一个网络犯罪组织，专门感染网店窃取支付卡数据，对近700家网站和十几家第三方服务提供商造成了损害。

通过一家会员卡商店出售被盗的支付信息，每周获利数万美元。

该团伙名为UltraRank，至少从2015年起就活跃起来，他们使用了多个网络浏览器，恶意JavaScript代码，也称为JS嗅探器。

恶意代码注入

Group-IB的安全研究人员说，多年来，UltraRank改变了策略和基础架构。导致他们的活动与不同的团体都能联系起来，这给调查人员增加了调查难度。

在本周的一份技术报告中，研究人员提供了证据，证明UltraRank是Magecart第2、5和12组事件的幕后推手。

“ UltraRank远远超出了普通JS嗅探器运营商的概念，开发了一种具有独特技术和组织结构的自主商业模式”-Group-IB

在2015年，2016年和2018年发起的三项长期活动中，该团伙能在691个流量较大的个人网站（如体育赛事门票经销商）上植入JS嗅探器。

然而，考虑到该组织对13家web服务提供商（设计、营销、开发、广告、浏览器）的黑客攻击，他们的恶意软件可能被全球数千家网站使用。

这些受害者中包括法国  在线广告商Adverline  和广告/营销公司Brandit Agency，Brandit Agency还开发了运行Magento电子商务平台的网站。

线索

这种威胁攻击的三个事件都依赖于JS嗅探器，Group-IB将其称为FakeLogistics，WebRank和SnifLite。它们采用一些共同的功能和基础结构，这些功能和基础结构允许将恶意活动跟踪到该组织的首次攻击：

· 隐藏服务器位置和域注册模式的类似方法

· 在不同域名的多个位置存储相同的恶意代码

· 混合供应链和单目标攻击

调查起点是主机“ toplevelstatic [.] com”，该主机托管了一个JS嗅探器，该嗅探器用于破坏Brandit Agency。同一域中存储的文件存在于其他位置，并用于攻击其他在线商店。

UltraRank从此活动中赚了很多钱。从论坛出售盗窃卡数据的统计数据中，Group-IB获悉，黑客在2019年末的一周内赚了50,000美元。

他们通过ValidCC实现了货币化，ValidCC是一家出售被盗支付数据的知名商店。不过，他们与这家非法商店的合作不仅仅是出售信用卡，因为UltraRank还利用其基础设施攻击冒充ValidCC的钓鱼网站。

技术证据清楚地表明了UltraRank与ValidCC之间的联系。该连接是该商店使用的三个域的SSL证书，该证书也出现在UltraRank的基础架构上。

专业市场与盗取网店银行卡团伙之间的合作表明，网络犯罪分子精心组织、微调了经营活动，以获取最高利润。

Group-IB的威胁情报分析师Victor Okorokov说，JS嗅探器[Magecart]是用于破坏银行卡数据的工具的演变，从而使攻击的资源消耗更少。

参考及来源：https://www.bleepingcomputer.com/news/security/ultrarank-hackers-steal-credit-cards-from-hundreds-of-stores/