更新:2020-07-09.

读者与我们联系我们的关于这一系列攻击.NET网站。有一个已知的漏洞(CVE-2017-9248)对于正在被剥削的ASP.NET的Telerik UI。攻击者可以上传.aspx web shell并获得远程执行代码。这个eterik页面除了保留其版本的ASP.NET最新版本之外,提供我们强烈推荐网站所有者的建议和修补程序。

-

网络犯罪分子通常专注于可以让它们最高努力的目标。这通常由他们扩展攻击的能力来决定,因此普遍普遍的漏洞或目标系统是如何。输入:信用卡撇渣器。

在数字浏览的世界里,我们看到电子商务内容管理系统(CMSes)的活跃度最高,比如Magento和WooCommerce这样的插件。

然而,重要的是要记住,只要有机会,攻击者可以也会攻击任何受害者。举个例子:我们今天描述的浏览器从4月中旬开始活跃起来,它的目标是运行ASP的微软IIS服务器上的网站。NET web应用程序框架。

不寻常的受害者

作为防御者,我们倾向于将大量注意力集中在相同的平台上,这在很大程度上是因为我们标记的大多数被攻击的网站都是建立在LAMP (Linux、Apache、MySQL和PHP)堆栈上的。这并不是因为这些技术不安全,而是因为它们被广泛采用。

然而,在这个广告系列中,信用卡Skimmer专注于托管微软的网站IIS服务器和跑步ASP。净,Microsoft的Web框架来开发Web应用程序和服务。

图1:比较Linux和基于Windows的Web堆栈

我们发现了十几个网站,这些网站范围从体育组织,健康和社区协会(奇怪地)信用合作社。它们被损害,恶意代码注入其现有的JavaScript库之一。

图2:带有受损JS库的受害者网站的快照

似乎并没有针对特定的JS库,代码(我们稍后将回顾)有时会采用不同的形式。然而,我们确定的所有站点都在运行ASP。净version 4.0.30319, which is no longer officially supported and contains multiple漏洞

而ASP。净is not as popular asPHP它仍然占有相当大的市场份额,正如人们所料,它还包括运行网站购物车应用程序。我们识别的所有受损网站都有购物门户,这正是攻击者之后的东西。

图3:Malware必威平台APPbytes在访问受影响的门户时阻塞域

不同类型的恶意注射

在少数情况下,是远程加载的。例如,图4显示了一个合法的库,其中附加和混淆了恶意代码。它从远程域thxrq[.]com加载了撇码器。实际的文件可以命名为element_main.js、gmt.js或其他变体。

图4:小代码注入调用恶意远程脚本

然而,在大多数情况下,我们看到完整的略读代码被直接注入到受影响站点的受损JavaScript库中。有几种不同的风格,使鉴定有点困难。

图5:直接注入合法脚本的完整浏览器
图6:将完全模糊的撇码注入合法的脚本

撇渣器触发信用卡号码或密码

这个撇渣器(源代码在这里)虽然后者似乎是错误的实施,但是不仅可以寻找信用卡号码,还旨在寻找密码。我们可以看到两次不同的电话检查匹配方法。

图7:检查信用卡模式和密码

数据使用有趣的逻辑进行编码。

  • Charcodeat()返回每个特定字段的字符串中包含的每个字符的Unicode的方法
  • toString ()将该号码转换为字符串的方法

额外的扭曲在于它通过两个字符组组分组结果组合字符串。

图8:数据编码过程

最后,在GET请求中通过相同的域中进行数据,其中文件名是GIF图像。默认加载此撇渣器时,它还将发出file null.gif的get请求(没有exfiltration数据)。

图9:Exfiltration URL构建过程

为了解码试图外逃的数据,我们需要颠倒这个逻辑。

  • 拍摄模l并创建一个有两个字符串的元素数组
  • 使用parseint()函数将两个字符的字符串转换为整数
  • 使用字符串fromCharCode ()方法将Unicode数字转换为字符

以下是我们如何使用编码数据(输入)的URL路径,并通过一块JavaScript运行,以查看它的解码版本:

图10:我们编写的脚本以解码exfiltrated数据

活动可能开始于4月中旬开始

这种撇渣运动可能开始于4月20日的某个时间作为其基础设施的第一域(HIVND [。]网)(31.220.60 [。] 108)通过使用ProtonMail电子邮件地址的威胁演员在4月10日注册。

来自urlscan.io(如urlscan.io)等索引数据显示不同的网站在此期间,品牌受到了影响。其中一些网站已经纠正了这一妥协。

我们开始联系剩余的受影响方,希望他们能够确定违约并采取适当行动来强化其基础设施。

所有平台和框架欢迎

信用卡撇渣已成为过去几年的网络犯罪分子的流行活动,以及大流行期间的在线购物增加对他们来说也意味着更多的生意。

攻击者不需要局限于最流行的电子商务平台。事实上,任何网站或技术都是公平的游戏,只要它不需要太多的努力就能被颠覆。在某些情况下,我们注意到“意外”妥协,即一些站点被黑客攻击并注入,尽管它们并不是真正的预期受害者。

必威平台APP通过网络保护技术,恶意软件字节的客户可以免受这种和其他信用卡欺诈活动的侵害我们的桌面软件通过我们的浏览器警卫扩展

谢谢@unmaskparasites.用于对受影响的网站共享额外洞察力。

妥协指标

RegEx找到ASP.NET撇渣器注射

(jquery \ w + \ | \ |未定义,jquery \ w + ={1, 5}未定义)|(!窗口\ .jqv \ w + & & \ (jqv \ w + =函数\(\)\{返回)

撇渣器基础设施

IDPCDN-Cloud [。] com
失业。com
hixrq。净
cdn-xhr。com
rackxhr。com
thxrq [。] com
艾滋病毒网络
31.220.60 [] 108