Geekly articles weekly

Des renifleurs qui pourraient: comment la famille FakeSecurity a infecté les boutiques en ligne



En décembre 2018, des spécialistes du groupe IB ont découvert une nouvelle famille de renifleurs appelée FakeSecurity . Ils ont été utilisés par un groupe criminel qui a infecté des sites gérés par CMS Magento. Une analyse a montré que lors d'une récente campagne, des attaquants avaient lancé une attaque à l'aide de logiciels malveillants pour voler des mots de passe. Les victimes étaient les propriétaires de sites d'achat en ligne infectés par un renifleur JS. Le CERT Group-IB Information Security Incident Response Center a averti les ressources attaquées et l'analyste du Threat Intelligence Group-IB Viktor Okorokov a décidé de parler de la manière d'identifier les activités criminelles.

Rappelons qu'en mars 2019, le Groupe-IB a publié le rapport «Crime without punition: analysis of JS-sniffer families», qui analysait 15 familles de divers JS-sniffers qui ont été utilisées pour infecter plus de deux mille sites de boutiques en ligne.

Adresse unique


Pendant l'infection, les attaquants ont injecté un lien vers un script malveillant dans le code du site, ce script a été chargé et, au moment du paiement des marchandises, a intercepté les données de paiement du visiteur de la boutique en ligne, puis les a envoyées au serveur des attaquants. Aux premiers stades des attaques utilisant FakeSecurity, les scripts malveillants et les portes renifleurs eux-mêmes se trouvaient sur le même domaine de l'organisation magento-security [.].


Plus tard, certains sites Magento ont été infectés par la même famille de renifleurs, mais cette fois, les attaquants ont utilisé de nouveaux noms de domaine pour héberger le code malveillant:

  • fiswedbesign [.] com
  • alloaypparel [.] com

Ces deux noms de domaine ont été enregistrés à la même adresse e-mail greenstreethunter @ india [.] Com . La même adresse a été fournie lors de l'enregistrement du troisième nom de domaine firstofbanks [.] Com .


Demande convaincante


Une analyse des trois nouveaux domaines utilisés par le groupe criminel FakeSecurity a révélé que certains d'entre eux étaient impliqués dans la campagne de distribution de logiciels malveillants, qui a commencé en mars 2019. Les attaquants ont distribué des liens vers des pages indiquant que l'utilisateur doit installer le plug-in manquant pour afficher correctement le document. Si l'utilisateur a commencé à télécharger l'application, son ordinateur a été infecté par des logiciels malveillants pour voler des mots de passe.


Au total, 11 liens uniques ont été révélés, ce qui a conduit à de fausses pages qui ont incité l'utilisateur à installer des logiciels malveillants.

  • hxxps: //www.etodoors.com/uploads/Statement00534521 [.] html
  • hxxps: //www.healthcare4all.co.uk/manuals/Statement00534521 [.] html
  • hxxps: //www.healthcare4all.co.uk/lib/Statement001845 [.] html
  • hxxps: //www.healthcare4all.co.uk/doc/BankStatement001489232 [.] html
  • hxxp: //verticalinsider.com/bookmarks/Bank_Statement0052890 [.] html
  • hxxp: //thepinetree.net/n/docs/Statement00159701 [.] html
  • hxxps: //www.readicut.co.uk/media/pdf/Bank_Statement00334891 [.] html
  • hxxp: //www.e-cig.com/doc/pdf/eStmt [.] html
  • hxxps: //www.genstattu.com/doc/PoliceStatement001854 [.] html
  • hxxps: //www.tokyoflash.com/pdf/statment001854 [.] html
  • hxxps: //www.readicut.co.uk/media/pdf/statment00789 [.] html

Une victime potentielle d'une campagne malveillante a reçu du spam, la lettre contenait un lien vers une page du premier niveau. Cette page est un petit document HTML avec un iframe, dont le contenu est chargé à partir d'une page de deuxième niveau. La page de deuxième niveau est une page de destination avec un contenu qui invite le destinataire à installer un certain fichier exécutable. Dans le cas de cette campagne malveillante, les attaquants ont utilisé une page de destination ayant pour thème l'installation du plug-in manquant pour Adobe Reader, de sorte que la page de premier niveau a imité un lien vers un fichier PDF ouvert en mode de visualisation en ligne dans un navigateur. La page de deuxième niveau contient un lien vers un fichier malveillant distribué dans le cadre d'une campagne malveillante, qui sera téléchargé lorsque vous cliquez sur le bouton Télécharger le plug-in .

Une analyse des pages utilisées dans cette campagne a montré que généralement les pages de deuxième niveau se trouvaient sur les domaines des attaquants, tandis que la page de premier niveau et le fichier directement malveillant se trouvaient le plus souvent sur les sites de commerce électronique piratés.

Exemple de structure de page pour la distribution de logiciels malveillants


Par le spam, une victime potentielle reçoit un lien vers un fichier HTML, par exemple hxxps: //www.healthcare4all [.] Co [.] Uk / manuels / Statement00534521 [.] Html . Le fichier HTML par référence contient un élément iframe avec un lien vers le contenu principal de la page; dans cet exemple, le contenu de la page se trouve dans hxxps: // alloaypparel [.] com / view / public / Statement00534521 / PDF / Statement001854 [.] pdf . Comme nous le voyons dans cet exemple, dans ce cas, les attaquants ont utilisé le domaine enregistré, et non le site piraté, pour héberger le contenu de la page. Dans l'interface qui s'affiche via ce lien, il y a un bouton Télécharger le plugin . Si la victime clique sur ce bouton, le fichier exécutable sera téléchargé à partir du lien spécifié dans le code de la page; dans cet exemple, le fichier exécutable est téléchargé sur hxxps: //www.healthcare4all [.] co [.] uk / manuals / Adobe-Reader-PDF-Plugin-2.37.2.exe , c'est -à-dire que le fichier malveillant lui-même est stocké sur le site piraté.

Méphistophèles de notre temps


Une analyse du domaine alloaypparel [.] Com a révélé que la distribution de logiciels malveillants utilisait le kit de phishing Mephistophilus pour créer et déployer des pages de phishing pour distribuer des logiciels malveillants: Mephistophilus utilise plusieurs types de pages de destination qui invitent l'utilisateur à installer le plug-in supposé manquant nécessaire au fonctionnement de l'application. En fait, l'utilisateur sera installé un malware, un lien auquel l'opérateur ajoute via le panneau d'administration Mephistophilus.

Le système Mephistophilus pour les attaques de phishing ciblées a été lancé sur des forums clandestins en août 2016. Il s'agit d'un kit de phishing standard utilisant des contrefaçons Web offrant des téléchargements de logiciels malveillants sous le couvert d'une mise à jour de plugin (MS Word, MS Excel, PDF, YouTube) pour afficher le contenu d'un document ou d'une page. Mephistophilus a été développé et mis en vente par l'utilisateur de forums clandestins sous le surnom de Kokain. Pour réussir l'infection à l'aide d'un kit de phishing, un attaquant doit inviter l'utilisateur à cliquer sur le lien menant à la page générée par Mephistophilus. Quel que soit le sujet de la page de phishing, un message apparaît indiquant que vous devez installer le plug-in manquant pour afficher correctement un document en ligne ou une vidéo YouTube. Pour ce faire, Mephistophilus dispose de plusieurs types de pages de phishing qui imitent des services légitimes:

  • Visionneuse de documents en ligne Microsoft Office365 Word ou Excel
  • Visionneuse PDF en ligne
  • Page de clonage YouTube


Blessé


Dans le cadre de la campagne contre les logiciels malveillants, le groupe criminel ne s'est pas limité à l'utilisation de noms de domaine auto-enregistrés: les attaquants ont également utilisé plusieurs sites de boutiques en ligne qui avaient précédemment été infectés par le renifleur FakeSecurity pour stocker des échantillons de fichiers malveillants distribués.

Au total, 5 liens uniques ont été trouvés vers 5 échantillons uniques de malware, dont 4 ont été stockés sur des sites piratés exécutant CMS Magento:

  • hxxps: //www.healthcare4all [.] co [.] uk / manuals / Adobe-Reader-PDF-Plugin-2.37.2.exe
  • hxxps: //www.genstattu [.] com / doc / Adobe-Reader-PDF-Plugin-2.31.4.exe
  • hxxps: // firstofbanks [.] com / file_d / Adobe-Reader-PDF-Plugin-2.35.8.exe
  • hxxp: // e-cig [.] com / doc / Adobe-Reader-PDF-Plugin-2.31.4.exe
  • hxxp: // thepinetree [.] net / docs / msw070619.exe

Les exemples de logiciels malveillants distribués dans cette campagne sont des exemples du styleur Vidar conçu pour voler les mots de passe des navigateurs et de certaines applications. Il sait également comment collecter des fichiers selon des paramètres spécifiés et les transférer vers le panneau d'administration, ce qui facilite, par exemple, le vol de fichiers de portefeuille de crypto-monnaie. Vidar présente un malware en tant que service: toutes les données collectées sont transmises à la porte, puis envoyées au panneau d'administration centralisée, où chaque acheteur du styliste peut afficher les journaux provenant d'ordinateurs infectés.

Voleur capable


Vidar Styler est apparu en novembre 2018. Il a été développé et mis en vente sur des forums clandestins par un utilisateur sous le pseudonyme de Loadbaks. Selon la description du développeur, Vidar peut voler des mots de passe des navigateurs, des fichiers par certains chemins et masques, des données de carte bancaire, des fichiers de portefeuille froid, de la correspondance Telegram et Skype, ainsi que l'historique de navigation des sites. Le prix de location du styler est de 250 $ à 300 $ par mois. Le panneau d'administration du styler et les domaines utilisés comme portes sont situés sur les serveurs des auteurs Vidar, ce qui réduit les coûts d'infrastructure pour les clients.


Dans le cas du fichier malveillant msw070619.exe , en plus de se propager à l'aide de la page de destination de Mephistophilus, un fichier DOC malveillant BankStatement0040918404.doc (MD5: 1b8a824074b414419ac10f5ded847ef1) a également été détecté, ce qui a déposé ce fichier exécutable sur le disque à l'aide de macros. Le fichier DOC BankStatement0040918404.doc a été joint en tant que pièce jointe à des e-mails malveillants, dont la distribution faisait partie d'une campagne malveillante.


Préparez l'attaque


La lettre détectée (MD5: 53554192ca888cccbb5747e71825facd) a été envoyée à l'adresse de contact du site exécutant CMS Magento, à partir de laquelle on peut conclure que les administrateurs de boutiques en ligne étaient l'une des cibles de la campagne malveillante, et le but de l'infection était d'accéder au Magento et à d'autres panneaux d'administration du commerce électronique -plates-formes pour l'installation ultérieure d'un renifleur et le vol de données client dans les magasins infectés.



Ainsi, le schéma d'infection dans son ensemble comprenait les étapes suivantes:

  1. Les attaquants ont déployé le panneau d'administration du kit de phishing Mephistophilus sur l'hôte alloaypparel [.] Com .
  2. Les attaquants ont placé des logiciels malveillants voleurs de mots de passe malveillants sur des sites légitimes piratés et sur leurs propres sites.
  3. À l'aide d'un kit de phishing, les attaquants ont déployé plusieurs pages de destination pour la distribution de logiciels malveillants, ainsi que créé des documents malveillants avec des macros qui téléchargeaient des logiciels malveillants sur l'ordinateur d'un utilisateur.
  4. Les attaquants ont mené une campagne de spam pour envoyer des lettres contenant des pièces jointes malveillantes, ainsi que des liens vers des pages de destination pour l'installation de logiciels malveillants. Au moins une partie des objectifs de l'attaquant sont les administrateurs des sites de boutiques en ligne.
  5. Lorsque l'ordinateur de l'administrateur a été compromis avec succès, les informations d'identification volées ont été utilisées pour accéder au panneau d'administration du magasin et installer le JS-sniffer pour voler les cartes bancaires des utilisateurs effectuant des paiements sur le site infecté.

Lien vers d'autres attaques


L'infrastructure attaquante a été déployée sur un serveur avec l'adresse IP 200.63.40.2, qui appartient au service de location de serveurs Panamaservers [.] Com . Avant la campagne FakeSecurity, ce serveur était utilisé pour le phishing, ainsi que pour l'hébergement de panneaux administratifs de divers programmes malveillants pour voler des mots de passe.

Sur la base des spécificités de la campagne FakeSecurity, nous pouvons supposer que les panneaux d'administration des stylers Lokibot et AZORUlt situés sur ce serveur pourraient être utilisés lors d'attaques précédentes du même groupe en janvier 2019. Selon cet article , le 14 janvier 2019, des attaquants inconnus ont distribué des logiciels malveillants Lokibot par courrier de masse avec un fichier DOC malveillant en pièce jointe. Le 18 janvier 2019, une liste de diffusion de documents malveillants ayant installé le logiciel malveillant AZORUlt a également été réalisée. L'analyse de cette campagne a révélé les panneaux administratifs suivants situés sur le serveur avec l'adresse IP 200.63.40.2:

  • http [:] // chuxagama [.] com / web-get / Panel / five / PvqDq929BSx_A_D_M1n_a.php (Lokibot)
  • http [:] // umbra-diego [.] com / wp / Panel / five / PvqDq929BSx_A_D_M1n_a.php (Lokibot)
  • http [:] // chuxagama [.] com / web-get / Panel / five / index.php (AZORUlt)

Les noms de domaine chuxagama [.] Com et umbra-diego [.] Com ont été enregistrés par le même utilisateur avec l'adresse e-mail dicksonfletcher@gmail.com. La même adresse a été utilisée pour enregistrer le nom de domaine worldcourrierservices [.] Com en mai 2016, qui a ensuite été utilisé comme site pour la société frauduleuse World Courier Service.

Compte tenu du fait que, dans le cadre de la campagne contre les logiciels malveillants FakeSecurity, les attaquants ont utilisé des logiciels malveillants pour voler des mots de passe et les ont distribués par courrier indésirable, et ont également utilisé un serveur avec une adresse IP de 200.63.40.2, on peut supposer qu'une campagne malveillante a été effectuée en janvier 2019. le même groupe criminel.

Indicateurs


Nom du fichier Adobe-Reader-PDF-Plugin-2.37.2.exe

  • MD5 3ec1ac0be981ce6d3f83f4a776e37622
  • SHA-1 346d580ecb4ace858d71213808f4c75341a945c1
  • SHA-256 6ec8b7ce6c9858755964f94acdf618773275589024e2b66583e3634127b7e32c
  • Taille 615984

Nom du fichier Adobe-Reader-PDF-Plugin-2.31.4.exe

  • MD5 58476e1923de46cd4b8bee4cdeed0911
  • SHA-1 aafa9885b8b686092b003ebbd9aaf8e604eea3a6
  • SHA-256 15abc3f55703b89ff381880a10138591c6214dee7cc978b7040dd8b1e6f96297
  • Taille 578048

Nom du fichier Adobe-Reader-PDF-Plugin-2.35.8.exe

  • MD5 286096c7e3452aad4acdc9baf897fd0c
  • SHA-1 26d71553098b5c92b55e49db85c719f5bb366513
  • SHA-256 af04334369878408898a223e63ec50e1434c512bc21d919769c97964492fee19
  • Taille 1069056

Nom du fichier Adobe-Reader-PDF-Plugin-2.31.4.exe
  • MD5 fd0e11372a4931b262f0dd21cdc69c01
  • SHA-1 54d34b6a6c4dc78e62ad03713041891b6e7eb90f
  • SHA-256 4587da5dca2374fd824a15e434dae6630b24d6be6916418cee48589aa6145ef6
  • Taille 856576


Nom du fichier msw070619.exe

  • MD5 772db176ff61e9addbffbb7e08d8b613
  • SHA-1 6ee62834ab3aa4294eebe4a9aebb77922429cb45
  • SHA-256 0660059f3e2fb2ab0349242b4dde6bf9e37305dacc2da870935f4bede78aed34
  • Taille 934448


  • fiswedbesign [.] com
  • alloaypparel [.] com
  • firstofbanks [.] com
  • magento-security [.] org
  • mage-security [.] org


  • https [:] // www [.] Healthcare4all [.] co [.] uk / manuals / Adobe-Reader-PDF-Plugin-2.37.2.exe
  • https [:] // www [.] genstattu [.] com / doc / Adobe-Reader-PDF-Plugin-2.31.4.exe
  • https [:] // firstofbanks [.] com / file_d / Adobe-Reader-PDF-Plugin-2.35.8.exe
  • http [:] // e-cig [.] com / doc / Adobe-Reader-PDF-Plugin-2.31.4.exe
  • http [:] // thepinetree [.] net / docs / msw070619.exe

Source: https://habr.com/ru/post/fr475264/

More articles:


All Articles