一个网络犯罪组织,专门感染网上商店以窃取支付卡数据。负责破坏将近700个网站和十多个第三方服务提供商。
该团伙名为UltraRank,至少从2015年起就活跃起来,使用了多个网络浏览器,恶意JavaScript代码,也称为JS嗅探器。
该团伙正在通过会员卡商店出售偷窃的付款信息,每周赚取数万美元。
Group-IB的安全研究人员说,多年来,UltraRank改变了策略和基础架构。这使得调查人员很难将行动联系起来,并使他们的战役与不同的小组相关联。
在 本周的 技术报告中,研究人员提供了证据,证明UltraRank是归因于Magecart 第2、5和12组事件的幕后黑手。
“ UltraRank远远超越了普通的JS嗅探器操作员的概念,它开发了具有独特技术和组织结构的自主业务模型”-Group-IB
在2015年,2016年和2018年发起的三项长期运动中,该团伙能够在体育赛事门票转售商等流量巨大的691个个人网站上植入JS嗅探器 。
但是, 考虑到该组织黑客入侵了可能由全球数千个站点使用的13个Web服务提供商(设计,营销,开发,广告,浏览器通知),这一 数字是保守的。
“通过将恶意代码注入这些公司提供的产品的脚本中,这些脚本随后被放置在在线商店的网络资源上,网络犯罪分子能够在所有使用受感染脚本的在线商店中拦截客户银行卡数据” –组-IB
这些受害者中包括法国 在线广告商Adverline 和广告/营销公司The Brandit Agency,该公司还开发了运行Magento电子商务平台的网站。
线索线索
来自此威胁参与者的三个活动依赖于JS嗅探器,Group-IB将其称为FakeLogistics,WebRank和SnifLite。它们共享一些共同的功能和基础结构,这些功能和基础结构允许将恶意活动跟踪到该组织的首次攻击:
-
隐藏服务器位置和域注册模式的类似方法
-
将相同的恶意代码存储在具有不同域名的多个位置
-
混合供应链和单目标攻击
调查的出发点是主机“ toplevelstatic [。] com”,该主机托管了一个JS嗅探器,该嗅探器用于危害The Brandit Agency。同一域中存储的文件存在于其他位置,并用于攻击其他在线商店。
研究人员OldGrelos和LoadReplay命名的另外两个操作使用了类似于WebRank嗅探器系列的JavaScript和注入器代码。
UltraRank从这项活动中赚了很多钱。从论坛上出售盗窃卡数据的统计数据中,Group-IB获悉,黑客在2019年末的一周内赚了50,000美元。
可以通过有效的商店ValidCC来获利,该商店出售被盗的付款数据。与非法商店的合作不仅限于出售卡,因为UltraRank还利用其基础结构来攻击冒充ValidCC的网络钓鱼网站。
技术证据清楚地表明了UltraRank与ValidCC之间的联系。该连接是该商店使用的三个域的SSL证书,该证书也出现在UltraRank的基础架构上。
专门市场和帮派从网上商店窃取银行卡的合作表明,网络犯罪分子已经组织并微调其操作以获取最高利润。
Group-IB的威胁情报分析师Victor Okorokov说,JS嗅探器[Magecart]是用于破坏银行卡数据的工具的演变,从而使攻击的资源消耗更少。
【安全圈】盐城网警破获特大第四方支付网络黑产案
【安全圈】央视曝光!6亿快递单号被卖,9家快递公司参与
【安全圈】特斯拉员工放弃百万雇佣金 与 FBI 携手抓捕黑客
【安全圈】俄公民因意图向美国公司植入恶意软件而被捕
【安全圈】伊朗的新手黑客通过RDP端口传播Dharma勒索软件
【安全圈】TeamViewer中的严重崩溃使密码暴露
【安全圈】朝鲜黑客以GDPR引诱加密货币系统管理员
【安全圈】9万服务器受影响 ,宝塔紧急出修复方案,快起来修漏洞
【安全圈】刚刚,字节跳动宣布8月25日起诉特朗普政府!
【安全圈】Google修复了主要的gmail漏洞
【安全圈】南非益百利披露数据泄露影响2400万客户
【安全圈】涉案 3000 余万!苏州破获虚拟货币黑客案
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论