Group IB presentó un importante documento

UltraRank: la amenaza de campañas JS-Sniffer

Grupo con numerosos rostros: crónica de las engañosas campañas JS-sniffer de UltraRank

Group-IB, lanzó hoy su informe analítico “UltraRank: el giro inesperado de una triple amenaza JS-sniffer”.

En su informe, los expertos de Group-IB Threat Intelligence proporcionan evidencia que vincula 3 campañas con el uso de varias familias de rastreadores de JavaScript, un instrumento utilizado por los ciberdelincuentes para robar datos de tarjetas bancarias de texto, anteriormente atribuido por investigadores de ciberseguridad a varios grupos de Magecart, al mismo grupo de hackers.

Este grupo fue denominado UltraRank por Group-IB

En el contexto de UltraRank, el informe ejemplifica la transformación de los rastreadores JS de una amenaza menor en línea a una compleja respaldada por un ciberdelito organizado.

En solo cinco años, el grupo comprometió casi 700 sitios web y 13 proveedores externos en Europa, Asia, América del Norte y América Latina y diseñó su propio modelo para monetizar los datos de texto robados de tarjetas bancarias, a través de la tienda de tarjetas ValidCC, cuyos ingresos superaron $ 5,000 por día.

Prodigio del ciberdelito

En menos de un año y medio, el número de familias de JS-sniffer aumentó a más del doble: hoy, los analistas de inteligencia de amenazas de Group-IB ven al menos 96 familias de JS-sniffer, mientras que en marzo de 2019, cuando Group-IB publicó su primera investigación en esta amenaza, la cifra se situó en 38.

El seguimiento continuo de foros clandestinos y tiendas de tarjetas, el análisis exhaustivo del número máximo posible de muestras de JS-sniffer existentes, así como la búsqueda de nuevas infecciones de sitios web permitieron a los expertos del Grupo-IB tomar en una nueva etapa de la investigación, es decir, para atribuir ataques que involucren rastreadores JS a un grupo en particular.

En febrero de 2020, los expertos de Group-IB Threat Intelligence descubrieron que la empresa de marketing estadounidense The Brandit Agency, que creó sitios web de proyectos para sus clientes que ejecutan el sistema de gestión de contenido (CMS) Magento, estaba comprometida. Como resultado, al menos cinco sitios web creados por la agencia de marketing para sus clientes fueron infectados con JS-sniffers.
El malware se descargó del host aplevelstatic [.] Com.

Este mismo sitio web se utilizó para cargar el script malicioso en el sitio web del mayor fabricante y distribuidor de productos de manejo de efectivo en Norteamérica, Block & Company.

Primera pista

Los ataques antes mencionados sirvieron como punto de partida de la investigación de Group-IB, que resultó en el descubrimiento de la infraestructura de los atacantes que resultó estar vinculada a varios ataques anteriores que involucraban a JS-sniffers.

Los sistemas de análisis patentados de la empresa y una matriz única de datos (incluidas muestras) permitieron a los expertos del Grupo IB establecer conexiones entre estos incidentes y los ataques ya conocidos, atribuidos por los investigadores de ciberseguridad a tres grupos diferentes, a saber, Grupo 2, Grupo 5 y Grupo 12. .

Lo que se percibió como episodios separados, resultó ser tres campañas realizadas por el actor de amenazas UltraRank; fueron nombrados por Group-IB según la clasificación que usan los investigadores en la actualidad: Campaña 2, Campaña 5 y Campaña 12.

La primera de ellas, la Campaña 2, se remonta a 2015, mientras que la Campaña 12 continúa hasta el día de hoy.

En las tres campañas se utilizaron mecanismos similares para ocultar la ubicación del servidor de los actores de la amenaza y patrones similares de registro de dominio.

Además, en todas las campañas se descubrieron varias ubicaciones de almacenamiento de códigos maliciosos con contenido idéntico.

Lo que distingue a las tres operaciones es la elección de la familia JS-sniffer empleada: FakeLogistics en la Campaña 2, WebRank en la Campaña 5 y SnifLite en la Campaña 12.

UltraRank
UltraRank

Durante cinco años, que apareció en los radares de los investigadores del Grupo IB, UltraRank cambió su infraestructura y código malicioso en numerosas ocasiones, como resultado de lo cual los expertos en ciberseguridad atribuirían erróneamente sus ataques a otros actores de amenazas.

UltraRank combinó ataques a objetivos individuales con ataques a la cadena de suministro, el equipo de inteligencia de amenazas de Group-IB ha logrado identificar un total de 691 sitios web, así como 13 proveedores de servicios de terceros para recursos en línea, incluidos varios servicios de notificación de publicidad y navegador, agencias de diseño web , agencias de marketing y desarrolladores de sitios web en Europa, Asia, América del Norte y América Latina infectados por el grupo.

Estrategia ganadora

UltraRank fue mucho más allá de la noción de operadores ordinarios de rastreadores JS, habiendo desarrollado un modelo de negocio autónomo con una estructura técnica y organizativa única.

A diferencia de otros operadores de JS-sniffer que monetizan los datos de tarjetas bancarias robadas comprando bienes elegantes y luego reveniéndolos o cooperando con tarjetas de terceros, UltraRank creó su propio esquema para monetizar los datos de tarjetas bancarias robadas vendiéndolos a través de una tienda de tarjetas afiliada: ValidCC, cuya infraestructura está vinculada a la de UltraRank.

Según las estadísticas internas de la tienda de tarjetas, su ingreso promedio por la venta de datos de tarjetas bancarias fue de U$S 5,000 a U$S 7,000 por día, en una sola semana en 2019. ValidCC pagó otros U$S 25,000- U$S 30,000 a proveedores externos de datos de pago robados.
El representante oficial de la tienda en los foros clandestinos es un usuario con el sobrenombre de SPR.

En muchas publicaciones, SPR afirma que los datos de la tarjeta vendidos en la tienda ValidCC se obtuvieron utilizando rastreadores JS.

La mayoría de las publicaciones de SPR están escritas en inglés, sin embargo, SPR a menudo cambia al ruso mientras se comunica con los clientes.

Esto podría indicar que ValidCC probablemente sea administrado por un hablante ruso.

Group IB presentó un importante documento
Group IB presentó un importante documento

Otro hecho que sugiere que UltraRank está lejos de ser un jugador común en el mercado de los ciberdelincuentes son los métodos de competencia utilizados por el grupo: los expertos de Group-IB rastrearon los ataques de UltraRank a sitios web ya comprometidos por grupos de ciberdelincuentes rivales y los ataques DDoS en páginas de phishing disfrazadas como la tienda de tarjetas ValidCC.

“El mercado de los ciberdelincuentes está ofreciendo cada vez mejor calidad de servicio, afinando y simplificando los instrumentos para resolver tareas específicas”, comenta el analista de inteligencia de amenazas de Group-IB, Victor Okorokov.

“En la actualidad, los rastreadores JS representan el producto final de la evolución de las herramientas destinadas a comprometer los datos de las tarjetas bancarias, lo que reduce considerablemente la intensidad de recursos de tales ataques.

En los próximos años, definitivamente veremos un crecimiento en el uso de este instrumento malicioso, ya que muchas tiendas en línea y proveedores de servicios aún descuidan su ciberseguridad, utilizando CMS obsoletos que tienen vulnerabilidades “.

Para contrarrestar eficazmente la amenaza del JS-sniffer, los comerciantes en línea deben mantener actualizado su software, realizar evaluaciones de ciberseguridad y auditorías periódicas de sus sitios web y no dudar en buscar la ayuda de especialistas en ciberseguridad cuando sea necesario

 

 

Por Marcelo Lozano – General Publisher IT Connect Latam