一个网络犯罪组织,专门感染网店窃取支付卡数据,对近700家网站和十几家第三方服务提供商造成了损害。
通过一家会员卡商店出售被盗的支付信息,每周获利数万美元。
该团伙名为UltraRank,至少从2015年起就活跃起来,他们使用了多个网络浏览器,恶意JavaScript代码,也称为JS嗅探器。
恶意代码注入
Group-IB的安全研究人员说,多年来,UltraRank改变了策略和基础架构。导致他们的活动与不同的团体都能联系起来,这给调查人员增加了调查难度。
在本周的一份技术报告中,研究人员提供了证据,证明UltraRank是Magecart第2、5和12组事件的幕后推手。
“ UltraRank远远超出了普通JS嗅探器运营商的概念,开发了一种具有独特技术和组织结构的自主商业模式”-Group-IB
在2015年,2016年和2018年发起的三项长期活动中,该团伙能在691个流量较大的个人网站(如体育赛事门票经销商)上植入JS嗅探器。
然而,考虑到该组织对13家web服务提供商(设计、营销、开发、广告、浏览器)的黑客攻击,他们的恶意软件可能被全球数千家网站使用。
通过将恶意代码注入这些公司提供的产品的脚本中,这些脚本随后被放置在在线商店的网络资源上,网络犯罪分子能够在所有使用了受感染脚本的在线商店中拦截客户的银行卡数据
这些受害者中包括法国 在线广告商Adverline 和广告/营销公司Brandit Agency,Brandit Agency还开发了运行Magento电子商务平台的网站。
线索
这种威胁攻击的三个事件都依赖于JS嗅探器,Group-IB将其称为FakeLogistics,WebRank和SnifLite。它们采用一些共同的功能和基础结构,这些功能和基础结构允许将恶意活动跟踪到该组织的首次攻击:
- 隐藏服务器位置和域注册模式的类似方法
- 在不同域名的多个位置存储相同的恶意代码
- 混合供应链和单目标攻击
调查起点是主机“ toplevelstatic [.] com”,该主机托管了一个JS嗅探器,该嗅探器用于破坏Brandit Agency。同一域中存储的文件存在于其他位置,并用于攻击其他在线商店。
UltraRank从此活动中赚了很多钱。从论坛出售盗窃卡数据的统计数据中,Group-IB获悉,黑客在2019年末的一周内赚了50,000美元。
他们通过ValidCC实现了货币化,ValidCC是一家出售被盗支付数据的知名商店。不过,他们与这家非法商店的合作不仅仅是出售信用卡,因为UltraRank还利用其基础设施攻击冒充ValidCC的钓鱼网站。
技术证据清楚地表明了UltraRank与ValidCC之间的联系。该连接是该商店使用的三个域的SSL证书,该证书也出现在UltraRank的基础架构上。
专业市场与盗取网店银行卡团伙之间的合作表明,网络犯罪分子精心组织、微调了经营活动,以获取最高利润。
Group-IB的威胁情报分析师Victor Okorokov说,JS嗅探器[Magecart]是用于破坏银行卡数据的工具的演变,从而使攻击的资源消耗更少。
本文翻译自:
https://www.bleepingcomputer.com/news/security/ultrarank-hackers-steal-credit-cards-from-hundreds-of-stores/