Bir suç planı genellikle diğerine yol açar. Bu blog, bir kredi kartı korsanını ve diğer kötü amaçlı hizmetlerle olan bağlarını araştırıyor.
Bu blog yazısı Jérôme Segura tarafından yazılmıştır.
Çevrimiçi suçlular, özellikle de mecbur kalmadıkları zamanlarda, nadiren tekerleği yeniden icat ederler. Fidye yazılımlarından şifre hırsızlarına kadar, hemen hemen herkesin hızlı bir başlangıç yapmasına izin veren çeşitli yeraltı pazarlarında satın alınabilecek çok sayıda araç seti vardır.
Taramalarımızdan biri sırasında, e-ticaret sitelerini ve onların müşterilerini hedefleyen ‘Mr.SNIFFA’ çerçevesini kullanan bir skimmer tespit ettik. Son yıllarda, bu skimmer, kötü amaçlı kodunu yüklemek ve çalınan kredi kartı verilerini sızdırmak için çeşitli şaşırtma tekniklerinin yanı sıra steganografiyi benimsedi. Magecart tehdit aktörleri, alan adlarını genellikle üçüncü taraf kitaplıklardan veya Google Analytics’ten sonra seçse de, bu durumda daha önce görmediğimiz kriptodan ilham alan bir temayla gittiler.
Rusya merkezli barındırma sağlayıcısı DDoS-Guard’da deniz süpürücüsünün altyapısını daha derinlemesine incelerken, kripto para dolandırıcılığı, Bitcoin karıştırıcıları, kötü amaçlı yazılım dağıtım siteleri ve çok daha fazlası için bir dijital suç cenneti ile karşılaştık. Bu blog gönderisi, deniz süpürücüsünün ve suçla dolu ekosisteminin teknik ayrıntılarını kapsayacak.
genel bakış
Web’de kötü amaçlı kod ararken, HTML kodunu, JavaScript bağımlılıklarını ve yönlendirmeleri inceleme eğilimindeyiz. Bazı saldırıları ilginç kılan şey, bariz işaretler bırakmaktan kasıtlı olarak nasıl kaçınacakları, yalnızca bir kez veya belki de dinamik olarak bazı masum formatlarda yüklenmeye çalışacaklarıdır.
Bu durumda, American Entrepreneur ve BTC destekçisi Michael J. Saylor’un (saylor2xbtc) adını taşıyan harici bir web sitesine bağlantı enjekte edilmiş bir e-ticaret sitesi gördük.[.]com). Bu skimmer enjekte edilmiş bulduğumuz sitelerin kripto para birimleri ile hiçbir ilgisi olmadığını not etmeliyiz. Ancak, bu sektöre yönelik ilgi daha önce de gösterildi ve muhtemelen bu tür saldırılar hala oluyor.
Şekil 1: Skimmer saldırı zinciri
Skimmer kodu, DOM’da dinamik olarak açıldığından, kart ödeme ayrıntılarını toplayacak ve bunları benzer bir şekilde dışarı sızdıracaktır. Bir sonraki bölümde, bu veri toplama ve sızdırma sürecinde tam olarak ne olduğunu göstereceğiz.
Şekil 2: Fiddler trafik yakalama
Teknik detaylar
Bay SNIFF parlıyor
2020 baharında bir reklam yeni bir skimmer için bir suç forumuna gönderildi. mr.SNIFFA adlı ürün, tarayıcı araçları kullanılarak görülemeyen bir koda sahip olduğunu iddia ediyor ve farklı tarayıcılarda çalışıyor. Daha da önemlisi, yazar ücretsiz hata düzeltmeleri ve 7/24 destek sunuyor.
Şekil 3: Reklamı yapılan yeni ürün hakkında tweet
Görünüşe göre bu vaatlerden bazıları, skimmer’ı gizleyen akıllı bir özellik olarak doğruydu. uygulandı daha sonra:
Şekil 4: mr.SNIFFA’nın koduna güncelleme
yükleyici
Bu son gözden geçirme saldırısına geri dönecek olursak, ilk ilginç parça elon2xmusk’tan yüklenen JavaScript’tir.[.]com. Yarısına kadar aşağı kaydırmanız gerekir ve bir dizi sekme girişinden sonra, sonunda hafifçe gizlenmiş bazı kodlar görebilirsiniz.
Şekil 5: Başında ve sonunda boşluk bulunan yükleyici
Bu yükleyici, (2xdepp) adresinde barındırılan özel bir CSS dosyasını yüklemesi amaçlandığından, bundan sonra olacaklar açısından oldukça önemlidir.[.]com/stylesheet.css). Aslında, tüm bu farklı parçalar birbirine bağlıdır ve deniz süpürücüsünün düzgün şekilde yüklenmesi için gereklidir.
Çekirdek
Dosyanın başlangıcı, standart CSS içeriğini, bu durumda yazı tiplerini işlemek için kullanılan kodu içerir. Ancak, altta çok fazla beyaz boşluk ve çok uzun bir yan kaydırma çubuğu da görebiliriz.
Şekil 6: CSS dosyasının içinde gizlenen Skimmer
Metin düzenleme programında özel karakterlerin açılması, boşluklar, sekmeler ve yeni satır beslemeleri içeren 88 binden fazla satırı ortaya çıkarır. Bu kodlanmış boşluk verileri, orijinal yükleyici (elon2xmusk) aracılığıyla ikili koda dönüştürülür.[.]com/jquery.min.js).
Bu özel teknik, daha önce Denis Sinegubko ve Eric Brandel tarafından bir iplik Mr.Sniffa araç setindeki bazı yeni özellikler hakkında.
Şekil 7: Mr.SNIFFA skimmer’ın beyaz boşluk kodlama özelliği
Kodun bu parçasını çözerken, Eric Brandel tarafından üretilen aynı skimmer ile karşılaşıyoruz.
Şekil 8: Daha önce bildirilen Mr.SNIFFA ile aynı kodu çözülmüş deniz süpürücü
sızma
Ödeme sayfasında, skimmer tarafından enjekte edilen ödeme formunu görüyoruz. Alttaki gramer hatasına dikkat edin”lütfen kart bilgilerinizi girin ve daha sonra ücretlendirileceksiniz“. Bu küçük bir detay ama detaylara dikkat edenler bunu bir hileli formun işareti olarak göreceklerdir.
Çalınan kredi kartı verileri, aynı özel karakter kodlaması kullanılarak saldırganlara geri sızacak ve bir görüntü dosyası olarak gönderilecektir.
Şekil 9: Kodlanmış görüntü dosyası aracılığıyla veri hırsızlığı
Altyapıya genel bakış
DDoS-Guard barındırma
Bu skimmer kampanyasına dahil olan 3 alan adı, bazı hizmetleri arasında DDoS koruması, CDN ve barındırma sağlayan bir Rus şirketi olan DDoS-Guard altyapısı üzerinde barındırılmıştır veya barındırılmaktadır. Tartışmalı web sitelerine ev sahipliği yaptı ve Group-IB’nin bir sızıntıyı ve kaynak kodu dökümünü belgeleyen bir blog gönderisine göre, “DDoS-Guard ayrıca bilgi işlem kapasiteleri sağlar ve yasa dışı mal satışı, kumar ve telif hakkı ihlalleriyle uğraşan yüzlerce şüpheli kaynağın web sitesi sahiplerinin kimliğinin tespit edilmesini engeller.“.
Şekil 10: DDos-Guard bağlantılarını gösteren VirusTotal grafiği
Daha önce, Ukrayna’nın Luhansk bölgesindeki barındırıcı gibi kurşun geçirmez altyapıya güvenen Magecart grupları hakkında yazmıştık. Bariz avantaj, yayından kaldırmanın neredeyse imkansız olması ve suçluların altyapılarını rahatsız edilmeden büyütebilmeleridir.
yakın komşular
Çoğu zaman suçlular farklı hizmetler arasında alım satım yapar. Çalınan kredi kartlarıyla para kazanmanın yolu, yeniden satış veya para katırları kullanmak ve sonunda eve para akışı yapmak olabilir. Bir tehdit aktörünün oyun alanının tam olarak nerede başlayıp nerede bittiğini belirlemeye çalışmak zor ve zaman alıcı olabilir. Bu örnekte, kripto adlandırma temasını takip etmeye ve diğer ilgi çekici yerleri keşfetmeye karar verdik.
Aynı IP adresinde (185.178.208[.]174) elon2xmusk olarak[.]com (skimmer loader), hileli bir mağaza var (3houzz[.]com) meşru Houzz satıcısını kopyalıyor. Bu tür siteler genellikle spam veya kötü amaçlı yönlendirmeler yoluyla tanıtılır.
Şekil 11: Sahte ve meşru Houzz web sitelerinin karşılaştırılması
Aynı IP adresinde (185.178.208[.]181) 2xdepp olarak[.]com (CSS kodunda gizlenmiş skimmer), orvx’i bulabiliriz[.]pw, CPanel, RDP ve Shells satan bir web sitesi:
Şekil 12: Uzaktan erişim ve kabuklar için pazar yeri
Ayrıca bestmixer var[.]mx, kripto para birimlerini karıştırmak için bir hizmet. Suçlular, özellikle de fidye yazılımı aktörleri, paranın izini sürmesini zorlaştırmak için karıştırıcı kullanmayı sever.
Şekil 13: Bitcoin karıştırıcı hizmeti
Aynı alt ağda ve 185.178.208’de[.]190 siyah biz[.]üstte, suçluların fidye yazılımı da dahil olmak üzere çeşitli kötü amaçlı yazılım hizmetlerinin reklamını yapması için bir forum var:
Şekil 14: Suç yazılımı forumu
Ek suç hizmetleri
Oldukça geniş olan bu ağa daha derinlemesine bakmak için SilentPush tarafından sağlanan hizmetlerden yararlandık ve ücretsiz topluluk uygulamalarını bir dizi sorgu çalıştırmak için kullandık. Skimmer saldırısının alan adlarının hepsinin adında ‘2x’ var ve kripto para birimleri ile ilgili görünüyor:
saylor2xbtc[.]iletişim
elon2xmusk[.]iletişim
2xdepp[.]iletişim
Denediğimiz ilk sorgu, adında ‘2x’ olan ve DDoS-Guard altyapısını kullanan herhangi bir etki alanını aramak için bir “Alan Adı Araması” idi.
- domain_regex=^[a-z-]{0,}2x[a-z-]{0,}[a-z]{1,}$
- asn_starts_with=DDOS-GUARD
- last_seen_min=2022-12-31
Şekil 15: Etki alanı sorgusu içeren SilentPush arayüzü
Kripto para eşantiyonları
Bu sahte siteler Tesla, Elon Musk, MicroStrategy veya Michael J. Saylor’ın resmi etkinlikleri olduğunu iddia ediyor ve insanları binlerce BTC kazanma umutlarıyla kandırıyorlar. Group-IB’nin Eylül 2022 raporuna göre, bu kripto eşantiyon dolandırıcılıkları 2022’nin ilk yarısında beş kat arttı.
Şekil 16: Dolandırıcılık hediye sitesi
Kötü amaçlı yazılım dağıtımı
Bunun yerine kötü amaçlı yazılım indiren AnyDesk, MSI afterburner, Team Viewer veya OBS’yi taklit eden birkaç alan. Bu kimlik avı sayfaları, Guardio Labs (Vidar ve diğer bilgi hırsızlarına yol açan) ve SilentPush (Ursnif’e yol açan) tarafından bildirilenler gibi Google reklamlarını kötüye kullanan kötü amaçlı reklamcılıkla ilgili son raporlarda yer alıyor.
Bu bölümün altındaki alanlar, diğer durumlarda Aurora ile birlikte benzer bir Vidar sürümü bırakıyor. Guardio Labs raporunda belirtilen alanlar (traidlngview[.]site, msi afterbarner[.]com) araştırmamız kapsamındaki altyapıyı işaret eder (185.149.120[.]9).
Şekil 17: Kötü amaçlı yazılım indiren sahte AnyDesk web sitesi
Kredi kartları (FULLZ)
Bu, çalıntı kredi kartlarını satışa sunan araştırmacı gazeteci Brian Krebs’in adını taşıyan bir web portalıdır.
Bu alan adı, daha önce bilinen diğer briansclub alan adlarıyla senkronize edilmiştir ve Mayıs 2021’de altenan sitesinde reklamını yapan tehdit aktörü “Brian Krebs” ile ilişkilidir. Kart verileri, diğer alan adlarıyla aynı görünmektedir ve her para yatırma işleminde benzersiz BTC adresleri bulunmaktadır. . (Bu ek bilgiyi sağladıkları için gerçek Brian Krebs ve Gemini Advisory’e teşekkürler).
Şekil 18: Çalınan kredi kartları için oturum açma sayfası
Şekil 19: Çalınan kredi kartlarının dökümü
PhaaS platformu Robin Banks
Robin Banks, ilk olarak Mart 2022’de gözlemlenen ve kimlik avı kitleri satma konusunda uzmanlaşmış bir hizmet olarak kimlik avı platformudur. Temmuz 2022 tarihli bir raporda IronNet, suçluların kiti kullanma motivasyonunun tipik kimlik bilgileri için kimlik avından daha fazlası olduğunu ve aynı zamanda İlk Erişim Aracılarının da ilgisini çektiğini gördü. Cloudflare’den başlatıldıktan sonra Robin Banks altyapısı, robinbanks olarak DDos-Guard’a taşındı.[.]su. Artık beta4us etki alanını görüyoruz[.]ASN47674 (NETSOLUTIONS) ile ilişkili tıklama.
Şekil 20: Hizmet olarak kimlik avı için oturum açma sayfası RobinBanks
Çözüm
Bu blog gönderisinde, mr.SNIFFA araç setini ve DDoS-Guard altyapısını kullanan bir Magecart skimmer belirledik. Skimmer’a hizmet etmek için kullanılan alan adları, kripto para birimi dünyasında iyi bilinen kamuya mal olmuş kişilere veya isimlere atıfta bulunuyordu. Bu, izi takip etmemize ve bazıları orijinal tehdit aktörüyle bağlantılı olabilecek bir dizi başka kötü amaçlı etki alanı keşfetmemize olanak sağladı.
Bir ceza servisinin bittiği yerde diğeri başlar, ancak çoğu zaman bağlantılıdırlar. Kod parçacıklarının ötesine bakmak ve daha büyük resmi görmek, potansiyel eğilimleri görmenin yanı sıra daha geniş ekosistemi daha iyi anlamaya yardımcı olur.
Malwarebytes müşterileri, bu skimmer’ın ilk katmanına karşı zaten korunuyordu ve altyapının geri kalanı için algılama ekledik. Kuruluşunuzu en son tehditlere karşı daha iyi koruyabileceğiniz hakkında daha fazla bilgi edinmek için uzmanlarımızla 15 dakikalık bir görüşme ayarlayarak özel bir plan oluşturun.
teşekkürler
SilentPush ekibine bu deniz süpürücüyü ve ilgili altyapıyı araştırırken yaptıkları katkı ve yardımlardan dolayı teşekkür ederiz. Bu araştırmada kullandığımız topluluk uygulamalarına göz atmaktan çekinmeyin.
Uzlaşma Göstergeleri
| Gösterge | Tip | Açıklama |
| hxxps://saylor2xbtc[.]com/vqK4Pq | URL | Yönlendirme |
| hxxps://elon2xmusk[.]com/jquery[.]dakika[.]js | URL | yükleyici |
| hxxps://2xdepp[.]com/stil sayfası[.]css | URL | Sıyırıcı |
| 185[.]178[.]208[.]174 | IP | Skimmer barındırma |
| 185[.]178[.]208[.]181 | IP | Skimmer barındırma |
| 185[.]178[.]208[.]190 | IP | Suç forumu |
| 185[.]149[.]120[.]19 | IP | kripto dolandırıcılığı |
| 185[.]149[.]120[.]47 | IP | kripto dolandırıcılığı |
| 185[.]149[.]120[.]67 | IP | kripto dolandırıcılığı |
| 185[.]149[.]120[.]77 | IP | kripto dolandırıcılığı |
| 185[.]149[.]120[.]89 | IP | kripto dolandırıcılığı |
| 185[.]149[.]120[.]95 | IP | kripto dolandırıcılığı |
| 185[.]149[.]120[.]107 | IP | kripto dolandırıcılığı |
| 185[.]149[.]120[.]9 | IP | Kötü amaçlı yazılım dağıtımı |
| 185[.]149[.]120[.]123 | IP | Kötü amaçlı yazılım dağıtımı |
| 185[.]149[.]120[.]133 | IP | Kötü amaçlı yazılım dağıtımı |
| 185[.]149[.]120[.]61 | IP | Çalıntı kredi kartı mağazası |
| 185[.]236[.]228[.]114 | IP | RobinBanks kimlik avı |
| 3 saat[.]iletişim | İhtisas | Sahte mağaza |