Geekly articles weekly

Sniffer yang bisa: bagaimana keluarga FakeSecurity menginfeksi toko online



Pada bulan Desember 2018, spesialis Grup-IB menemukan keluarga penghirup baru bernama FakeSecurity . Mereka digunakan oleh satu kelompok kriminal yang menginfeksi situs yang dijalankan oleh CMS Magento. Sebuah analisis menunjukkan bahwa dalam kampanye baru-baru ini, penyerang melakukan serangan menggunakan malware untuk mencuri kata sandi. Para korban adalah pemilik situs belanja online yang terinfeksi dengan sniffer JS. Pusat Respons Insiden Keamanan Informasi Kelompok CERT-IB memperingatkan sumber daya yang diserang, dan analis Ancaman Kelompok-IB Viktor Okorokov memutuskan untuk berbicara tentang bagaimana mungkin mengidentifikasi kegiatan kriminal.

Ingatlah bahwa pada bulan Maret 2019, Group-IB menerbitkan laporan "Kejahatan tanpa hukuman: analisis keluarga sniffer JS", yang menganalisis 15 keluarga dari berbagai snifers JS yang digunakan untuk menginfeksi lebih dari dua ribu situs toko online.

Alamat tunggal


Selama infeksi, penyerang menyuntikkan tautan ke skrip berbahaya ke dalam kode situs, skrip ini dimuat dan pada saat pembayaran untuk barang dicegat data pembayaran pengunjung toko online, dan kemudian mengirimnya ke server penyerang. Pada tahap awal serangan menggunakan FakeSecurity, skrip berbahaya dan gerbang sniffer sendiri berada di domain keamanan-magento [.] Yang sama.


Kemudian, beberapa situs Magento terinfeksi dengan keluarga sniffer yang sama, tetapi kali ini para penyerang menggunakan nama domain baru untuk meng-host kode berbahaya:

  • fiswedbesign [.] com
  • alloaypparel [.] com

Kedua nama domain ini terdaftar di alamat email yang sama greenstreethunter @ india [.] Com . Alamat yang sama diberikan pada saat pendaftaran nama domain ketiga firstofbanks [.] Com .


Permintaan meyakinkan


Analisis dari tiga domain baru yang digunakan oleh kelompok kejahatan FakeSecurity mengungkapkan bahwa beberapa dari mereka terlibat dalam kampanye distribusi malware, yang dimulai pada Maret 2019. Penyerang mendistribusikan tautan ke halaman yang mengatakan bahwa pengguna perlu menginstal plug-in yang hilang untuk tampilan dokumen yang benar. Jika pengguna mulai mengunduh aplikasi, komputernya terinfeksi malware untuk mencuri kata sandi.


Secara total, 11 tautan unik terungkap yang mengarah ke halaman palsu yang mendorong pengguna untuk memasang malware.

  • hxxps: //www.etodoors.com/uploads/Statement00534521 [.] html
  • hxxps: //www.healthcare4all.co.uk/manuals/Statement00534521 [.] html
  • hxxps: //www.healthcare4all.co.uk/lib/Statement001845 [.] html
  • hxxps: //www.healthcare4all.co.uk/doc/BankStatement001489232 [.] html
  • hxxp: //verticalinsider.com/bookmarks/Bank_Statement0052890 [.] html
  • hxxp: //thepinetree.net/n/docs/Statement00159701 [.] html
  • hxxps: //www.readicut.co.uk/media/pdf/Bank_Statement00334891 [.] html
  • hxxp: //www.e-cig.com/doc/pdf/eStmt [.] html
  • hxxps: //www.genstattu.com/doc/PoliceStatement001854 [.] html
  • hxxps: //www.tokyoflash.com/pdf/statment001854 [.] html
  • hxxps: //www.readicut.co.uk/media/pdf/statment00789 [.] html

Seorang calon korban dari kampanye jahat menerima email spam, surat itu berisi tautan ke halaman dari tingkat pertama. Halaman ini adalah dokumen HTML kecil dengan iframe, konten yang dimuat dari halaman level kedua. Halaman tingkat kedua adalah halaman arahan dengan konten yang meminta penerima untuk menginstal file yang dapat dieksekusi tertentu. Dalam kasus kampanye jahat ini, para penyerang menggunakan halaman arahan dengan tema menginstal plug-in yang hilang untuk Adobe Reader, sehingga halaman tingkat pertama meniru tautan ke file PDF yang dibuka dalam mode tampilan online di browser. Halaman tingkat kedua berisi tautan ke file jahat yang didistribusikan sebagai bagian dari kampanye jahat, yang akan diunduh ketika tombol Unduh plugin diklik.

Analisis halaman yang digunakan dalam kampanye ini menunjukkan bahwa biasanya halaman level kedua terletak di domain para penyerang, sedangkan halaman level pertama dan file berbahaya langsung paling sering di situs e-commerce yang diretas.

Contoh struktur halaman untuk distribusi malware


Melalui spam, calon korban menerima tautan ke file HTML, misalnya, hxxps: //www.healthcare4all [.] Co [.] Uk / manuals / Statement00534521 [.] Html . File HTML dengan referensi berisi elemen iframe dengan tautan ke konten utama halaman; dalam contoh ini, konten halaman terletak di hxxps: // alloaypparel [.] com / view / public / Statement00534521 / PDF / Statement001854 [.] pdf . Seperti yang kita lihat dari contoh ini, dalam hal ini, penyerang menggunakan domain terdaftar, dan bukan situs yang diretas, untuk meng-host konten halaman. Di antarmuka yang ditampilkan melalui tautan ini, ada tombol Unduh plugin . Jika korban mengklik tombol ini, file yang dapat dieksekusi akan diunduh dari tautan yang ditentukan dalam kode halaman; dalam contoh ini, file yang dapat dieksekusi diunduh di hxxps: //www.healthcare4all [.] co [.] uk / manuals / Adobe-Reader-PDF-Plugin-2.37.2.exe , yaitu, file jahat itu sendiri disimpan di situs yang diretas.

Mephistopheles zaman kita


Analisis domain alloaypparel [.] Com mengungkapkan bahwa distribusi malware menggunakan kit phishing Mephistophilus untuk membuat dan menggunakan halaman phising untuk mendistribusikan malware: Mephistophilus menggunakan beberapa jenis halaman arahan yang meminta pengguna untuk menginstal plug-in yang diduga hilang yang diperlukan untuk aplikasi agar berfungsi. Bahkan, pengguna akan menginstal malware, tautan yang ditambahkan operator melalui panel administratif Mephistophilus.

Sistem Mephistophilus untuk serangan phishing yang ditargetkan diluncurkan pada forum klandestin pada bulan Agustus 2016. Ini adalah kit phishing standar menggunakan web fakes yang menawarkan unduhan malware dengan kedok pembaruan plugin (MS Word, MS Excel, PDF, YouTube) untuk melihat konten dokumen atau halaman. Mephistophilus dikembangkan dan dirilis untuk dijual oleh pengguna forum bawah tanah dengan julukan Kokain. Agar berhasil menginfeksi menggunakan kit phishing, penyerang perlu meminta pengguna untuk mengklik tautan yang mengarah ke halaman yang dibuat oleh Mephistophilus. Terlepas dari topik halaman phishing, muncul pesan bahwa Anda perlu menginstal plug-in yang hilang untuk tampilan dokumen online atau video YouTube yang benar. Untuk melakukan ini, Mephistophilus memiliki beberapa jenis halaman phishing yang meniru layanan yang sah:

  • Microsoft Office365 Word atau Excel Online Document Viewer
  • Penampil PDF online
  • Halaman klon YouTube


Terluka


Sebagai bagian dari kampanye malware, kelompok kriminal tidak terbatas menggunakan nama domain yang didaftarkan sendiri: penyerang juga menggunakan beberapa situs toko online yang sebelumnya telah terinfeksi dengan sniffer FakeSecurity untuk menyimpan sampel file berbahaya yang didistribusikan.

Secara total, 5 tautan unik ditemukan ke 5 sampel malware unik, 4 di antaranya disimpan di situs yang diretas yang menjalankan CMS Magento:

  • hxxps: //www.healthcare4all [.] co [.] uk / manuals / Adobe-Reader-PDF-Plugin-2.37.2.exe
  • hxxps: //www.genstattu [.] com / doc / Adobe-Reader-PDF-Plugin-2.31.4.exe
  • hxxps: // firstofbanks [.] com / file_d / Adobe-Reader-PDF-Plugin-2.35.8.exe
  • hxxp: // e-cig [.] com / doc / Adobe-Reader-PDF-Plugin-2.31.4.exe
  • hxxp: //tiga puluh [.] net / docs / msw070619.exe

Sampel malware yang didistribusikan dalam kampanye ini adalah sampel dari styler Vidar yang dirancang untuk mencuri kata sandi dari browser dan beberapa aplikasi. Dia juga tahu cara mengumpulkan file sesuai dengan parameter yang ditentukan dan mentransfernya ke panel administrasi, yang memfasilitasi, misalnya, pencurian file dompet cryptocurrency. Vidar menghadirkan malware-as-a-service: semua data yang dikumpulkan ditransmisikan ke gerbang, dan kemudian dikirim ke panel administrasi terpusat, di mana setiap pembeli styler dapat melihat log yang berasal dari komputer yang terinfeksi.

Pencuri yang cakap


Vidar Styler muncul pada November 2018. Ini dikembangkan dan disiapkan untuk dijual di forum bawah tanah oleh pengguna di bawah nama samaran Loadbaks. Menurut deskripsi pengembang, Vidar dapat mencuri kata sandi dari browser, file dengan jalur dan topeng tertentu, data kartu bank, file dompet dingin, korespondensi Telegram dan Skype, serta riwayat penelusuran situs. Harga sewa styler adalah dari $ 250 hingga $ 300 per bulan. Panel admin styler dan domain yang digunakan sebagai gerbang terletak di server penulis Vidar, yang mengurangi biaya infrastruktur untuk pelanggan.


Dalam kasus file berbahaya msw070619.exe , selain menyebar menggunakan halaman pendaratan Mephistophilus, file DOC jahat BankStatement0040918404.doc (MD5: 1b8a824074b414419ac10f5ded847ef1) juga terdeteksi, yang menjatuhkan file yang dapat dieksekusi ini ke disk menggunakan makro. File DOC BankStatement0040918404.doc dilampirkan sebagai lampiran email berbahaya, yang distribusinya merupakan bagian dari kampanye jahat.


Siapkan serangan


Surat yang terdeteksi (MD5: 53554192ca888cccbb5747e71825facd) dikirim ke alamat kontak situs yang menjalankan CMS Magento, dari mana dapat disimpulkan bahwa administrator toko online adalah salah satu target kampanye berbahaya, dan tujuan infeksi adalah akses ke panel administrasi Magento dan e-commerce lainnya. -platform untuk pemasangan sniffer dan pencurian data pelanggan selanjutnya dari toko yang terinfeksi.



Dengan demikian, skema infeksi secara keseluruhan terdiri dari langkah-langkah berikut:

  1. Para penyerang mengerahkan panel administrasi Mephistophilus Phishing Kit pada host alloaypparel [.] Com .
  2. Penyerang menempatkan malware berbahaya untuk pencurian kata sandi di situs-situs resmi yang diretas dan di situs mereka sendiri.
  3. Menggunakan kit phishing, penyerang menyebarkan beberapa halaman arahan untuk distribusi malware, serta membuat dokumen berbahaya dengan makro yang mengunduh malware ke komputer pengguna.
  4. Penyerang melakukan kampanye spam untuk mengirim surat dengan lampiran jahat, serta dengan tautan ke halaman arahan untuk menginstal malware. Setidaknya bagian dari tujuan penyerang adalah administrator situs toko online.
  5. Ketika komputer administrator berhasil dikompromikan, kredensial yang dicuri digunakan untuk mengakses panel administrasi toko dan menginstal sniffer JS untuk mencuri kartu bank pengguna yang melakukan pembayaran di situs yang terinfeksi.

Tautan ke serangan lain


Infrastruktur menyerang digunakan pada server dengan alamat IP 200.63.40.2, yang dimiliki oleh Panamaservers [.] Layanan sewa server Com . Sebelum kampanye FakeSecurity, server ini digunakan untuk phising, dan juga untuk hosting panel administratif dari berbagai program jahat untuk mencuri kata sandi.

Berdasarkan spesifik dari kampanye FakeSecurity, kita dapat mengasumsikan bahwa panel administratif dari styler Lokibot dan AZORUlt yang terletak di server ini dapat digunakan dalam serangan sebelumnya dari grup yang sama pada Januari 2019. Menurut artikel ini , pada tanggal 14 Januari 2019, penyerang tidak dikenal mendistribusikan malware Lokibot melalui surat massal dengan file DOC berbahaya dalam lampiran. Pada 18 Januari 2019, sebuah milis dokumen berbahaya yang memasang malware AZORUlt juga dilakukan. Analisis kampanye ini mengungkapkan panel administratif berikut yang terletak di server dengan alamat IP 200.63.40.2:

  • http [:] // chuxagama [.] com / web-memperoleh / Panel / five / PvqDq929BSx_A_D_M1n_a.php (Lokibot)
  • http [:] // umbra-diego [.] com / wp / Panel / five / PvqDq929BSx_A_D_M1n_a.php (Lokibot)
  • http [:] // chuxagama [.] com / web-memperoleh / Panel / five / index.php (AZORUlt)

Nama domain chuxagama [.] Com dan umbra-diego [.] Com didaftarkan oleh pengguna yang sama dengan alamat email dicksonfletcher@gmail.com. Alamat yang sama digunakan untuk mendaftarkan worldcourrierservices [.] Nama domain com pada Mei 2016, yang kemudian digunakan sebagai situs untuk perusahaan penipuan World Courier Service.

Berdasarkan fakta bahwa, sebagai bagian dari kampanye malware FakeSecurity, penyerang menggunakan malware untuk mencuri kata sandi dan mendistribusikannya melalui email spam, dan juga menggunakan server dengan alamat IP 200.63.40.2, dapat diasumsikan bahwa kampanye jahat dilakukan pada Januari 2019 kelompok kriminal yang sama.

Indikator


Nama file Adobe-Reader-PDF-Plugin-2.37.2.exe

  • MD5 3ec1ac0be981ce6d3f83f4a776e37622
  • SHA-1 346d580ecb4ace858d71213808f4c75341a945c1
  • SHA-256 6ec8b7ce6c9858755964f94acdf618773275589024e2b66583e3634127b7e32c
  • Ukuran 615984

Nama file Adobe-Reader-PDF-Plugin-2.31.4.exe

  • MD5 58476e1923de46cd4b8bee4cdeed0911
  • SHA-1 aafa9885b8b686092b003ebbd9aaf8e604eea3a6
  • SHA-256 15abc3f55703b89ff381880a10138591c6214dee7cc978b7040dd8b1e6f96297
  • Ukuran 578048

Nama file Adobe-Reader-PDF-Plugin-2.35.8.exe

  • MD5 286096c7e3452aad4acdc9baf897fd0c
  • SHA-1 26d71553098b5c92b55e49db85c719f5bb366513
  • SHA-256 af04334369878408898a223e63ec50e1434c512bc21d919769c97964492fee19
  • Ukuran 1069056

Nama file Adobe-Reader-PDF-Plugin-2.31.4.exe
  • MD5 fd0e11372a4931b262f0dd21cdc69c01
  • SHA-1 54d34b6a6c4dc78e62ad03713041891b6e7eb90f
  • SHA-256 4587da5dca2374fd824a15e434dae6630b24d6be6916418cee48589aa6145ef6
  • Ukuran 856576


Nama file msw070619.exe

  • MD5 772db176ff61e9addbffbb7e08d8b613
  • SHA-1 6ee62834ab3aa4294eebe4a9aebb77922429cb45
  • SHA-256 0660059f3e2fb2ab0349242b4dde6bf9e37305dacc2da870935f4bede78aed34
  • Ukuran 934448


  • fiswedbesign [.] com
  • alloaypparel [.] com
  • firstofbanks [.] com
  • magento-security [.] org
  • mage-security [.] org


  • https [:] // www [.] medical4all [.] co [.] uk / manuals / Adobe-Reader-PDF-Plugin-2.37.2.exe
  • https [:] // www [.] genstattu [.] com / doc / Adobe-Reader-PDF-Plugin-2.31.4.exe
  • https [:] // firstofbanks [.] com / file_d / Adobe-Reader-PDF-Plugin-2.35.8.exe
  • http [:] // e-cig [.] com / doc / Adobe-Reader-PDF-Plugin-2.31.4.exe
  • http [:] // thepinetree [.] net / docs / msw070619.exe

Source: https://habr.com/ru/post/id475264/

More articles:


All Articles