首頁 > 信息安全 > 正文

UltraRank從數百家商店中竊取信用卡

2020-09-01 13:58:59  來源:嘶吼網

摘要:一個網絡犯罪組織,專門感染網店竊取支付卡數據,對近700家網站和十幾家第三方服務提供商造成了損害。
關鍵詞: 竊取 信用卡
  一個網絡犯罪組織,專門感染網店竊取支付卡數據,對近700家網站和十幾家第三方服務提供商造成了損害。
 
  通過一家會員卡商店出售被盜的支付信息,每周獲利數萬美元。
 
  該團伙名為UltraRank,至少從2015年起就活躍起來,他們使用了多個網絡瀏覽器,惡意JavaScript代碼,也稱為JS嗅探器。
 
  惡意代碼注入
 
  Group-IB的安全研究人員說,多年來,UltraRank改變了策略和基礎架構。導致他們的活動與不同的團體都能聯系起來,這給調查人員增加了調查難度。
 
  在本周的一份技術報告中,研究人員提供了證據,證明UltraRank是Magecart第2、5和12組事件的幕后推手。
 
  “ UltraRank遠遠超出了普通JS嗅探器運營商的概念,開發了一種具有獨特技術和組織結構的自主商業模式”-Group-IB
 
  在2015年,2016年和2018年發起的三項長期活動中,該團伙能在691個流量較大的個人網站(如體育賽事門票經銷商)上植入JS嗅探器。
 
  UltraRank從數百家商店中竊取信用卡
 
  然而,考慮到該組織對13家web服務提供商(設計、營銷、開發、廣告、瀏覽器)的黑客攻擊,他們的惡意軟件可能被全球數千家網站使用。
 
  通過將惡意代碼注入這些公司提供的產品的腳本中,這些腳本隨后被放置在在線商店的網絡資源上,網絡犯罪分子能夠在所有使用了受感染腳本的在線商店中攔截客戶的銀行卡數據
 
  這些受害者中包括法國 在線廣告商Adverline 和廣告/營銷公司Brandit Agency,Brandit Agency還開發了運行Magento電子商務平臺的網站。
 
  線索
 
  這種威脅攻擊的三個事件都依賴于JS嗅探器,Group-IB將其稱為FakeLogistics,WebRank和SnifLite。它們采用一些共同的功能和基礎結構,這些功能和基礎結構允許將惡意活動跟蹤到該組織的首次攻擊:
 
  隱藏服務器位置和域注冊模式的類似方法
 
  在不同域名的多個位置存儲相同的惡意代碼
 
  混合供應鏈和單目標攻擊
 
  調查起點是主機“ toplevelstatic [.] com”,該主機托管了一個JS嗅探器,該嗅探器用于破壞Brandit Agency。同一域中存儲的文件存在于其他位置,并用于攻擊其他在線商店。
 
  UltraRank從數百家商店中竊取信用卡
 
  UltraRank從此活動中賺了很多錢。從論壇出售盜竊卡數據的統計數據中,Group-IB獲悉,黑客在2019年末的一周內賺了50,000美元。
 
  他們通過ValidCC實現了貨幣化,ValidCC是一家出售被盜支付數據的知名商店。不過,他們與這家非法商店的合作不僅僅是出售信用卡,因為UltraRank還利用其基礎設施攻擊冒充ValidCC的釣魚網站。
 
  UltraRank從數百家商店中竊取信用卡
 
  技術證據清楚地表明了UltraRank與ValidCC之間的聯系。該連接是該商店使用的三個域的SSL證書,該證書也出現在UltraRank的基礎架構上。
 
  專業市場與盜取網店銀行卡團伙之間的合作表明,網絡犯罪分子精心組織、微調了經營活動,以獲取最高利潤。
 
  Group-IB的威脅情報分析師Victor Okorokov說,JS嗅探器[Magecart]是用于破壞銀行卡數據的工具的演變,從而使攻擊的資源消耗更少。

第三十屆CIO班招生
法國布雷斯特商學院碩士班招生
北達軟EXIN網絡空間與IT安全基礎認證培訓
北達軟EXIN DevOps Professional認證培訓
責編:zhangwenwen
江苏七位数预测号码 江西时时彩三星组三 贵州快3走势图表了 配资服务 吉林快三哪里下载app 开奖网43055开奖 快乐双彩走势图大 贵州11选5官网 河北11选五一定牛遗漏数据 中国股市 福建快3综合走势图 网上炒股配资还问尚牛在线 河南快三遗漏三同号 重庆幸运农场开奖今天 浙江11选5中奖条件 2019低价龙头股 广东快乐十分即时开奖