我们的威胁情报团队一直在监控一些涉及信用卡数据盗窃的威胁行为者的活动。这些组织通常被称为Magecart,它们使用简单的JavaScript代码(略读器),这些代码通常被注入到受损的电子商务网站中,窃取购物者在购物时输入的数据。
在调查一个广告系列的过程中,我们注意到威胁演员采取了一些额外的预防措施来避免中断或抛弃。因此,我们决定深入了解其托管公司提供的防弹技术和服务。
我们发现的是一个理想的繁殖基础,犯罪分子可以在法律执法或安全社区行动的完全有罪不惩罚。
设置
Magecart的运营商使用设在战火遍体的乌克兰卢甘斯克(Lugansk)的服务器,可以在法律的长手之外进行网络浏览业务,在所有信息被发送到“出境门”之前,收集除信用卡信息外的大量信息。这些网络服务器是用来接收被盗数据的,这样卡片就可以被处理,并最终在地下论坛上转售。
我们将向您介绍撇渣器、过滤门和主机服务器的分析,向您展示Magecart集团是如何运作的,以及我们正在采取哪些措施来保护我们的客户。
撇渣器分析
将撇渣器注入受损的Magento站点,并试图将自己用于Google Analytics(Google-Anaiytic [。] COM),以前与之关联的域VisionDirect数据泄露。
每个被黑客在线商店都有自己的撇渣器,位于特定目录中,该目录名为该站点的域名。我们还发现了一个archive,也许留下了遗骸,其中包含登录数百个Magento网站所需的用户名和密码。这些是与该撇渣器注入的相同部位。
我们分析了存档,发现了很多弱密码,可以很容易地遭受野蛮,如:
P @ SSW0RD.
passw0rd.
密码
密码
密码123.
此外,我们注意到了相同的密码来到了很多'how1are2you3',它被捆绑在一起magentocore恶意软件。
寻找额外的OSINT,我们可以找到一个PHP后门我们认为被黑的网站上使用的。它包括几个额外的shell脚本和可能的略读器(snif1.txt):
在下一步的分析中,我们将研究用来将被盗数据传回罪犯的出口。这是定义每个略读器的重要部分,可以帮助我们更好地理解它们的后端基础设施。
漏出大门
仔细看看撇渣器代码会显示exfiltration门(google.sl.lnfo [。] cc),它是另一个谷歌面貌。
被盗数据是Base64编码并通过GET请求发送到Exfiltration服务器,如下所示:
得到/ fonts.googleapis / savePing / ?散列= udHJ5IjoiVVMiLCJsb2dpbjpndWVzdCXN0Iiw{修剪}
骗子将作为JSON文件收到数据,其中每个字段包含清晰文本中的受害者的个人信息:
这里的主要目标是可以立即被货币化的信用卡信息。然而,如上所述,Skimmers还可以收集更多的数据,这与请求新的信用卡不同,对处理的更具成问题。实际上,名称,地址,电话号码和电子邮件是非常有价值的数据点,以便身份盗窃或者鱼叉式钓鱼攻击。
面板和防弹主机
仔细看一下出口,可以看到Inter skimmer工具包的登录面板。值得注意的是两者都有google.ssl.lnfo。cc和lnfo。cc重定向到相同的登录页面。
lnfo。ccis utilizing name services provided by 1984 Hosting, an Iceland-based hosting provider. It’s quite likely the threat actors may be taking advantage of it.
相应的主机服务器(176.119.1[.]92)位于乌克兰的卢甘斯克(也称卢甘斯克)。
对这座城市的一点点研究表明,它是未被认可的首都Luhansk人民共和国(LPR)宣布其独立于乌克兰之后2014年革命受前欧洲和亲俄支持者之间的冲突点燃。它是一个也被称为Donbass的地区的一部分,这是一个激烈和持续的剧院战争这已经花了成千上万的生命。
在一片混乱中,机会主义者正在为“灰色项目”提供防弹托管服务,这些项目不受欧洲和美国执法部门的影响。这就是bproof[。主机在176.119.1。]89, which advertises bulletproof IT services with VPS and dedicated servers in a private data center.
主持人成熟,与恶意软件,撇渣器,网络钓鱼域
选择asn.AS58271“FOP Gubina Lubov Petrivna”位于卢甘斯克不是巧合的Magecart集团背后这个撇脂器。事实上,在同一ASN上的176.119.1[。70也另一个回收船(xn - google-analytcs-xpb。com)使用国际化域名(IDN)连接到同一个出口。
此外,ASN是一种用于IDN的网络钓鱼的热点,特别是周围的加密货币:
防弹托管服务长期以来一直是网络犯罪的主要内容。例如,臭名昭著的俄罗斯商业网络(rbn)持续多年来的各种恶意活动。
由于这类主机的性质,要将其拿下是很困难的。这不仅仅是供应商对不正当操作睁一只眼闭一只眼的例子,而是他们商业模式的核心。
为了保护我们的用户免受这些威胁,我们正在屏蔽所有我们能找到的与skimmers和恶意软件相关的域名和IP地址。我们也向各自的注册商/主机报告了受影响的Magento商店。
妥协指标
撇渣器(主机)
Google-Anaiytic [。] Com(176.119.1 [。] 72)
XN - Google-AnalytCS-XPB [。] COM(176.119.1 [。] 70)
撇油器(漏出门/板)
google.ssl.lnfo。cc(176.119.1[.]92)
XN - GoockPng-M5A [。] COM(176.119.1 [。] 115)[来源]
撇油器(JavaScript)
2 cf2d3608a3e5dc2e0629bc80b5c3f11007608a1e6a3159931bb403f2a2ae09b
687A0DEB72C250A24245E68101F2BD1ACC377FC90AC22140F5CCA9F515FC3914
7 a20d0a5d8397624623e0a27d93c8741c187249d78e8f6d9dcad45010293d300
d5cbb9011352525a607c430c338a68a0a39d172940f03bb81b3bdaba91cb0e66
757DF530DFFE4B303399421EA0C53EB1723BA413585EF4EDE804AAFFED5CC3C1
F4FAD9C9018BEFDAA455B6C248DD7FC017ED32F69123B6A1D04B4A2E44D69B25
37AAC00B65D009FB8899F129A82EE3480640F50253EE0FF934AD25B9089254F2
C399A312C842494F81438D4510F8A7E6721912EB319A57E3D1AB34937F9DC29F
209年bc0b8274cac2ed00c1fab4546cb6ab11f118497c71698b0317dc12ac68afa
12AC099A2169734B395A2519BCB783696C46C10A6CDE0EE1AD3262876336CF6
AA64FA4BA75C8C30B7EB57A24CBDF5B1DBBB08D728717C8237AC717
6366167F3D6Bec7CDDCE5A52A94441C1A4097E4C7AB4E7C9E5718C87660DC5E8
4E14FFC2EC79CB256605F7C2682D56FCEEC9638CD3545175088AD15977403DCC
AC5B6F62A62F4453C4B5C577B321FDCA73D0E651C209AEB5B88A0C4A7F10B139
C139E980D2F5F21020B85DB716C8A0D363AE3C30F54A7D5C290B320309283B59
27 ab9adb71d7b49f8dcc1e2c168af06e4f71e4c43e7245663fcee191a70f7a7e
EB3ADB1E1AE14300110439E490A39ED54CA51BA820944BD27F481B57EB0AB1AA
684FE4D87AA412C46B96DFA2C650BDA2A0E9EF07BCAF294683387661107A5C72
6366167F3D6Bec7CDDCE5A52A94441C1A4097E4C7AB4E7C9E5718C87660DC5E8
2 c00997d6b0e9ae06d9ed2fcae6effe9348dc660b3fea1a4e5c011f1eb2b9ace
66312A50CE08E29C01E9DFEAE631F839C95F2C04D8F206E12C04ABDD0A5DF645
AF02B45C1D1198271DA309B5EDDE13C4E8A24934407F7A49F10707DFDD796B7
74年ac75cd8f1e35da0d047ed6dd995262563b614b8dfcdfa44f689ca920b51a63
aa7372fbe02932d1182572e7cc6ba69243be3222eb212418d0b6ea638dea5fbc
341年e88b473dae607b698737b6032c5a0ba3ed1a0ba08bba15757c68126a00e29
645032 eaa3dd159ef027b916950c3e1ab475bedcaaac0f9c61b594d74d6833be
d74f5d6f91fbc37583e69cbc919fbe41caa84bc77713dc644bcda5b5b8581553
D8ed7abe7bdb821b93ce24e5ee0e5b867370b3fd6fc5c92f1f2d7d34fa040260
评论