РУССКИЙ
РУССКИЙ
ENGLISH
23.12.2020

UltraRank снова в бою

Group-IB обнаружила новые жертвы сниффера SnifLite
Виктор Окороков,
Аналитик Threat Intelligence & Attribution Group-IB
В ноябре 2020 года специалисты Group-IB обнаружили несколько e-commerce-сайтов, зараженных сниффером, код которого был обфусцирован при помощи Radix-обфускации (Рисунок 1). Ее использовали всего несколько преступных групп, в том числе небезызвестные UltraRank, атаковавшие за пять лет 691 онлайн-магазин и 13 поставщиков услуг для сайтов.

После деобфускации кода было установлено, что в атаках применяется уже известный специалистам Group-IB сниффер семейства SnifLite, используемый опять же группой UltraRank. Всего было обнаружено 12 атакованных сайтов, 8 из которых оставались зараженными на момент публикации. В связи с небольшим количеством зараженных сайтов можно предположить, что атакующие воспользовались учетными данными для входа в административную панель CMS, которые, в свою очередь, могли быть получены при помощи вредоносных программ для кражи паролей или брутфорса.
Рисунок 1: Фрагмент обфусцированного кода сниффера
Напомним, что в августе этого года специалисты Group-IB опубликовали отчет "UltraRank: Незамеченная эволюция угрозы JS-снифферов". Несмотря на то, что на момент обнаружения новых атак часть инфраструктуры группы, описанной в отчете, оставалась активной, злоумышленники не стали использовать существующие домены для новых атак, а переключились на новую инфраструктуру для хранения вредоносного кода и сбора перехваченных банковских карт.
Анализ кода сниффера
Cниффер семейства SnifLite используется группой UltraRank как минимум с января 2019 года с атаки на рекламную сеть Adverline. Вредоносный код подгружается на зараженный сайт по ссылке на JS-файл, расположенный на сайте hXXp://googletagsmanager[.]co/, домен которого замаскирован под легитимный домен сервиса Google Tag Manager googletagmanager.com. Сайт злоумышленников hXXp://googletagsmanager[.]co/ также используется для сбора перехваченных данных банковских карт в качестве гейта сниффера (Рисунок 2).
Рисунок 2: Фрагмент деобфусцированного кода сниффера, содержащий ссылку на гейт для сбора перехваченных карт
Функция, отвечающая за перехват платежной информации, реализованная в сниффере семейства SnifLite, представлена на Рисунке 3. Алгоритм сбора данных основан на использовании функции querySelectorAll, как это было реализовано и в семействах снифферов FakeLogistics и WebRank, используемых группой ранее. Сравнение этих трех семейств мы рассматривали в отчете "UltraRank: Незамеченная эволюция угрозы JS-снифферов".

При сборе данных они записываются в локальное хранилище в объект под именем _google.verify.cache.001.
Рисунок 3: Фрагмент кода сниффера, содержащий функцию, отвечающую за сбор данных банковской карты
Сбор и отправка данных происходят только в том случае, если в текущем адресе страницы, на которой находится пользователь, есть одно из ключевых слов (Рисунок 4):

  • onepage
  • checkout
  • store
  • cart
  • pay
  • panier
  • kasse
  • order
  • billing
  • purchase
  • basket
Перед отправкой перехваченной банковской карты ее данные извлекаются из объекта _google.verify.cache.001 в локальном хранилище и передаются злоумышленникам при помощи отправки HTTP GET-запроса.
Рисунок 4: Фрагмент кода сниффера, содержащий функцию отправки собранных данных на сервер злоумышленников
Позднее в ходе анализа заражений был обнаружен образец сниффера без обфускации, идентичный тому, что был найден на одном из сайтов злоумышленников ранее, что подтвердило связь новых атак с атаками группы UltraRank.
Анализ инфраструктуры
В ходе исследования инфраструктуры сниффера был обнаружен стандартный PHP-скрипт, встречающийся на всех сайтах группы UltraRank. Помимо обычной информации об отправленном запросе и сервере скрипт отобразил настоящий IP-адрес сервера. Во время анализа домен googletagsmanager[.]co имел IP-адрес 8.208.16[.]230 (AS45102, Alibaba (US) Technology Co., Ltd.). В это же время реальным адресом сервера являлся IP-адрес 45.141.84[.]239 (Рисунок 5), принадлежащий «Media Land LLC» (AS206728). Согласно статье Брайана Кребса, Media Land LLC – компания, связанная с деятельностью bulletproof-хостинга, управляемого пользователем подпольных форумов под псевдонимом Yalishanda, который предоставляет свои услуги для киберпреступников. Предположительно, для размещения части инфраструктуры злоумышленников сервис Yalishanda использует облачные серверы, арендованные у различных поставщиков, в том числе у Alibaba.

Помимо IP-адреса сервера в выводе скрипта также указана директория, в которой на сервере расположены файлы сайта hXXp://googletagsmanager[.]co/: worker.


Рисунок 5: Вывод скрипта, содержащий информацию о сервере, на котором расположен домен googletagsmanager.co

С IP-адресом 45.141.84[.]239 также связан сайт hXXp://s-panel[.]su/. В ходе его анализа снова был обнаружен тот же скрипт, что и на всех сайтах, входящих в инфраструктуру группы UltraRank (Рисунок 6). В этом случае директория, в которой располагались все файлы сайта, называется panel.
Рисунок 6: Вывод скрипта, содержащий информацию о сервере, на котором расположен домен s-panel.su
Помимо общего сервера, при помощи системы графового анализа Group-IB был обнаружен SSL-сертификат 50e15969b10d40388bffbb87f56dd83df14576af, который присутствовал как на домене googletagsmanager.co, так и на сервере с IP-адресом 45.141.84[.]239, который связан с доменом s-panel[.]su (Рисунок 7).
Рисунок 7: Граф связей сертификата 50e15969b10d40388bffbb87f56dd83df14576af
В ходе дальнейшего анализа сайта hXXp://s-panel[.]su/ была обнаружена форма входа. Предположительно, данный сайт используется злоумышленниками в качестве панели управления сниффером: все украденные данные банковских карт собираются в панели для последующей выгрузки и перепродажи.
Рисунок 8: Форма входа, найденная на сайте s-panel.su
Также был обнаружен домен googletagsmanager[.]info, который в сентябре 2020 года имел тот же IP-адрес 8.208.96.88, что и googletagsmanager[.]co, однако в момент анализа сайт был оффлайн и не было обнаружено случаев заражения онлайн-магазинов с его использованием.
Индикаторы компрометации
● googletagsmanager[.]co
● googletagsmanager[.]info
● s-panel[.]su
Рекомендации
На текущий момент специалисты Group-IB изучили 96 различных семейств JS-снифферов, когда на момент выхода отчета «Преступление без наказания: Анализ семейств JS-снифферов» было известно всего 38 семейств вредоносного ПО данного типа. Атаки на онлайн-магазины с использованием вредоносных JavaScript-скриптов для кражи данных банковских карт становятся все более популярным способом получения большого количества платежной информации пользователей для последующей перепродажи. В результате установки вредоносного кода на сайте Ticketmaster через взлом стороннего поставщика Inbenta, который был осуществлен группой UltraRank, произошла утечка платежных данных пользователей, за что компания Ticketmaster была оштрафована на £1.25 миллиона, в то же время компания British Airways была оштрафована на £20 миллионов за утечку данных, вызванную внедрением вредоносного кода для кражи карт в код одной из JavaScript-библиотек, использовавшейся на их сайте и в мобильном приложении. Таким образом, угроза JS-снифферов актуальна не только для владельцев онлайн-магазинов, но также для всех сервисов, использующих и проводящих платежи по банковским картам в Интернете. Специалисты Group-IB составили список рекомендаций, которые помогут различным участникам онлайн-торговли минимизировать потенциальный ущерб, предотвратить заражение или обнаружить существующую вредоносную активность.
Для банка-эмитента

● Уведомите пользователей о возможных опасностях, возникающих в процессе онлайн-оплаты с использованием банковских карт;
●Если банковские карты, относящиеся к вашему банку, были скомпрометированы, заблокируйте данные карты и уведомите пользователей о факте использования онлайн-магазина, который был заражен сниффером банковских карт.
Для администратора онлайн-магазина

  • Используйте сложные и уникальные пароли для доступа в административную панель сайта и любые сервисы, используемые при администрировании, к примеру phpMyAdmin, Adminer. Также по возможности настройте двухфакторную аутентификацию;
  • Установите все необходимые обновления для используемого программного обеспечения, включая CMS сайтов, не используйте устаревшие и неподдерживаемые версии CMS. Это поможет снизить риск компрометации сервера и усложнит для атакующего процесс загрузки веб-шелла и установку вредоносного кода;
  • Проводите регулярные проверки на наличие признаков вредоносного кода и проводите регулярный аудит защищенности вашего сайта. К примеру, для сайтов на базе CMS Magento можно воспользоваться Magento Security Scan Tool;
  • Используйте системы для логирования всех изменений, происходящих на сайте, а также логирование доступа в панель управления сайта и базу данных, отслеживание дат изменения файлов. Это поможет своевременно обнаружить заражение файлов сайта вредоносным кодом, а также отследить факт неавторизованного доступа к сайту или веб-серверу.
Для платежной системы/банка, обрабатывающего платежи

  • Если вы предоставляете сервис для проведения платежей на e-commerce сайтах, регулярно информируйте своих клиентов об угрозе JavaScript-снифферов и базовых техниках безопасности при приеме онлайн-платежей на сайтах;
  • Убедитесь, что ваши сервисы используют корректно настроенный механизм Content Security Policy;
Узнайте больше о технологиях и сервисах Group-IB Compromise Assessment, Threat Intelligence & Attribution, Threat Hunting Framework и Fraud Hunting Platform.
UltraRank:
The unexpected twist of a JS-sniffer triple threat
New stage in JS-sniffers research. From analyzing malware families to identifying threat actors