威胁演员喜欢滥用合法品牌和基础设施 - 我们知道。去年我们裸露Web Skimmers如何通过Inecure S3 Buckets在Amazon的CloudFront内容交付网络(CDN)上找到。现在,我们发现诈骗者假装是CDN,同时消除数据,并隐藏他们的轨道 - 让注意对第三方内容进行注意的另一个原因。
有时,看起来CDN可能会成为任何东西。使用LOEPALIKE域名恶意软件作者中没有什么新鲜事。一条趋势我们特别看到了与Web Skimmers的公平位是模拟Google Analytics的域名:几乎所有网站都使用此服务进行他们的排名和统计数据,因此它为可信的副本提供了可信的模仿。
在最新的情况下,我们抓住了诈骗者使用假装成为CDN的两个不同域名。虽然通常,第二件基础设施用于数据exfiltration,但它只充当隐藏实际exfiltration服务器的中间人。
奇怪的是,骗子决定通过免费的NGROK服务 - 一个逆向代理软件使用公开的本地Web服务器 - 一种创建安全隧道 - 收集被盗数据。这种技巧和技术的组合向我们展示了欺诈者可以在尝试逃避检测时设计自定义方案。
检查未经授权的第三方代码
我们在网站上确定了一个受欢迎的巴黎精品店的可疑代码。但是,对于肉眼,所讨论的脚本看起来就像从第三方CDN加载的另一个jQuery库。
虽然域名(CDN-Sources [。] org)暗指到CDN,unvesil.js是一个合法图书馆,快速查看内容显示一些不一致。不应该为这种插件寻找信用卡号码。
要清除任何疑问,我们决定检查网站的存档副本,并将其与现场快照进行比较。我们确实可以看到此脚本在之前几周不存在。它是由网站所有者添加的,或者在这种情况下,被攻击者注入。
脚本检查地址栏中的当前URL,如果它与结帐页面的匹配,则它开始收集表单数据。这通常包括购物者的姓名,地址,电子邮件,电话号码和信用卡信息。
通过NGROK服务器进行数据exfiltation
收集此数据后,Skimmer将将其删除到远程位置。在这里,我们在CDN-MediaFiles [。]组织中看到另一个CDN页面。但是,在检查网络流量后,我们注意到这不是实际的exfiltration域,而只是一个中间人。
获取https://cdn-mediafiles.org/cache.php http / 1.1主机:cdn-mediafiles.org.连接:保持活力接受:/SEC-fetch-site:跨站点sec-fetch模式:CORS推荐器:HTTPS:// www。{删除} .com / checkout /单页/接受编码:gzip,deflate,br接受语言:en-us,en; q = 0.9 http / 1.1 200确定内容类型:text / html;charset = UTF-8连接:保持活动内容长度:36ly9knjgzndrmyi5uz3jvay5pby9hzc5waha =
相反,GET请求返回BASE64编码的响应。此字符串已存在于原始撇渣器脚本中,解码为//d68344fb.ngrok[.]io/ad.php,其原因是实际的exfiltration服务器。
诺克是否可以将本地计算机公开到外部的软件,就像它是外部服务器一样。用户可以创建一个免费帐户并获得公共URL。骗子已经滥用NGROK以抵消信用卡数据前。
总而言之,受损的电子商务站点从域中加载撇渣器,该域看起来像CDN。当购物者即将付款后收集数据并在简单重定向后发送到自定义NGROK服务器。
简化了上面的视图,只能保持负责略微活动的关键元素。在实践中,网络捕获将包含数百个序列,这将使隔离实际的恶意活动更加困难。
阻止和报告
我们早早抓住了这项运动,当时只有少数场地注射了撇渣器。我们向受影响的派对报告了它,同时也确保了必威平台APPMalwarebytes用户受到保护。
威胁演员知道在他们检测到的基础设施和可能关机之前,他们通常有一个小型机会窗口。除了使用新鲜或属于合法(但滥用)所有者的域之外,它们还可以设计聪明的技巧来掩盖他们的活动。
虽然这些违规者伤害了在线商家的声誉,但客户也遭受了黑客的后果。他们不仅要穿过新信用卡的麻烦,他们的身份也被盗,打开了未来的门网络钓鱼攻击和模仿的尝试。
妥协指标
网撇渣器域名
CDN-源[。] org
网撇脚脚本
CDN-源[。] org / jquery.unveil.js
CDN-源[。] org / adrum-4.4.3.717.js
CDN-源[。] org / jquery.social.share.2.2.2.2.2.2.2.2.JS
重定向
cdn-mediafiles [。] org / cache.php
exfiltration url
d68344fb.ngrok [。] io / ad.php
评论