Журнал ПЛАС » Новости » Безопасность » 51 просмотр

Group-IB обнаружила похитителей данных банковских карт

Group-IB обнаружила похитителей данных банковских карт

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, представила отчет «UltraRank: незамеченная эволюция угрозы JS-снифферов», посвященный хакерской группе UltraRank, занимающейся кражей данных банковских карт пользователей, совершающих покупки в онлайне.

UltraRank активна в течение 5 лет: за это время она атаковала около 700 онлайн-магазинов в Европе, Азии, Северной и Латинской Америке, используя JavaScript-снифферы. Украденые данные хакеры продавали в собственном кардшопе, зарабатывая до 500 тыс. рублей (7 000 долларов США) в день. Исследование Group-IB описывает не только одного из наиболее успешных игроков рынка кражи и сбыта данных банковских карт, но и прослеживает трансформацию JS-снифферов из второстепенной в сложную угрозу, за которой стоит четко сегментированный киберпреступный бизнес. Окончательно вытеснив банковские трояны, группы, использующие JS-снифферы, с конца 2019 года стали основными поставщиками баз текстовых данных банковских карт для продаж на специализированных хакерских форумах – кардшопах.

Сегодня JS-снифферы являются одной из наиболее динамично развивающихся угроз для рынка электронной коммерции в разных странах мира. За неполные полтора года с момента выхода первого исследования Group-IB, посвященного JS-снифферам, количество обнаруженных экспертами Group-IB уникальных семейств такого вредоносного кода выросло более чем в два раза: сегодня их уже 96.

Каждое семейство JS-снифферов – это совокупность семплов с незначительными отличиями в коде, которые внедряются злоумышленниками на сайт для перехвата вводимых пользователем данных — номеров банковских карт, имен, адресов, логинов, паролей и др. Операторы JS-снифферов выбирают сайты, построенные на определенных системах управления (CMS, Content Management System), как правило, редко обновляемых, не содержащих системы защиты 3DSecure. Украденные данные отправляются на сервер злоумышленников — гейт. Затем они продаются в даркнете на кардерских форумах, основную массу которых составляют русскоязычные киберпреступники. Если на стороне банка-эмитента, выпустившего украденную JS-сниффером карту, отсутствуют системы поведенческого анализа, позволяющие отличить действия реального пользователя от злоумышленника, денежные средства с проданных карт обналичиваются киберпреступниками за счет покупки и дальнейшей перепродажи различных товаров.

В состав UltraRank входят русскоязычные хакеры. Группа оперирует тремя семействами JS-снифферов, получившими названия FakeLogistics, WebRank и SnifLitе и используемыми для заражения различных онлайн-магазинов, где используется оплата банковской картой. За период своей активности UltraRank выстроила автономную бизнес-модель со своей технической и организационной структурой, а также собственной системой сбыта и монетизации украденной платежной информации Так, у группы есть собственный кардшоп ValidCC, согласно внутренней статистике которого, в 2019 году его владельцы зарабатывали по $5 000 – $7000 в день на продаже данных банковских карт, которые группа воровала сама, и еще $25 000 – 30 000 они выплачивали другим поставщикам украденных платежных данных, выставлявших товар в их кардшопе.

По данным Group-IB, с 2015 года UltraRank заразила 691 веб-сайт преимущественно в Европе, Азии и Америке. Но атакующие выбирали для себя и более крупные цели, под которые планировались значительно более сложные атаки через поставщика (supply chain). Так, их жертвами стали 13 поставщиков услуг для онлайн-торговли, к которым относятся различные рекламные сервисы и сервисы браузерных уведомлений, агентства веб-дизайна, маркетинговые агентства, разработчики сайтов и др. Внедряя вредоносный код в их скрипты, злоумышленники перехватывали данные банковских карт покупателей на сайтах всех магазинов, на которых используются продукты или технологии этих поставщиков. Их заражение могло принести злоумышленникам суммарно более 100 тыс. инфицированных сайтов.

В феврале 2020 года специалисты Group-IB Threat Intelligence обнаружили, что пять сайтов, созданных американским маркетинговым агентством The Brandit Agency для своих корпоративных клиентов, заражены JS-снифферами. Group-IB незамедлительно попытались связаться с агентством, однако реакции не последовало: позже вредоносный код был удален с сайтов. Исследование этой атаки позволило команде Threat Intelligence обнаружить инфраструктуру злоумышленников и связать ее с другими, более ранними инцидентами, в которых также использовались JS-снифферы, и восстановить полную хронологию атак.

За пять лет UltraRank неоднократно меняла инфраструктуру и модифицировала вредоносный код в своем арсенале, в результате чего ресерчеры других компаний долгое время ошибочно атрибутировали ее атаки разным злоумышленникам. Свои позиции UltraRank укрепляла за счет активной борьбы с конкурентами. Она взламывала уже скомпрометированные сайты и к уже внедренному коду конкурирующей преступной группы добавляла свой JS-сниффер: таким образом украденные данные банковских карт «отправлялись» сразу двум хакерским группам.

«Латентность киберпреступлений с использованием JS-снифферов оставляет этим киберпреступникам обширное поле деятельности, — комментирует Виктор Окороков, специалист Group-IB Threat Intelligence. — Вредоносный код внедряется на сайт абсолютно незаметно для владельца сайта и для его пользователей и может длительное время “собирать” данные банковских карт покупателей, оставаясь в тени. Однако скрытность этого преступления не снижает его опасности: помимо самих пользователей, в эту цепочку могут попадать и банки, и владельцы онлайн-бизнеса. Не стоит недооценивать эту угрозу и, принимая во внимание скачок роста на рынке JS-снифферов, который произошел менее чем за 1,5 года, Интернет-бизнесу, использующему оплату онлайн, необходимо на регулярной основе проводить экспресс-аудит своих сайтов для поиска и удаления подобного вредоносного кода».

По материалам Group-IB

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных