UltraRank:JS 嗅探執行神器三重威脅,竊取文本銀行卡數據
總部位于新加坡的全球威脅搜尋和情報公司Group-IB今天發布了分析報告“UltraRank:JS嗅探三重威脅的意外轉折”。Group-IB威脅情報專家提供了將三場攻擊與不同javascript嗅探器家族的使用聯系起來的證據。javascript嗅探器家族是網絡犯罪分子用來盜取文本銀行卡數據的工具,該工具先前被網絡安全研究人員歸于各個Magecart團體黑客組織。該小組被 Group-IB 稱為 UltraRank。
在UltraRank的背景下,該報告舉例說明了JS嗅探從輕微的網絡威脅到有組織的網絡犯罪支持的復雜威脅的轉變。在短短的五年內,該組織入侵了歐洲,亞洲,北美洲和拉丁美洲的近700個網站和13個第三方供應商,并設計了自己的模式以通過信用卡商店ValidCC將被盜的銀行卡文本數據貨幣化,該商店每天的收入超過5000美元。
Cybercrime prodigy
在不到一年半的時間里,JS嗅探家族的數量增加了一倍以上:今天,Group-IB威脅情報分析師看到至少 96個 JS嗅探家族,而在2019年3月,Group-IB發布了第一項研究面對這一威脅,該數字為 38 個。對地下論壇和卡店的持續監控,對現有JS嗅探樣本的最大可能數量的透徹分析以及對新網站感染的搜索使Group-IB專家能夠進入新的研究階段,即歸因于涉及特定用戶的JS嗅探的攻擊。
2020年2月,Group-IB威脅情報專家發現,美國營銷公司 The Brandit Agency 為運行內容管理系統(CMS)Magento的客戶創建項目網站時遭到了破壞。結果,市場營銷機構為其客戶創建的至少五個網站感染了JS嗅探。該惡意軟件是從主機toplevelstatic.com下載的。這個網站被用來在北美最大的現金處理產品制造商和分銷商Block&Company的網站上加載惡意腳本。
第一條線索
上述攻擊是Group-IB研究的起點,其結果是發現了攻擊者的基礎結構,該基礎結構與涉及JS嗅探的較早的幾種攻擊有關。該公司專有的分析系統和獨特的數據陣列(包括樣本)使Group-IB專家能夠在這些事件與已知攻擊之間建立聯系,網絡安全研究人員將其歸為三個不同的組,即Group 2、Group 5和Group 12。
原本被認為是不同的事件,結果證明是威脅演員UltraRank進行了三項活動;它們是由Group-IB根據研究人員今天使用的分類命名的–Campaign 2, Campaign 5 and Campaign 12。其中最早的Campaign 2可以追溯到2015年,而Campaign 12一直持續到今天。
在所有這三個活動中,都使用了類似的機制來隱藏威脅參與者的服務器位置和類似的域注冊模式。此外,在所有活動中都發現了幾個內容相同的惡意代碼存儲位置。這三個操作的不同之處在于選擇了JS嗅探系列-Campaign 2的FakeLogistics,Campaign 5的WebRank和Campaign 12的SnifLite。
五年來,出現在Group-IB研究人員的雷達上,UltraRank多次更改了其基礎結構和惡意代碼,結果網絡安全專家將其攻擊錯誤地歸因于其他威脅行為者。UltraRank將對單個目標的攻擊與供應鏈攻擊相結合,Group-IB威脅情報團隊已成功識別出總共 691個 網站以及 13 個第三方服務提供商的在線資源,其中包括各種廣告和瀏覽器通知服務、網頁設計機構、營銷機構、受感染的歐洲,亞洲,北美和拉丁美洲的的網站開發人員。
取勝策略
UltraRank遠遠超越了普通的JS嗅探操作員的概念,已經開發了具有獨特技術和組織結構的自主業務模型。與其他JS嗅探運營商不同,他們通過購買豪華商品然后通過轉售或與第三方刷卡商合作來將被盜的銀行卡數據貨幣化,UltraRank創建了自己的方案,通過在附屬卡店中將其出售來貨幣化被盜銀行卡數據 -ValidCC,其基礎結構與UltraRank的基礎結構關聯。根據卡店的內部統計數據,在2019年的一周內,從銷售銀行卡數據的平均收入為 $ 5,000 到 $ 7,000 。 ValidCC還向被盜支付數據的第三方供應商支付了另外 $25,000–$30,000 。
該商店在地下論壇上的正式代表是昵稱為SPR的用戶。在許多帖子中,SPR聲稱在ValidCC商店中出售的卡數據是使用JS嗅探獲得的。SPR的大多數帖子都是用英語編寫的,但是,SPR在與客戶交流時經常切換為俄語。這可能表明ValidCC可能由俄語使用者管理。
另一個事實表明UltraRank遠離網絡犯罪市場的普通參與者是該組織使用的競爭方法:Group-IB專家跟蹤了UltraRank對已經被競爭對手網絡犯罪組織破壞的網站的黑客攻擊以及對偽裝為ValidCC卡的網絡釣魚頁面的DDoS攻擊。
Group-IB威脅情報分析師Victor Okorokov表示:“網絡犯罪市場正在提供越來越好的服務質量,對解決特定任務的工具進行了微調和簡化。” “如今,JS嗅探代表了旨在破壞銀行卡數據的工具演變的最終產品,大大降低了此類攻擊的資源強度。在未來的幾年中,我們肯定會看到這種惡意工具的使用正在增長,因為許多在線商店和服務提供商仍然使用具有漏洞的過時CMS忽略了其網絡安全性。”
為了有效應對JS嗅探威脅,在線商人需要保持軟件更新,對其網站進行定期的網絡安全評估和審核,并且在需要時毫不猶豫地尋求網絡安全專家的幫助。
