今年早些时候,一个针对电子商务网站的网络黑客组织发起了一场“多阶段恶意活动”,以传播信息窃取程序和基于javascript的支付卡窃取程序。总部位于新加坡的网络安全公司Group-IB最近通过后续研究发现,黑客在这次攻击中使用了JavaScript嗅探器(JS-sniffer)。早在2019年,Group-IB专家就确定了至少38个不同的JS嗅探器家族,而且这个数字还在不断增长,已经超过了PC和Android银行木马的数量。大多数JS嗅探器系列旨在从特定CMS(内容管理系统)上运行的网站的支付表单中窃取信息,但是也有一些通用的可以从支付表单中窃取信息并且不需要特定于网站修改.攻击分四波进行。从2月到9月,攻击者使用自定义钓鱼页面诱使带有恶意宏的文件将Vidar和Raccoon信息窃取程序下载到受害者的系统。Raccoon是侦察和信息收集的工具。它将为我们完成从获取DNS记录、TLS数据、WHOIS信息检索、WAF存在性检测、目录爆破、子域枚举等所有操作,每次扫描结果都会输出并保存到对应的文件中。研究人员指出,此次攻击的最终目标是通过多种攻击媒介和工具窃取支付和用户数据,以传播恶意软件。这些虚假页面是使用Mephistophilus网络钓鱼工具包创建的,该工具包允许攻击者创建和部署用于传播恶意软件的网络钓鱼登录页面。去年11月,Group-IB研究人员在分析网络犯罪集团的策略时解释说:“攻击者将虚假页面链接发送给受害者,以告知受害者缺少显示文档的必要信息。插件.如果用户下载插件,他们的计算机就会感染密码窃取恶意软件。在2月和3月的第一波攻击中,用户使用Vidar密码窃取器拦截用户的浏览器和各种应用程序的密码,随后的攻击切换到Raccoon窃取器和AveMariaRAT来达到目的。Vidar是一种相对较新的形式以大量受害者信息为目标的恶意软件,包括密码、文档、屏幕截图、浏览器历史记录、消息数据、信用卡详细信息,甚至存储在双因素身份验证软件中的数据。Vidar还可以针对存储比特币和其他加密货币的虚拟钱包,并且它是高度可定制的。Raccoon去年首次被Cyber??eason曝光,它具有广泛的能力,可以通过与命令和控制(C2)服务器通信来窃取数据,包括屏幕截图、信用卡信息、加密货币钱包、存储的浏览器密码、电子邮件和系统信息.Raccoon的独特之处在于,除了通过聊天服务为社区问题和评论提供24×7客户支持外,它还绕过了C2服务器监控。同样,AveMariaRAT还能够确保持久性、记录击键、注入恶意代码和泄露敏感文件。Vidar和Raccoon都通过地下论坛作为恶意软件即服务(MaaS)出售,Vidar窃取器的租金从每月250美元到300美元不等,而Raccoon的使用费为每月200美元。除了上述四个阶段外,Group-IB还观察到一个过渡阶段,即从2020年5月到2020年9月,在此期间,多达20家在线商店感染了来自FakeSecurity家族的迭代JS嗅探器。有趣的是,用于传播Vidar和Raccoon窃取程序的基础设施被重新用于存储嗅探器代码和收集被盗的银行卡数据,这导致研究人员将这两个活动联系起来。这一发展再次表明,即使执法机构正在努力打击网络犯罪,攻击者也在加紧努力从电子商务网站窃取支付信息。1月初,国际刑警组织使用Group-IB提供的数字取证证据逮捕了与“GetBilling”组织有关的三人。本文翻译自:https://thehackernews.com/2020/12/payment-card-skimmer-group-using.html
