一个专门感染在线商店以窃取支付卡数据的网络犯罪集团,对近700个网站和十几个第三方服务提供商造成损害。通过会员卡商店出售被盗的支付信息,每周赚取数万美元。这个名为UltraRank的团伙至少从2015年开始活跃,使用多个网络浏览器、恶意JavaScript代码,也称为JS嗅探器。恶意代码注入组IB安全研究人员表示,UltraRank多年来改变了其策略和基础设施。他们的活动可能与不同的团体有关,这使得调查人员难以调查。在本周的一份技术报告中,研究人员提供了UltraRank支持Magecart集群2、5和12的证据。"-Group-IB在2015年、2016年和2018年发起的三项长期活动其中,该团伙能够在691个高流量的个人网站(例如体育门票经销商)上植入JS嗅探器。然而,考虑到该组织对13家网络服务提供商(设计、营销、开发、广告、浏览器)的黑客攻击,他们的恶意软件可能会被全球数千个网站使用。通过将恶意代码注入这些公司提供的产品的脚本中,然后将其放置在在线商店的网络资源中,网络犯罪分子能够在使用受感染脚本的所有在线商店中拦截客户的银行卡数据。贡献者包括法国在线广告商Adverline和广告/营销公司BranditAgency,后者还开发运行Magento电子商务平台的网站。导致这次威胁攻击的三个事件都依赖于JS嗅探器,Group-IB称之为FakeLogistics、WebRank和SnifLite。他们使用一些共同的特征和基础设施,可以将恶意活动追溯到该组织的第一次攻击:隐藏服务器位置和域注册模式的类似方法在不同域名的多个位置存储相同的恶意代码组合供应链和单目标攻击调查是主机“toplevelstatic[.]com”,它托管了一个JS嗅探器,用于破坏BranditAgency。存储在同一域中的文件存在于其他地方,并被用来攻击其他在线商店。UltraRank从这次活动中赚了很多钱。Group-IB通过对出售被盗卡数据的论坛的统计了解到,黑客在2019年底的一周内赚了50,000美元。他们通过出售被盗支付数据的知名商店ValidCC将其货币化。不过,他们与非法商店的合作不仅仅销售信用卡,因为UltraRank还利用其基础设施攻击冒充ValidCC的钓鱼网站。技术证据清楚地表明了UltraRank和ValidCC之间的联系。该连接是商店使用的三个域的SSL证书,它们也出现在UltraRank的基础设施上。专业市场与从网上商店窃取银行卡的团伙之间的合作表明,网络犯罪分子已经精心组织和微调他们的行动以实现利润最大化。Group-IB的威胁情报分析师VictorOkorokov表示,JS嗅探器[Magecart]是用于破坏银行卡数据的工具的演变,使攻击占用的资源更少。本文翻译自:https://www.bleepingcomputer.com/news/security/ultrarank-hackers-steal-credit-cards-from-hundreds-of-stores/
