РУССКИЙ
РУССКИЙ
ENGLISH
25.04.2019

Знакомство со снифферами-3:
Illum

Виктор Окороков
Аналитик Threat Intelligence GROUP-IB
В аналитическом отчете Group-IB о JavaScript-снифферах, их инфраструктуре и способах монетизации, мы выявили 38 семейств снифферов, из которых лишь 12 ранее были известны исследователям. В двух прошлых публикациях мы анализировали семейства ReactGet и G-Analytics, теперь настала очередь семейства снифферов Illum.

Семейство снифферов Illum, обнаруженное специалистами Group-IB, предназначено для хищения данных банковских карт у покупателей онлайн-магазинов, в основном, при помощи подмены платежной формы на сайте. В ходе изучения деятельности группы, стоящей за использованием Illum, был обнаружен и изучен сервер, предназначенный для хранения инструментов группы, образцов вредоносного кода, а также для сбора украденной информации.
Встречайте: Illum
Illum — семейство снифферов, применяемое для атак на онлайн-магазины, работающие под управлением CMS Magento. Помимо внедрения вредоносного кода, операторы этого сниффера также используют внедрение полноценных поддельных форм оплаты, которые отправляют данные на подконтрольные злоумышленникам гейты.

В ходе анализа сетевой инфраструктуры, которую использует группа, владеющая этим сниффером, было отмечено большое количество вредоносных скриптов, эксплоитов, поддельных платежных форм, а также сборник примеров с вредоносными снифферами конкурентов. Исходя из информации о датах появления доменных имен, используемых группой, можно предположить, что начало кампании приходится на конец 2016 года.

Описание
Первые обнаруженные версии сниффера внедрялись прямо в код скомпрометированного сайта, украденные данные отправлялись по адресу cdn.illum[.]pw/records.php, гейт же был закодирован при помощи base64.
Позднее была обнаружена упакованная версия сниффера, использующая другой гейт — records.nstatistics[.]com/records.php.
Согласно отчету Willem de Groot (https://gwillem.gitlab.io/2018/10/15/csu-shop-magecarted/), такой же хост использовался в сниффере, который был внедрен на сайт магазина https://www.csu-shop.de/, принадлежащего немецкой политической партии CSU.
Анализ сайта злоумышленников
Специалистами Group-IB был обнаружен и проанализирован сайт, используемый данной преступной группой для хранения инструментов и сбора украденной информации.
Среди инструментов, обнаруженных на сервере злоумышленников, были найдены скрипты и эксплоиты для повышения привилегий в ОС Linux: к примеру, Linux Privilege Escalation Check Script, разработанный Mike Czumak, а также эксплоит для CVE-2009-1185.

Непосредственно для атак на онлайн-магазины злоумышленники использовали два эксплоита: первый способен внедрить вредоносный код в core_config_data при помощи эксплуатации CVE-2016-4010 (https://maxchadwick.xyz/blog/using-cve-2016-4010-gadget-chain-in-magento-1), второй эксплуатирует уязвимость типа RCE в плагинах для CMS Magento, позволяя выполнить произвольный код на уязвимом веб-сервере (https://steemit.com/cybersecurity/@nullbyte/2-0day-rce-magento-plugin-s-exploits).

Также в ходе анализа сервера были обнаружены различные образцы снифферов и фальшивых платежных форм, используемых злоумышленниками для сбора платежной информации со взломанных сайтов. Как можно заметить из списка ниже, некоторые скрипты создавались индивидуально для каждого взломанного сайта, в то время как для определенных CMS и платежных шлюзов использовалось универсальное решение. К примеру, скрипты segapay_standart.js и segapay_onpage.js предназначены для внедрения на сайты, использующие платежный шлюз Sage Pay.
Хост paymentnow[.]tk, используемый как гейт в скрипте payment_forminsite.js, был обнаружен как subjectAltName в нескольких сертификатах, относящихся к сервису CloudFlare. Помимо этого, на хосте располагался скрипт evil.js. Судя по имени скрипта, он мог быть использован в рамках эксплуатации CVE-2016-4010, благодаря которой можно внедрить вредоносный код в footer сайта под управлением CMS Magento. В качестве гейта этот скрипт применил хост request.requestnet[.]tk, использующий тот же сертификат, что и хост paymentnow[.]tk.
Поддельные платежные формы
Ниже на рисунке показан пример формы для ввода данных карты. Эта форма использовалась для внедрения на сайт онлайн-магазина и кражи данных карт.
На рисунке ниже показан пример поддельной платежной формы PayPal, которую использовали злоумышленники для внедрения на сайты с этим методом оплаты.
Инфраструктура
Преступление без наказания: анализ семейств js-снифферов
Атаки снифферов на онлайн-магазины продолжают расти, а в цепочку пострадавших оказываются вовлечены различные аудитории — зараженный магазин, его клиенты, платежная система, банки-эмитенты скомпрометированных карт. Эксперты Group-IB проанализировали известные типы снифферов, выявили их инфраструктуру и обнаружили 38 различных семейств (ранее было известно 12 групп).