2022年稍早,一个以电子商务网站为目标的网络黑客组织曾发起过一次“多环节故意主题活动”,目地是散播一个信息内容盗取程序流程和根据javascript的借记卡盗取程序流程。
马来西亚网络信息安全企业Group-IB近期根据追踪科学研究,发觉此次进攻的网络黑客运用了JavaScript-sniffers (JS-sniffers),早在2019年,Group-IB的权威专家就明确了最少38个不一样的JS-sniffer大家族,现阶段这一数据仍在持续提高,早已超出了PC和Android的金融机构木马病毒总数。
大部分JS-sniffer大家族的制定目地是以特殊CMS(内容管理系统)上运转的企业网站的付款表格中盗取信息内容,殊不知也是有通用性的,她们可以从付款表格中盗取信息内容,而且不用对于特殊网址开展改动。
此次进攻主题活动共有四波开展,从2月逐渐到9月完毕,网络攻击们运用自定的垂钓网页页面,引诱含有故意宏的文档将Vidar和Raccoon信息内容盗取系统软件下载到受害人系统软件中。Raccoon是一款用以刑侦和信息收集的专用工具。它将为大家进行从获得DNS纪录,TLS数据信息,WHOIS信息搜索,WAF存有检验及其文件目录工程爆破,子域名枚举类型等全部实际操作,每一次扫描结果都可能輸出储存到对应的资料中。
科学研究工作人员强调,进攻的最后目标是利用几类进攻媒体和设备来盗取付款和客户数据信息,以散播恶意程序。
这种虚报网页页面是应用Mephistophilus垂钓模块建立的,该模块容许网络攻击建立和布署用以散播恶意程序的垂钓登陆页面。
上年11月,Group-IB的分析员工在一份对于该互联网犯罪团伙对策的数据分析报告中表述道:
“网络攻击将仿冒的网页页面连接发给受害人,以告之受害人缺乏恰当表明文本文档需要的软件。假如使用者安装了该软件,则它们的电子计算机感染了盗取登陆密码的恶意程序。”
在2月和3月的第一波进攻中,客户应用了Vidar登陆密码盗取程序流程来阻拦客户电脑浏览器和各种各样程序的登陆密码,接着的进攻换为了Raccoon 盗取程序流程和AveMaria RAT以达到其目标。
Vidar是一种相比较新的恶意程序方式,它的目标是很多受害人的信息内容,包含登陆密码、文本文档、屏幕截屏、电脑浏览器历史数据、信息数据信息、银行信用卡详细资料乃至储存在双要素身份认证手机软件中的数据信息。
Vidar还能够精准定位储存BTC和别的数字货币的虚似钱夹,且它有着相对高度可订制性。
上年,Cybereason初次曝出了Raccoon,它有着普遍的作用,可以利用与指令操纵(C2)网络服务器通讯来盗取数据信息,包含截屏、银行信用卡信息内容、数字货币钱夹、储存的电脑浏览器登陆密码、电子邮箱和系统信息。
Raccoon的与众不同之处取决于,除开根据闲聊服务项目为小区问题和评价给予24×7用户适用以外,它还根据向一个电文频道栏目(“blintick”)发出请求来接受C2网络服务器的数据加密详细地址,进而绕开了C2网络服务器的监管。
一样,AveMaria RAT也可以保证持续性、纪录数字键盘信息内容、引入恶意程序和泄露比较敏感文档等。
Vidar和Raccoon都根据地底社区论坛以故意saas模式(MaaS)的方式售卖,Vidar盗取程序流程的房租从每个月250美金到300美元不一,而Raccoon每个月的服务费为200美金。
除开以上四个环节外,Group-IB还观查到了一个转折期,即2020年5月至2020年9月,在这里环节,高达20个在线商店都感染了FakeSecurity大家族中通过梯度下降法的JS-sniffer。
有意思的是,用以散播Vidar和Raccoon的盗取程序流程的基础设施建设被再次应用来储存嗅探工具编码和搜集失窃储蓄卡数据信息,这才促使科学研究工作人员将这两个主题活动联络在一起。
这类发展趋势又说明,即使稽查组织已经勤奋处理网络诈骗问题,网络攻击也已经加紧努力,盗取电子商务网站的支付信息内容。2022年一月月初,国际刑警组织运用Group-IB给予的数据调查取证直接证据,拘捕了三个与“GetBilling”组织相关的人。
文中翻譯自:https://thehackernews.com/2020/12/payment-card-skimmer-group-using.html