Group-IB
Исследователи пишут, что, окончательно вытеснив банковские трояны, группы, использующие JS-снифферы, с конца 2019 года стали основными поставщиками баз текстовых данных банковских карт для продаж на специализированных хакерских форумах. На сегодня JS-снифферы являются одной из наиболее динамично развивающихся угроз. За неполные полтора количество обнаруженных экспертами Group-IB уникальных семейств такой малвари выросло более чем в два раза: сегодня их уже 96.
В Group-IB напоминают, что каждое семейство JS-снифферов — это совокупность семплов с незначительными отличиями в коде, которые внедряются на сайты для перехвата вводимых пользователем данных — номеров банковских карт, имен, адресов, логинов, паролей и так далее. Операторы JS-снифферов выбирают сайты, построенные на определенных CMS как правило, редко обновляемых, не содержащих системы защиты 3DSecure. Украденные таким образом данные передаются на сервер злоумышленников, а затем продаются в даркнете на кардерских форумах, основную массу которых составляют русскоязычные киберпреступники.
Если на стороне банка-эмитента, выпустившего украденную JS-сниффером карту, отсутствуют системы поведенческого анализа, позволяющие отличить действия реального пользователя от злоумышленника, денежные средства с проданных карт обналичиваются киберпреступниками за счет покупки и дальнейшей перепродажи различных товаров.
По данным специалистов, в состав UltraRank входят русскоязычные хакеры. Группировка оперирует тремя семействами JS-снифферов, получившими названия FakeLogistics, WebRank и SnifLitе. За период своей активности UltraRank выстроила автономную бизнес-модель со своей технической и организационной структурой, а также собственной системой сбыта и монетизации украденной платежной информации. Так, у группы есть собственный кардшоп ValidCC, согласно внутренней статистике которого, в 2019 году его владельцы зарабатывали по 5 000-7000 долларов в день на продаже данных банковских карт, которые группа воровала сама, и еще 25 000-30 000 долларов хакеры они выплачивали другим поставщикам украденных платежных данных, выставлявших товар в их кардшопе.
С 2015 года UltraRank заразила 691 сайт преимущественно в Европе, Азии и Америке. Также атакующие выбирали для себя и более крупные цели, под которые планировались значительно более сложные атаки через цепочку поставок. В частности, их жертвами стали 13 поставщиков услуг для онлайн-торговли, к которым относятся различные рекламные сервисы и сервисы браузерных уведомлений, агентства веб-дизайна, маркетинговые агентства, разработчики сайтов и так далее. Внедряя вредоносный код в их скрипты, злоумышленники перехватывали данные банковских карт покупателей на сайтах всех магазинов, на которых используются продукты или технологии этих поставщиков. Их заражение могло принести злоумышленникам суммарно более 100 000 инфицированных сайтов.
В феврале 2020 года специалисты Group-IB заметили, что пять сайтов, созданных американским маркетинговым агентством The Brandit Agency для своих корпоративных клиентов, заражены JS-снифферами. Эксперты незамедлительно попытались связаться с агентством, однако реакции не последовало: позже вредоносный код был удален с сайтов. Исследование этой атаки позволило команде обнаружить инфраструктуру злоумышленников и связать ее с другими, более ранними инцидентами, в которых также использовались JS-снифферы, и восстановить полную хронологию атак.
За прошедшие пять лет UltraRank неоднократно меняла инфраструктуру и модифицировала вредоносный код в своем арсенале, в результате чего специалисты других компаний долгое время ошибочно атрибутировали ее атаки разным злоумышленникам. Свои позиции UltraRank укрепляла за счет активной борьбы с конкурентами. Она взламывала уже скомпрометированные сайты и к уже внедренному коду конкурирующей преступной группы добавляла свой JS-сниффер: таким образом украденные данные банковских карт «отправлялись» сразу двум хакерским группам.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
хак-группу, занимающуюся хищением данных банковских карт и активную около пяти лет. Используя JavaScript-снифферы, группировка атаковала около 700 онлайн-магазинов в Европе, Азии, Северной и Латинской Америке. Украденные данные пользователей хакеры продавали в собственном кардшопе, зарабатывая на этом до 500 000 рублей в день.Исследователи пишут, что, окончательно вытеснив банковские трояны, группы, использующие JS-снифферы, с конца 2019 года стали основными поставщиками баз текстовых данных банковских карт для продаж на специализированных хакерских форумах. На сегодня JS-снифферы являются одной из наиболее динамично развивающихся угроз. За неполные полтора количество обнаруженных экспертами Group-IB уникальных семейств такой малвари выросло более чем в два раза: сегодня их уже 96.
В Group-IB напоминают, что каждое семейство JS-снифферов — это совокупность семплов с незначительными отличиями в коде, которые внедряются на сайты для перехвата вводимых пользователем данных — номеров банковских карт, имен, адресов, логинов, паролей и так далее. Операторы JS-снифферов выбирают сайты, построенные на определенных CMS как правило, редко обновляемых, не содержащих системы защиты 3DSecure. Украденные таким образом данные передаются на сервер злоумышленников, а затем продаются в даркнете на кардерских форумах, основную массу которых составляют русскоязычные киберпреступники.
Если на стороне банка-эмитента, выпустившего украденную JS-сниффером карту, отсутствуют системы поведенческого анализа, позволяющие отличить действия реального пользователя от злоумышленника, денежные средства с проданных карт обналичиваются киберпреступниками за счет покупки и дальнейшей перепродажи различных товаров.
По данным специалистов, в состав UltraRank входят русскоязычные хакеры. Группировка оперирует тремя семействами JS-снифферов, получившими названия FakeLogistics, WebRank и SnifLitе. За период своей активности UltraRank выстроила автономную бизнес-модель со своей технической и организационной структурой, а также собственной системой сбыта и монетизации украденной платежной информации. Так, у группы есть собственный кардшоп ValidCC, согласно внутренней статистике которого, в 2019 году его владельцы зарабатывали по 5 000-7000 долларов в день на продаже данных банковских карт, которые группа воровала сама, и еще 25 000-30 000 долларов хакеры они выплачивали другим поставщикам украденных платежных данных, выставлявших товар в их кардшопе.
С 2015 года UltraRank заразила 691 сайт преимущественно в Европе, Азии и Америке. Также атакующие выбирали для себя и более крупные цели, под которые планировались значительно более сложные атаки через цепочку поставок. В частности, их жертвами стали 13 поставщиков услуг для онлайн-торговли, к которым относятся различные рекламные сервисы и сервисы браузерных уведомлений, агентства веб-дизайна, маркетинговые агентства, разработчики сайтов и так далее. Внедряя вредоносный код в их скрипты, злоумышленники перехватывали данные банковских карт покупателей на сайтах всех магазинов, на которых используются продукты или технологии этих поставщиков. Их заражение могло принести злоумышленникам суммарно более 100 000 инфицированных сайтов.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
В феврале 2020 года специалисты Group-IB заметили, что пять сайтов, созданных американским маркетинговым агентством The Brandit Agency для своих корпоративных клиентов, заражены JS-снифферами. Эксперты незамедлительно попытались связаться с агентством, однако реакции не последовало: позже вредоносный код был удален с сайтов. Исследование этой атаки позволило команде обнаружить инфраструктуру злоумышленников и связать ее с другими, более ранними инцидентами, в которых также использовались JS-снифферы, и восстановить полную хронологию атак.
За прошедшие пять лет UltraRank неоднократно меняла инфраструктуру и модифицировала вредоносный код в своем арсенале, в результате чего специалисты других компаний долгое время ошибочно атрибутировали ее атаки разным злоумышленникам. Свои позиции UltraRank укрепляла за счет активной борьбы с конкурентами. Она взламывала уже скомпрометированные сайты и к уже внедренному коду конкурирующей преступной группы добавляла свой JS-сниффер: таким образом украденные данные банковских карт «отправлялись» сразу двум хакерским группам.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
«Латентность киберпреступлений с использованием JS-снифферов оставляет этим киберпреступникам обширное поле деятельности. Вредоносный код внедряется на сайт абсолютно незаметно для владельца сайта и для его пользователей и может длительное время „собирать“ данные банковских карт покупателей, оставаясь в тени. Однако скрытность этого преступления не снижает его опасности: помимо самих пользователей, в эту цепочку могут попадать и банки, и владельцы онлайн-бизнеса. Не стоит недооценивать эту угрозу и, принимая во внимание скачок роста на рынке JS-снифферов, который произошел менее чем за 1,5 года, Интернет-бизнесу, использующему оплату онлайн, необходимо на регулярной основе проводить экспресс-аудит своих сайтов для поиска и удаления подобного вредоносного кода», — говорит Виктор Окороков, специалист Group-IB Threat Intelligence.