一個(gè)網(wǎng)絡(luò)犯罪組織，專門(mén)感染網(wǎng)店竊取支付卡數(shù)據(jù)，對(duì)近700家網(wǎng)站和十幾家第三方服務(wù)提供商造成了損害。

通過(guò)一家會(huì)員卡商店出售被盜的支付信息，每周獲利數(shù)萬(wàn)美元。

該團(tuán)伙名為UltraRank，至少?gòu)?015年起就活躍起來(lái)，他們使用了多個(gè)網(wǎng)絡(luò)瀏覽器，惡意JavaScript代碼，也稱為JS嗅探器。

[[340223]]

惡意代碼注入

Group-IB的安全研究人員說(shuō)，多年來(lái)，UltraRank改變了策略和基礎(chǔ)架構(gòu)。導(dǎo)致他們的活動(dòng)與不同的團(tuán)體都能聯(lián)系起來(lái)，這給調(diào)查人員增加了調(diào)查難度。

在本周的一份技術(shù)報(bào)告中，研究人員提供了證據(jù)，證明UltraRank是Magecart第2、5和12組事件的幕后推手。

“ UltraRank遠(yuǎn)遠(yuǎn)超出了普通JS嗅探器運(yùn)營(yíng)商的概念，開(kāi)發(fā)了一種具有獨(dú)特技術(shù)和組織結(jié)構(gòu)的自主商業(yè)模式”-Group-IB

在2015年，2016年和2018年發(fā)起的三項(xiàng)長(zhǎng)期活動(dòng)中，該團(tuán)伙能在691個(gè)流量較大的個(gè)人網(wǎng)站(如體育賽事門(mén)票經(jīng)銷商)上植入JS嗅探器。

然而，考慮到該組織對(duì)13家web服務(wù)提供商(設(shè)計(jì)、營(yíng)銷、開(kāi)發(fā)、廣告、瀏覽器)的黑客攻擊，他們的惡意軟件可能被全球數(shù)千家網(wǎng)站使用。

通過(guò)將惡意代碼注入這些公司提供的產(chǎn)品的腳本中，這些腳本隨后被放置在在線商店的網(wǎng)絡(luò)資源上，網(wǎng)絡(luò)犯罪分子能夠在所有使用了受感染腳本的在線商店中攔截客戶的銀行卡數(shù)據(jù)

這些受害者中包括法國(guó) 在線廣告商Adverline 和廣告/營(yíng)銷公司Brandit Agency，Brandit Agency還開(kāi)發(fā)了運(yùn)行Magento電子商務(wù)平臺(tái)的網(wǎng)站。

線索

這種威脅攻擊的三個(gè)事件都依賴于JS嗅探器，Group-IB將其稱為FakeLogistics，WebRank和SnifLite。它們采用一些共同的功能和基礎(chǔ)結(jié)構(gòu)，這些功能和基礎(chǔ)結(jié)構(gòu)允許將惡意活動(dòng)跟蹤到該組織的首次攻擊：

• 隱藏服務(wù)器位置和域注冊(cè)模式的類似方法
• 在不同域名的多個(gè)位置存儲(chǔ)相同的惡意代碼
• 混合供應(yīng)鏈和單目標(biāo)攻擊

調(diào)查起點(diǎn)是主機(jī)“ toplevelstatic [.] com”，該主機(jī)托管了一個(gè)JS嗅探器，該嗅探器用于破壞Brandit Agency。同一域中存儲(chǔ)的文件存在于其他位置，并用于攻擊其他在線商店。

UltraRank從此活動(dòng)中賺了很多錢(qián)。從論壇出售盜竊卡數(shù)據(jù)的統(tǒng)計(jì)數(shù)據(jù)中，Group-IB獲悉，黑客在2019年末的一周內(nèi)賺了50,000美元。

他們通過(guò)ValidCC實(shí)現(xiàn)了貨幣化，ValidCC是一家出售被盜支付數(shù)據(jù)的知名商店。不過(guò)，他們與這家非法商店的合作不僅僅是出售信用卡，因?yàn)閁ltraRank還利用其基礎(chǔ)設(shè)施攻擊冒充ValidCC的釣魚(yú)網(wǎng)站。

技術(shù)證據(jù)清楚地表明了UltraRank與ValidCC之間的聯(lián)系。該連接是該商店使用的三個(gè)域的SSL證書(shū)，該證書(shū)也出現(xiàn)在UltraRank的基礎(chǔ)架構(gòu)上。

專業(yè)市場(chǎng)與盜取網(wǎng)店銀行卡團(tuán)伙之間的合作表明，網(wǎng)絡(luò)犯罪分子精心組織、微調(diào)了經(jīng)營(yíng)活動(dòng)，以獲取最高利潤(rùn)。

Group-IB的威脅情報(bào)分析師Victor Okorokov說(shuō)，JS嗅探器[Magecart]是用于破壞銀行卡數(shù)據(jù)的工具的演變，從而使攻擊的資源消耗更少。

本文翻譯自：

https://www.bleepingcomputer.com/news/security/ultrarank-hackers-steal-credit-cards-from-hundreds-of-stores/