| 0 |
|
Компания Group-IB представила отчет «UltraRank: незамеченная эволюция угрозы JS-снифферов», посвященный хакерской группе, которая занимается кражей данных банковских карт пользователей, совершающих покупки в онлайне. UltraRank активна по меньшей мере в течение пяти лет: за это время она атаковала около 700 онлайн-магазинов в Европе, Азии, Северной и Латинской Америке, используя JavaScript-снифферы. Украденые данные хакеры продавали в собственном кардшопе, зарабатывая до 7 тыс. долл. в день.
Исследование Group-IB описывает не только одного из наиболее успешных игроков рынка кражи и сбыта данных банковских карт, но и прослеживает трансформацию JS-снифферов из второстепенной в сложную угрозу, за которой стоит четко сегментированный киберпреступный бизнес. Окончательно вытеснив банковские трояны, группы, использующие JS-снифферы, с конца 2019 г. стали основными поставщиками баз текстовых данных банковских карт для продаж на специализированных хакерских форумах – кардшопах.
Сегодня JS-снифферы являются одной из наиболее динамично развивающихся угроз для рынка электронной коммерции в разных странах мира. За неполные полтора года с момента выхода первого исследования Group-IB, посвященного JS-снифферам, количество обнаруженных экспертами уникальных семейств такого вредоносного кода выросло более чем в два раза: сегодня их уже 96.
В состав UltraRank входят русскоязычные хакеры. Группа оперирует тремя семействами JS-снифферов, получившими названия FakeLogistics, WebRank и SnifLitе и используемыми для заражения различных онлайн-магазинов, где используется оплата банковской картой. За период своей активности UltraRank выстроила автономную бизнес-модель со своей технической и организационной структурой, а также собственной системой сбыта и монетизации украденной платежной информации Так, у группы есть собственный кардшоп ValidCC, согласно внутренней статистике которого, в 2019 г. его владельцы зарабатывали по 5000 – 7000 долл. в день на продаже данных банковских карт, которые группа похищала сама, и еще 25000 – 30000 долл. они выплачивали другим поставщикам украденных платежных данных, выставлявших товар в их кардшопе.
По данным Group-IB, с 2015 г. UltraRank заразила 691 веб-сайт преимущественно в Европе, Азии и Америке. Но атакующие выбирали для себя и более крупные цели, под которые планировались значительно более сложные атаки через поставщика (supply chain). Так, их жертвами стали 13 поставщиков услуг для онлайн-торговли, к которым относятся различные рекламные сервисы и сервисы браузерных уведомлений, агентства веб-дизайна, маркетинговые агентства, разработчики сайтов и др. Внедряя вредоносный код в их скрипты, злоумышленники перехватывали данные банковских карт покупателей на сайтах всех магазинов, на которых используются продукты или технологии этих поставщиков. Их заражение могло принести злоумышленникам суммарно более 100 тыс. инфицированных сайтов.
За пять лет UltraRank неоднократно меняла инфраструктуру и модифицировала вредоносный код в своем арсенале, в результате чего ресерчеры других компаний долгое время ошибочно атрибутировали ее атаки разным злоумышленникам. Свои позиции UltraRank укрепляла за счет активной борьбы с конкурентами. Она взламывала уже скомпрометированные сайты и к уже внедренному коду конкурирующей преступной группы добавляла свой JS-сниффер: таким образом украденные данные банковских карт «отправлялись» сразу двум хакерским группам.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
