊取信息。
因此,在工作開始時,嗅探器搜索包含受害者個人信息的基本表單字段:全名、實際地址、電話號碼。
然後,嗅探器搜索了對應於不同支付系統和在線支付模塊的超過 15 個不同前綴。
接下來,受害者的個人數據和支付信息被收集在一起並發送給攻擊者控制的網站:在這種特殊情況下,在兩個不同的被黑網站上發現了兩個版本的 ReactGet 通用嗅探器。 然而,這兩個版本都將被盜數據發送到同一個被黑網站。 動物園網.
對嗅探器用於查找包含受害者支付信息的字段的前綴的分析確定,該樣本嗅探器針對以下支付系統:
- Authorize.Net
- 威瑞信
- 第一數據
- USAePay
- 條紋
- PayPal
- 澳新銀行電子門
- 布倫特里
- 數據現金(萬事達卡)
- 瑞萊克斯支付
- 心靈之門
- 中心支付系統
使用什麼工具竊取支付信息
在分析攻擊者的基礎設施過程中發現的第一個工具用於混淆負責竊取銀行卡的惡意腳本。 在攻擊者的一台主機上發現了使用該項目 CLI 的 bash 腳本。 自動進行嗅探器代碼混淆。
第二個發現的工具旨在生成負責加載主嗅探器的代碼。 該工俱生成一段 JavaScript 代碼,通過搜索用戶當前地址中的字符串來檢查用戶是否位於結賬頁面 結帳, 車 依此類推,如果結果是肯定的,則代碼從入侵者的服務器加載主嗅探器。 為了隱藏惡意活動,所有行(包括用於確定支付頁面的測試行以及嗅探器的鏈接)均使用以下代碼進行編碼 base64.
網絡釣魚攻擊
在對攻擊者的網絡基礎設施進行分析時發現,犯罪團伙經常使用網絡釣魚來訪問目標在線商店的管理面板。 攻擊者註冊一個看起來像商店域的域,然後在其上部署一個偽造的 Magento 管理員登錄表單。 如果成功,攻擊者將獲得對 Magento CMS 管理面板的訪問權限,這使他們能夠編輯網站組件並實施嗅探器來竊取信用卡數據。
基礎設施
| 域名 | 發現/出現日期 |
|---|---|
| 媒體包信息 | 04.05.2017 |
| adsgetapi.com | 15.06.2017 |
| simcounter.com | 14.08.2017 |
| mageanalytics.com | 22.12.2017 |
| maxstatics.com | 16.01.2018 |
| 反應jsapi.com | 19.01.2018 |
| MXcounter.com | 02.02.2018 |
| apitstatus.com | 01.03.2018 |
| orderracker.com | 20.04.2018 |
| tagtracking.com | 25.06.2018 |
| adsapigate.com | 12.07.2018 |
| trusttracker.com | 15.07.2018 |
| fbstatspartner.com | 02.10.2018 |
| billgetstatus.com | 12.10.2018 |
| www.aldenmlilhouse.com | 20.10.2018 |
| balletbeautlful.com | 20.10.2018 |
| bargalnjunkie.com | 20.10.2018 |
| payselector.com | 21.10.2018 |
| Tagsmediaget.com | 02.11.2018 |
| hs-付款.com | 16.11.2018 |
| ordercheckpays.com | 19.11.2018 |
| geisseie.com | 24.11.2018 |
| gtmproc.com | 29.11.2018 |
| livegetpay.com | 18.12.2018 |
| 悉尼沙龍用品網 | 18.12.2018 |
| newrelicnet.com | 19.12.2018 |
| NR-public.com | 03.01.2019 |
| Cloudodesc.com | 04.01.2019 |
| ajaxstatic.com | 11.01.2019 |
| livecheckpay.com | 21.01.2019 |
| 亞洲食品網 | 25.01.2019 |
G-Analytics 系列
該嗅探器系列用於從在線商店竊取客戶卡。 該組織使用的第一個域名於 2016 年 2016 月註冊,這可能表明該組織的活動於 XNUMX 年中期開始。
在當前的活動中,該組織使用模仿現實服務的域名,例如 Google Analytics 和 jQuery,用合法腳本和看似合法的域名來掩蓋嗅探器活動。 在 CMS Magento 下運行的網站受到攻擊。
G-Analytics 如何在在線商店代碼中實施
該家族的一個顯著特徵是利用多種手段竊取用戶支付信息。 除了向網站客戶端注入經典的 JavaScript 之外,犯罪團伙還使用了向網站服務器端注入代碼的技術,即處理用戶輸入的 PHP 腳本。 這種技術很危險,因為它使第三方研究人員難以檢測惡意代碼。 Group-IB 專家發現了嵌入該網站 PHP 代碼中的嗅探器版本,使用域名作為入口 迪特姆網站.
還發現了嗅探器的早期版本,它使用相同的域來收集被盜數據。 迪特姆網站,但此版本已打算安裝在在線商店的客戶端上。
後來,該組織改變了策略,開始更加註重惡意活動的隱藏和偽裝。
2017年初,該組織開始使用該域名 jquery-js.com偽裝成 jQuery 的 CDN:在訪問惡意站點時將用戶重定向到合法站點 jquery 網站.
並於2018年年中,集團採用了域名 g-analytics.com 並開始將嗅探器的活動偽裝成合法的 Google Analytics 服務。
版本分析
在分析用於存儲嗅探器代碼的域時,發現該站點有大量版本,這些版本的不同之處在於是否存在混淆,以及是否存在添加到文件中以分散注意力的無法訪問的代碼並隱藏惡意代碼。
現場總計 jquery-js.com 已識別出六種版本的嗅探器。 這些嗅探器將竊取的數據發送到與嗅探器本身位於同一站點的地址: hxxps://jquery-js[.]com/latest/jquery.min.js:
- hxxps://jquery-js[.]com/jquery.min.js
- hxxps://jquery-js[.]com/jquery.2.2.4.min.js
- hxxps://jquery-js[.]com/jquery.1.8.3.min.js
- hxxps://jquery-js[.]com/jquery.1.6.4.min.js
- hxxps://jquery-js[.]com/jquery.1.4.4.min.js
- hxxps://jquery-js[.]com/jquery.1.12.4.min.js
後期域名 g-analytics.com自 2018 年中期以來,該組織在攻擊中使用它,作為更多嗅探器的存儲庫。 總共發現了 16 個不同版本的嗅探器。 在這種情況下,發送被盜數據的入口被偽裝成格式圖像的鏈接 的GIF: hxxp://g-analytics[.]com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid
= 1283183910.1527732071:
- hxxps://g-analytics[.]com/libs/1.0.1/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.10/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.11/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.12/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.13/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.14/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.15/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.16/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.3/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.4/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.5/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.6/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.7/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.8/analytics.js
- hxxps://g-analytics[.]com/libs/1.0.9/analytics.js
- hxxps://g-analytics[.]com/libs/analytics.js
將被盜數據貨幣化
犯罪團伙通過專門創建的地下商店出售卡片,為卡片持有者提供服務,從而將竊取的數據貨幣化。 對攻擊者使用的域的分析可以確定 谷歌分析.cm 由與域相同的用戶註冊 卡茲.vc. 領域 卡茲.vc 指的是 Cardsurfs(Flysurfs),一家出售被盜銀行卡的商店,該商店在 AlphaBay 地下市場期間因出售使用嗅探器盜取的銀行卡而廣受歡迎。
分析域 分析.is與嗅探器用來收集被盜數據的域位於同一服務器上,Group-IB 專家發現了一個包含 Cookie 竊取程序日誌的文件,該文件後來似乎被開發人員放棄了。 日誌中的條目之一包含域 iozoz.com,之前曾在 2016 年活躍的嗅探器之一中使用過。 據推測,該域之前被攻擊者用來收集使用嗅探器竊取的卡。 該域名已註冊到一個電子郵件地址 [電子郵件保護],也用於註冊域名 卡茲網 и 卡茲.vc與 Cardsurfs 梳理店相關。
根據獲得的數據,可以推測G-Analytics嗅探器家族和地下Cardsurfs銀行卡商店是同一個人經營的,該商店用於出售通過嗅探器盜取的銀行卡。
基礎設施
| 域名 | 發現/出現日期 |
|---|---|
| iozoz.com | 08.04.2016 |
| 迪特姆網站 | 10.09.2016 |
| jquery-js.com | 02.01.2017 |
| g-analytics.com | 31.05.2018 |
| 谷歌分析.is | 21.11.2018 |
| 解析到 | 04.12.2018 |
| google-analytics.to | 06.12.2018 |
| 谷歌分析.cm | 28.12.2018 |
| 分析.is | 28.12.2018 |
| googlelc-analytics.cm | 17.01.2019 |
伊魯姆家族
Illum 是一個嗅探器系列,用於攻擊運行 Magento CMS 的在線商店。 除了引入惡意代碼之外,該嗅探器的操作員還引入了成熟的虛假支付形式,將數據發送到攻擊者控制的大門。
在分析該嗅探器運營商使用的網絡基礎設施時,發現了大量惡意腳本、漏洞利用、虛假支付表單,以及惡意嗅探器競爭對手的示例集合。 根據該組織使用的域名出現日期的信息,可以假設該活動的開始時間是 2016 年底。
Illum是如何在在線商店的代碼中實現的
第一個發現的嗅探器版本直接嵌入到受感染站點的代碼中。 被盜數據已發送至 cdn.illum[.]pw/records.php,門的編碼使用 base64.
後來,發現了使用不同門的嗅探器的封裝版本 - 記錄.nstatistics[.]com/records.php.
根據 Willem de Groot,在嗅探器中使用了相同的主機 ,隸屬於德國政黨基社盟。
攻擊站點分析
Group-IB 專家發現並分析了該犯罪集團用來存儲工具和收集被盜信息的網站。
在攻擊者服務器上發現的工具中,發現了 Linux 操作系統中權限升級的腳本和漏洞:例如,Mike Czumak 開發的 Linux 權限升級檢查腳本,以及 CVE-2009-1185 的漏洞。
攻擊者直接使用兩個漏洞來攻擊在線商店: 能夠將惡意代碼注入 核心配置數據 通過利用 CVE-2016-4010, 利用 Magento CMS 插件中的 RCE 漏洞,允許在易受攻擊的 Web 服務器上執行任意代碼。
此外,在對服務器的分析過程中,還發現了各種嗅探器和虛假支付表單樣本,攻擊者利用這些樣本從被黑網站收集支付信息。 從下面的列表中您可以看到,一些腳本是為每個被黑網站單獨創建的,而通用解決方案則用於某些 CMS 和支付網關。 例如,腳本 segapay_standard.js и segapay_onpage.js 設計為嵌入使用 Sage Pay 支付網關的網站。
各種支付網關的腳本列表
| 腳本 | 支付網關 |
|---|---|
| [.]pw/mjs_special/visiondirect.co.uk.js | //request.payrightnow[.]cf/check payment.php |
| [.]pw/mjs_special/topdirenshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/tiendalenovo.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/pro-bolt.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/plae.co.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/ottolenghi.co.uk.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/oldtimecandy.com.js | //request.payrightnow[.]cf/check payment.php |
| [.]pw/mjs_special/mylook.ee.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/luluandsky.com.js | //request.payrightnow[.]cf/check payment.php |
| [.]pw/mjs_special/julep.com.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs_special/gymcompany.es.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/grotekadoshop.nl.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs_special/fushi.co.uk.js | //request.payrightnow[.]cf/check payment.php |
| [.]pw/mjs_special/fareastflora.com.js | //request.payrightnow[.]cf/check payment.php |
| [.]pw/mjs_special/compuindia.com.js | //request.payrightnow[.]cf/alldata.php |
| [.]pw/mjs/segapay_standart.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/segapay_onpage.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/replace_standard.js | //request.payrightnow[.]cf/check payment.php |
| [.]pw/mjs/all_inputs.js | //cdn.illum[.]pw/records.php |
| [.]pw/mjs/add_inputs_standart.js | //request.payrightnow[.]cf/check payment.php |
| [.]pw/magento/ payment_standard.js | //cdn.illum[.]pw/records.php |
| [.]pw/magento/ payment_redirect.js | //立即付款[.]cf/?付款= |
| [.]pw/magento/ payment_redcrypt.js | //立即付款[.]cf/?付款= |
| [.]pw/magento/ payment_forminsite.js | // paymentnow[.]tk/? payment= |
主持人 立即付款[.]tk,用作腳本中的門 payment_forminsite.js,被發現為 主題替代名稱 與 CloudFlare 服務相關的多個證書。 此外,該腳本位於主機上 邪惡.js。 從腳本的名稱來看,它可能被用作利用 CVE-2016-4010 的一部分,因此可以將惡意代碼注入到運行 Magento CMS 的網站的頁腳中。 該腳本使用主機作為門 request.requestnet[.]tk,使用與主機相同的證書 立即付款[.]tk.
虛假付款表格
下圖顯示了用於輸入卡數據的表單示例。 該表單用於滲透在線商店網站並竊取卡數據。
下圖是攻擊者使用假 PayPal 付款表單滲透使用此付款方式的網站的示例。
基礎設施
| 域名 | 發現/出現日期 |
|---|---|
| CDN.illum.pw | 27/11/2016 |
| 記錄.nstatistics.com | 06/09/2018 |
| 請求.payrightnow.cf | 25/05/2018 |
| 支付寶 | 16/07/2017 |
| 支付線.tk | 01/03/2018 |
| 支付寶.cf | 04/09/2017 |
| 請求網.tk | 28/06/2017 |
咖啡Mokko家族
旨在竊取在線商店用戶銀行卡的 CoffeMokko 系列嗅探器至少從 2017 年 1 月起就已被使用。 據推測,RiskIQ 專家在 2016 年描述的 Group XNUMX 犯罪集團就是該嗅探器系列的操作者。 運行 Magento、OpenCart、WordPress、osCommerce、Shopify 等 CMS 的網站受到攻擊。
CoffeMokko 如何嵌入在線商店的代碼中
該家族的操作者為每次感染創建獨特的嗅探器:嗅探器文件位於目錄中 SRC 或 js 在攻擊者的服務器上。 站點代碼的實現是通過直接鏈接到嗅探器來執行的。
嗅探器代碼對您要從中竊取數據的表單字段的名稱進行硬編碼。 嗅探器還通過根據用戶當前地址檢查關鍵字列表來檢查用戶是否位於結賬頁面。
一些發現的嗅探器版本被混淆了,並包含一個存儲主要資源數組的加密字符串:它包含各種支付系統的表單字段名稱,以及被盜數據應發送到的網關地址。
竊取的支付信息一路發送到攻擊者服務器上的腳本。 /savePayment/index.php 或 /tr/index.php。 據推測,該腳本用於將數據從網關發送到主服務器,該服務器合併來自所有嗅探器的數據。 為了隱藏傳輸的數據,受害者的所有支付信息都使用編碼 base64,然後發生幾個字符替換:
- 字符“e”被替換為“:”
- 符號“w”被替換為“+”
- 字符“o”被替換為“%”
- 字符“d”被替換為“#”
- 字符“a”被替換為“-”
- 符號“7”被替換為“^”
- 字符“h”被替換為“_”
- “T”符號替換為“@”
- 字符“0”被“/”替換
- 字符“Y”被替換為“*”
由於字符替換編碼為 base64 如果不進行逆變換,則無法對數據進行解碼。
這是未混淆的嗅探器代碼片段的樣子:
基礎設施分析
在早期的活動中,攻擊者註冊了與合法在線購物網站類似的域名。 他們的域名可能與合法的域名有一個字符或另一個 TLD 不同。 註冊域用於存儲嗅探器代碼,其鏈接嵌入在存儲代碼中。
該組織還使用了讓人想起流行的 jQuery 插件的域名(slickjs[.]org 對於使用該插件的網站 slick.js)、支付網關(sagecdn[.]org 適用於使用 Sage Pay 支付系統的網站)。
後來,該小組開始創建名稱與商店域名或商店主題無關的域名。
每個域對應於創建目錄的站點 /js 或 /src。 嗅探器腳本存儲在此目錄中:每個新感染都有一個嗅探器。 嗅探器是通過直接鏈接引入站點代碼的,但在極少數情況下,攻擊者會修改站點的文件之一併向其中添加惡意代碼。
代碼分析
第一種混淆算法
在該系列的一些嗅探器樣本中,代碼被混淆並包含嗅探器工作所需的加密數據:特別是嗅探器的門地址、支付表單字段列表,以及在某些情況下,虛假的支付表單代碼。 在函數內的代碼中,資源被加密 XOR 通過作為參數傳遞給同一函數的鍵。
通過使用每個樣本唯一的相應密鑰解密字符串,您可以獲得一個包含嗅探器代碼中由分隔符分隔的所有行的字符串。
第二種混淆算法
在該系列嗅探器的後續樣本中,使用了不同的混淆機制:在這種情況下,使用自編寫的算法對數據進行加密。 包含嗅探器工作所需的加密數據的字符串作為參數傳遞給解密函數。
使用瀏覽器控制台,您可以解密加密數據並獲取包含嗅探器資源的數組。
早期 MagCart 攻擊的鏈接
在對該組織用作收集被盜數據的門戶的一個域的分析中,發現竊取信用卡的基礎設施部署在該域上,與第一組(第一批組織之一)使用的基礎設施相同, RiskIQ 專家。
在CoffeMokko嗅探器家族的主機上發現了兩個文件:
- 法師.js — 包含帶有門地址的第 1 組嗅探器代碼的文件 js-cdn.link
- mag.php - PHP腳本負責收集嗅探器竊取的數據
mage.js 文件的內容
還確定了 CoffeMokko 嗅探器家族背後的組織最早使用的域名註冊於 17 年 2017 月 XNUMX 日:
- link-js[.]link
- info-js[.]鏈接
- track-js[.]鏈接
- 地圖-js[.]鏈接
- smart-js[.]鏈接
這些域名的格式與 1 年攻擊中使用的第 2016 組域名相同。
根據發現的事實,可以推測 CoffeMokko 嗅探器操作員與第一集團犯罪集團之間存在聯繫。 據推測,CoffeMokko 運營商可能藉用了工具和軟件來竊取前輩的卡。 然而,更有可能的是,使用 CoffeMokko 家族嗅探器的犯罪團伙與第 1 組活動中實施攻擊的人是同一個人。在發布關於該犯罪團伙活動的第一份報告後,他們的所有域名被屏蔽,對工具進行了詳細研究和描述。 該組織被迫休息,改進內部工具並重寫嗅探器代碼,以便繼續攻擊而不被注意到。
基礎設施
| 域名 | 發現/出現日期 |
|---|---|
| link-js.link | 17.05.2017 |
| 信息-js.link | 17.05.2017 |
| track-js.link | 17.05.2017 |
| 地圖-js.link | 17.05.2017 |
| smart-js.link | 17.05.2017 |
| 愛麗美網 | 03.09.2017 |
| 安全支付.su | 03.09.2017 |
| Braincdn.org | 04.09.2017 |
| sagecdn.org | 04.09.2017 |
| slickjs.org | 04.09.2017 |
| 橡樹堡網站 | 10.09.2017 |
| citywlnery.org | 15.09.2017 |
| 多貝爾網 | 04.10.2017 |
| 兒童遊戲服裝網 | 31.10.2017 |
| jewsondirect.com | 05.11.2017 |
| 商店-rnib.org | 15.11.2017 |
| 倫敦壁櫥網 | 16.11.2017 |
| 米斯豪斯網站 | 28.11.2017 |
| 電池力量.org | 01.12.2017 |
| kik-vape.org | 01.12.2017 |
| 偉大的家具貿易公司 | 02.12.2017 |
| etradesupply.org | 04.12.2017 |
| 替換我的遠程.org | 04.12.2017 |
| all-about-sneakers.org | 05.12.2017 |
| mage-checkout.org | 05.12.2017 |
| 尼利洛坦網 | 07.12.2017 |
| 拉穆德比茨.net | 08.12.2017 |
| walletgear.org | 10.12.2017 |
| 達利網 | 12.12.2017 |
| davidsfootwear.org | 20.12.2017 |
| 黑河影像網 | 23.12.2017 |
| exrpesso.org | 02.01.2018 |
| 公園蘇 | 09.01.2018 |
| pmtonline.com | 12.01.2018 |
| 奧託卡普網站 | 15.01.2018 |
| 克里斯托珀沃德網站 | 27.01.2018 |
| 咖啡茶網 | 31.01.2018 |
| energycoffe.org | 31.01.2018 |
| 能源茶網 | 31.01.2018 |
| 茶咖啡網 | 31.01.2018 |
| 自適應CSS.org | 01.03.2018 |
| 咖啡網 | 01.03.2018 |
| 倫敦茶網 | 01.03.2018 |
| ukcoffe.com | 01.03.2018 |
| 拉貝網 | 20.03.2018 |
| 電池技術網站 | 03.04.2018 |
| btosports.net | 09.04.2018 |
| Chicksaddlery.net | 16.04.2018 |
| paypaypay.org | 11.05.2018 |
| ar500arnor.com | 26.05.2018 |
| 授權cdn.com | 28.05.2018 |
| slickmin.com | 28.05.2018 |
| 橫幅巴茲信息 | 03.06.2018 |
| 康提筆網 | 08.06.2018 |
| mylrendyphone.com | 15.06.2018 |
| 新鮮聊天信息 | 01.07.2018 |
| 3lift.org | 02.07.2018 |
| abtasty.net | 02.07.2018 |
| 機械信息網 | 02.07.2018 |
| 佐普勒姆網站 | 02.07.2018 |
| zapaljs.com | 02.09.2018 |
| foodandcot.com | 15.09.2018 |
| freshdepor.com | 15.09.2018 |
| swappastore.com | 15.09.2018 |
| verywellfitness.com | 15.09.2018 |
| elegrina.com | 18.11.2018 |
| majsurplus.com | 19.11.2018 |
| top5value.com | 19.11.2018 |
來源: www.habr.com