Вредоносы, которым не придавали значения, приносят хозяевам сотни тысяч долларов ежемесячно
Group-IB провела исследование Javascript-снифферов, предназначенных для кражи данных банковских карт на веб-сайтах, их рынка, инфраструктуры и способов монетизации.«Скрытая угроза»
Как стало известно CNews, Group-IB, международная компания с российскими корнями, специализирующаяся на предотвращении кибератак, проанализировала 2,44 тыс. зараженных Javascript-снифферами интернет-магазинов и выяснила, что их посетители – суммарно около 1,5 млн человек в день – подвергаются риску хищения данных банковских карт.
Javascript-сниффером называют вредоносный код, который внедряется злоумышленниками на веб-сайты для незаметного перехвата вводимых пользователем данных: номеров банковских карт, имен, адресов, логинов, паролей. Полученные платежные данные злоумышленники, как правило, продают на специализированных форумах в «подпольном» сегменте интернета, так называемом даркнете (Darknet – «темная сеть»). Покупателями выступают кардеры – мошенники, которые выводят средства со счетов украденных банковских карт. Цена одной такой карты, по данным Group-IB, составляет от $1 до $5, реже – $10–$15.
По оценке специалистов компании, доход «сниффероводов» может исчисляться сотнями тысяч долларов в месяц. Например, ресурсы, зараженные JS-сниффером семейства Webrank, суммарно посещает 250 тыс. человек в день. Если конверсия на этих сайтах составляет хотя бы 1%, то транзакции проводят 2,5 тыс. покупателей ежедневно. Таким образом, при минимальной вилке стоимости украденной карты, операторы Webrank могут заработать от $2,5 тыс. до $12,5 тыс. за один день работы, а это от $75 тыс. до $375 тыс. в месяц. При этом Webrank – лишь третий в рейтинге массовости заражений, отмечают в Group-IB, а ресурсы, зараженные более популярными Magentoname и Coffemokko, посещают 440 тыс. человек в день.
Угроза JS-снифферов долгое время оставалась вне поля зрения антивирусных аналитиков, считавших ее незначительной и не требующей глубокого изучения, рассказывают в Group-IB. Однако 380 тыс. жертв JS-сниффера, заразившего сайт и мобильное приложение авиакомпании British Airways, компрометация платежных данных американского дистрибутора билетов Ticketmaster и недавний инцидент с британским сайтом спортивного гиганта FILA, когда риску кражи данных банковских карт подверглись 5,6 тыс. покупателей, свидетельствуют о необходимости изменить отношение к этой угрозе, считают в Group-IB.
Развитие интернет-торговли порождает новые проблемы
Рынок онлайн-торговли в настоящее время бурно развивается: по прогнозам аналитиков Data Insight к 2023 г. в России он вырастет более чем в два раза — до 2,4 трлн руб. Удобство приобретения товаров в интернете имеет и обратную сторону: покупатели, использующие банковские карты для оплаты сталкиваются со множеством киберугроз, одна из которых — Javascript-сниффер.
Эксперты Group-IB изучили ряд JS-снифферов и, применив собственные аналитические системы, смогли исследовать всю инфраструктуру и получить доступ к исходникам, панелям администраторов и инструментам злоумышленников. Такой подход позволил выявить 38 разных семейств JS-снифферов, отличающихся уникальными признаками.
Как атакуют JS-снифферы
Исследование 2,44 тыс. зараженных сайтов показало, что более половины были атакованы сниффером семейства Magentoname, операторы которого используют уязвимости устаревших версий систем управления сайтом CMS Magento (Content Management System) для внедрения вредоносного кода в код сайтов, работающих под управлением этой CMS. Более 13% заражений приходится на долю снифферов семейства Webrank, использующего схему атаки на сторонние сервисы для внедрения вредоносного кода на целевые сайты. Также более 11% приходится на заражения снифферами семейства Coffemokko, операторы которого используют обфусцированные скрипты (то есть имеющие вид, который максимально затрудняет их анализ), нацеленные на кражу данных из форм оплаты определенных платежных систем, названия полей которых жестко записываются в коде сниффера. Среди таких систем – Paypal, Verisign, Authorize.net, eWAY, Sage Pay, Worldpay, Stripe, USAepay и другие. Многие семейства снифферов используют уникальные варианты для каждой отдельной платежной системы, что требует модификации и тестирования скрипта перед каждым заражением.
Большая часть обнаруженных снифферов нацелена на платежные формы определенных систем управления сайтом – Magento, Opencart, Shopify, Woocommerce, Wordpress. К таким семействам относятся Premage, Magentoname, FakeCDN, Qoogle, Getbilling, Posteval. Другие универсальны и могут быть интегрированы в код любого сайта, независимо от используемого «движка» – G-Analitycs, Webrank.
В ходе исследования специалистами Group-IB были обнаружены признаки конкурентной борьбы – некоторые из исследуемых семейств JS-снифферов наделены функциональностью обнаружения и ликвидации JS-снифферов конкурирующих групп, уже работающих на сайте-жертве (например, Magentoname). Другие используют «тело» сниффера-конкурента, как паразит, забирая у него данные, которые тот перехватывает (например, Webrank). Снифферы модифицируются в целях затруднения обнаружения: например, ImageID, Reactget, способны обходить большинство систем обнаружения, благодаря тому, что активируются только в момент совершения покупателем транзакции на сайте, в остальное время сниффер «засыпает» и никак не выдает себя. Некоторые семейства состоят из уникальных экземпляров, например, Coffemokko: каждый сниффер данного семейства используется только один раз для заражения одного сайта.
Семейство G-Analytics отличается тем, что помимо внедрения вредоносного кода в клиентскую часть сайта его авторы также применяют технику внедрения кода в серверную часть сайта, а именно PHP-скрипты, обрабатывающие введенные пользователем данные. Эта значительно затрудняет обнаружение вредоносного кода исследователями. JS-снифферы типа ImageID, G-Analytics умеют имитировать легитимные сервисы, например, Google Analytics и jQuery, маскируя свою активность легитимными скриптами и похожими на легитимные доменными именами.
Атака с использованием JS-сниффера может быть многоступенчатой. Анализируя код одного из зараженных магазинов, специалисты Group-IB обнаружили, что в этом случае злоумышленники не ограничились внедрением JS-сниффера: по ряду причин им пришлось использовать полноценную поддельную платежную форму, которая подгружалась с другого скомпрометированного сайта. Эта форма предлагала пользователю два варианта оплаты: при помощи кредитной карты и при помощи Payзal. Если пользователь выбирал оплату через Payзal, то видел сообщение о том, что этот способ оплаты недоступен в данный момент и единственным вариантом оставалась банковская карта.
Устройство рынка JS-снифферов
Снифферы могут использоваться как определенной преступной группой, разработавшей его, так и другими группами, купившими или взявшими сниффер в аренду в рамках услуг типа Sniffer-as-a-Service («сниффер как услуга»). В некоторых случаях сложно определить, сколько преступных групп используют конкретную программу, именно поэтому эксперты Group-IB называют их семействами, а не группами.
Некоторые сервисы дают возможность работать в партнерстве: клиент предоставляет доступ к скомпрометированному интернет-магазину и получает процент от дохода, а создатель сниффера отвечает за серверы для хостинга, техподдержку и административную панель для клиента. Эти вполне рыночные отношения между создателями, продавцами, посредниками и покупателями андеграундного рынка затрудняют соотнесение совершенного преступления с конкретной группой, отмечают в компании.
Стоимость JS-снифферов, по данным Group-IB, составляет от $250 до $5 тыс. на подпольных форумах. Значительная часть форумов с предложениями о покупке и аренде JS-снифферов состоит из русскоязычных киберпреступников, отмечают в компании. В марте 2019 г. CNews сообщал о задержании новокузнецкого хакера-наемника, предлагавшего свои услуги в даркнете. В декабре 2018 г. Генпрокуратура составила портрет типичного российского хакера.
Результаты исследования даркнет-рынка JS-снифферов, их инфраструктуры и способов монетизации легли в основу отчета Group-IB «Преступление без наказания: анализ семейств JS-снифферов» – первой, как утверждают в компании, в российской индустрии кибербезопасности попытке системного исследования этого сегмента андеграундного рынка.
На международной арене аналитики RiskIQ в партнерстве с Flashpoint были первыми, кто выпустил отчет, посвященный деятельности злоумышленников, использующих JS-снифферы. Они выделили 12 групп под общим названием Magecart.