JS-sniffer FakeSecurity: Campaña maliciosa masiva

JS-Sniffer
JS-Sniffer

Group-IB publicó su informe titulado «Crimen sin castigo: análisis en profundidad de JS-sniffers» , que analizó 15 familias diferentes de JS-sniffers utilizadas para infectar más de 2000 sitios web de comercio electrónico.

Tiempo atrás los especialistas de Group-IB detectaron una nueva familia de rastreadores JS llamada FakeSecurity.
Fue utilizado por un grupo de ciberdelincuencia dirigido a sitios web basados ​​en Magento.
Mientras atacaban sitios web, los atacantes inyectaban un enlace a un código malicioso en el código fuente del sitio web.

JS-Sniffer

El análisis mostró que durante una campaña maliciosa reciente, el grupo de delitos informáticos utilizó malware que roba contraseñas e intentó infectar a los comerciantes en línea para infectar sus sitios web con JS-sniffer.
Todos los sitios web infectados han sido notificados por el Equipo de Respuesta a Emergencias Informáticas de Group-IB sobre la presencia de inyecciones maliciosas.

Análisis

Los especialistas de Group-IB detectaron una nueva familia de rastreadores JS llamada FakeSecurity . 
Fue utilizado por un grupo de delitos informáticos dirigido a sitios web basados ​​en Magento. 
Al atacar sitios web, los atacantes inyectaron un código malicioso en el código fuente del sitio web. 
El script se ejecuta cada vez que una víctima navega por una tienda en línea. 
Roba la información de pago del usuario durante el pago y la envía al servidor del atacante. 
Durante las primeras oleadas de ataques, el rastreador de FakeSecurity utilizó el nombre de dominio magento-security [.] Org como puerta de entrada para las credenciales robadas y para almacenar el código fuente del rastreador.
8f73cd28617e497932f93448c5cd3c9e
El mismo rastreador se detectó más tarde en otros sitios web basados ​​en Magento, pero los atacantes habían cambiado los nombres de dominio utilizados para almacenar el código fuente de JS-sniffer:

  • fiswedbesign.com

  • alloaypparel.com

Ambos nombres de dominio se registraron utilizando la misma dirección de correo electrónico, greenstreethunter@india.com.
Aparte de estos dos nombres de dominio, los atacantes crearon un tercer nombre de dominio, firstofbanks.com, utilizando la misma dirección de correo electrónico.
4a97feef18923e4998f1225422d69954
Al analizar los tres nombres de dominio utilizados por quienes están detrás del rastreador JS de FakeSecurity , se estableció que algunos de ellos se utilizaron en una campaña maliciosa.
Como parte de esta campaña, los atacantes habían estado propagando malware desde marzo de 2019.
Los atacantes enviaron enlaces a páginas falsas que informaban a las víctimas sobre la falta de un complemento necesario para mostrar el documento correctamente.
Si un usuario descargó el complemento, su computadora estaba infectada con el malware que roba contraseñas.
4eb34a2c51b3573cd7fd79b858862778

Había 11 enlaces únicos a páginas falsas que instaban al usuario a instalar una aplicación maliciosa:

  1. hxxps: //www.etodoors [.] com / uploads / Statement00534521.html
  2. hxxps: //www.healthcare4all [.] co.uk/manuals/Statement00534521.html
  3. -hxxps: //www.healthcare4all [.] co.uk/lib/Statement001845.html
  4. hxxps: //www.healthcare4all [.] co.uk/doc/BankStatement001489232.html
  5. -hxxp: // verticalinsider [.] com / bookmarks / Bank_Statement0052890.html
  6. hxxp: // thepinetree [.] net / n / docs / Statement00159701.html
  7. hxxps: //www.readicut [.] co.uk/media/pdf/Bank_Statement00334891.html
  8. -hxxp: //www.e-cig [.] com / doc / pdf / eStmt.html
  9. hxxps: //www.genstattu [.] com / doc / PoliceStatement001854.html
  10. -hxxps: //www.tokyoflash [.] com / pdf / statment001854.html
  11. hxxps: //www.readicut [.] co.uk/media/pdf/statment00789.html
Las víctimas potenciales de esta campaña maliciosa recibieron mensajes de correo electrónico no deseado que contenían un enlace a una página falsa de 1° nivel.
Dichas páginas contienen sólo un pequeño documento HTML con un elemento iframe incrustado que el contenido de cargas desde un diferente 2 nd página/nivel.
Las páginas de segundo nivel son páginas de destino con contenido que insta a los usuarios a instalar una aplicación.
En el caso de esta campaña maliciosa, los atacantes utilizaron una página de destino que imita un visor de PDF en línea y la página muestra un mensaje sobre un complemento faltante para Adobe Reader, razón por la cual el enlace de 1° nivel imitaba un enlace a un archivo PDF.
Las páginas de segundo nivel contienen enlaces a archivos EXE, que se instalan en la computadora de la víctima después de hacer clic en el botón «Descargar complemento».
Examinemos un ejemplo de una página de destino maliciosa. Una víctima potencial recibe un enlace a un archivo HTML a través de un mensaje de correo electrónico no deseado, por ejemplo, hxxps: //www.healthcare4all [.] Co [.] Uk / manuales / Statement00534521.html.
Este archivo HTML contiene un elemento iframe con un enlace al contenido principal de la página; en este caso, todo el contenido se almacenó mediante el enlace hxxps: // alloaypparel [.] com / view / public / Statement00534521 / PDF / Statement001854.pdf.
Como podemos ver en este ejemplo, para almacenar el contenido principal de una página falsa, los atacantes no utilizaron un sitio web comprometido, sino un nombre de dominio creado con fines maliciosos.
En la interfaz de la página falsa, hay un botón con el texto «Descargar complemento».
Si la víctima hace clic en este botón, descargará una aplicación maliciosa a través de la dirección URL del código fuente de la página falsa; en este caso,
El análisis del nombre de dominio alloaypparel.com ayudó a los expertos a establecer que, para difundir malware, los atacantes utilizaron el kit de phishing Mephistophilus, que permite crear e implementar páginas de inicio de phishing diseñadas para distribuir malware.
Mephistophilus utiliza varios tipos de páginas que instan a los usuarios a instalar un complemento faltante para que la aplicación funcione correctamente, pero en lugar de un complemento, los usuarios descargan una carga útil maliciosa por URL, establecida por el operador en el panel de administración del kit de phishing Mephistophilus.

«Mephistophilus»

Un sistema para ataques de phishing dirigidos, apareció a la venta en agosto de 2016. Se basa en el uso de varios kits de phishing diseñados para la distribución de malware disfrazados como una instalación de complementos faltantes (MS Word, MS Excel, PDF, YouTube). para ver documentos en línea o páginas web.
Mephistophilus fue desarrollado y lanzado por un usuario del foro clandestino con el apodo de ‘Kokain’.
Para infectar con éxito a través de un kit de phishing, los atacantes deben pedir a los usuarios que hagan clic en el enlace que conduce a la página creada por Mephistophilus.
Independientemente del tema de la página de phishing, los usuarios verán una ventana emergente con un mensaje de que necesitan instalar un complemento faltante para poder ver un documento en línea o un video de YouTube.
Con este fin, Mephistophilus tiene varios tipos de páginas de phishing que imitan servicios legítimos en línea:

  1. Visor en línea para documentos de Microsoft Office365 Word o Excel
  2. Visor en línea para archivos PDF
  3. Página de YouTube clonada
4adee39e1aceb672a46fad616f38de98
Durante esta campaña maliciosa, el grupo de ciberdelincuencia no solo utilizó nombres de dominio registrados para lograr sus objetivos; también utilizaron sitios web de comercio electrónico comprometidos para almacenar muestras de malware.
Algunos de estos sitios web fueron infectados con el rastreador JS de FakeSecurity en ataques anteriores realizados por este grupo de ciberdelincuencia.

5 muestras de malware únicas

En total, hubo 5 enlaces únicos a 5 muestras de malware únicas ; cuatro de ellos se almacenaron en sitios web comprometidos que se ejecutan en CMS Magento:

  1. hxxps: //www.healthcare4all [.] co [.] uk / manuales / Adobe-Reader-PDF-Plugin-2.37.2.exe
  2. -hxxps: //www.genstattu [.] com / doc / Adobe-Reader-PDF-Plugin-2.31.4.exe
  3. hxxps: // firstofbanks [.] com / file_d / Adobe-Reader-PDF-Plugin-2.35.8.exe
  4. -hxxp: // e-cig [.] com / doc / Adobe-Reader-PDF-Plugin-2.31.4.exe
  5. hxxp: // thepinetree [.] net / docs / msw070619.exe
Las muestras de malware distribuidas durante esta campaña fueron muestras del ladrón de contraseñas de Vidar , diseñado para interceptar contraseñas de los navegadores de los usuarios y diversas aplicaciones.
Vidar es un ladrón de contraseñas que intercepta contraseñas guardadas en navegadores y diversas aplicaciones y archivos de computadoras infectadas. Además de robar contraseñas, Vidar recopila archivos de computadoras infectadas mediante máscaras definidas por operadores de malware y luego envía estos archivos al servidor C2.

Esta función facilita el proceso de búsqueda y robo de archivos de billetera de criptomonedas.

Vidar se clasifica como malware como servicio; Todos los datos recopilados de las computadoras infectadas se envían a la puerta y luego a un panel administrativo centralizado que cada cliente del servicio de malware puede usar para ver los datos recopilados.
El ladrón de Vidar fue desarrollado y lanzado en noviembre de 2018 por un usuario del foro clandestino con el apodo de ‘Loadbaks’.
Según la descripción del desarrollador, Vidar roba contraseñas de navegadores, archivos por rutas y máscaras predefinidas, información de tarjetas bancarias, archivos de billetera de criptomonedas fríos, historial de chat de Skype y Telegram e historial del navegador.
El precio de alquiler de este ladrón varía entre $ 250 y $ 300 por mes.
El panel de administración del ladrón y los nombres de dominio, que se utilizan como puertas, están ubicados en servidores controlados por los autores de Vidar, lo que reduce los costos de soporte de infraestructura del ladrón para los clientes.
9e55ebcf7b1d03e126383f7edc59e7ee
En el caso del archivo malicioso msw070619.exe , además de la entrega a través de las páginas de destino de Mephistophilus, los atacantes también utilizaron un archivo DOC malicioso con una macro incrustada, BankStatement 0040918404.doc

(MD5: 1b8a824074b414419ac10f5ded847ef1),

que elimina los archivos ejecutables después de que se habilita la edición.
Este archivo DOC se envió como un archivo adjunto en un mensaje de correo electrónico malicioso, lo que significa que el envío masivo de correos electrónicos fue uno de los aspectos de la campaña maliciosa realizada por el grupo de delitos informáticos.
05983b94ee37eaf20cfe263603527aca

El mensaje detectado

(MD5: 53554192ca888cccbb5747e71825facd) se envió a la dirección de contacto de un sitio web de comercio electrónico que se ejecuta en el CMS Magento, lo que podría significar que algunos de los objetivos de la campaña eran administradores de tiendas en línea.
El objetivo final de infectar a los administradores del sitio web de Magento era obtener acceso al panel de administración de Magento y otros CMS de comercio electrónico para instalar un rastreador JS y robar información del cliente.
cc908770fbf6d121789d9d26298e6142

Por lo tanto, el proceso de infección completo se componía de estos pasos:

Los atacantes implementaron el panel de administración del kit de phishing Mephistophilus en el sitio web alloaypparel. com.

Los atacantes utilizaron sitios web pirateados y sus propios sitios web para almacenar cargas útiles de malware que roba contraseñas.

Además con el kit de phishing, los atacantes implementaron varias páginas de destino para la distribución de malware; también crearon documentos maliciosos que contienen macros diseñadas para hacer que las víctimas descarguen e instalen cargas útiles maliciosas en las computadoras infectadas.

Además los atacantes enviaron correos electrónicos masivos que contenían archivos maliciosos y enlaces a páginas de destino para la instalación de malware.

Al menos algunos de sus objetivos eran administradores de sitios web de comercio electrónico.

Si la computadora del administrador del sitio web se infectó con éxito, los atacantes utilizaron las credenciales del administrador para obtener acceso al panel de administración del CMS de comercio electrónico con el fin de instalar un JS-sniffer diseñado para robar información sobre las tarjetas bancarias utilizadas por los clientes de la tienda en línea infectada. .

Enlaces a otros ataques

Además la infraestructura del atacante se implementó en el servidor con la dirección IP 200.63.40.2, que es propiedad de un proveedor de servidor dedicado, Panamaserver.com.
Antes de la campaña maliciosa de FakeSecurity, este servidor se usaba con fines de phishing y para implementar paneles de administración de varias familias de malware para robar contraseñas.
En base a las características de la campaña FakeSecurity, es posible que los paneles de administración de los ladrones de Lokibot y AZORUlt, que estaban desplegados en este servidor, fueran utilizados en ataques anteriores realizados por este grupo en enero de 2019.
Según una publicación de blog
(https: //myonlinesecurity.co.uk/lokibot-via-multiple-embedded-ole-objects-in-fake-invoice-rtf-word-docs/ ), el 14 de enero de 2019, atacantes desconocidos enviaron correos electrónicos masivos que contenían archivos DOC maliciosos que instaló el malware Lokibot en las computadoras infectadas.
Se enviaron más correos electrónicos masivos, esta vez con documentos maliciosos que instalaron muestras del malware AZORUlt

(https://twitter.com/dvk01uk/status/1086131035472048128).

Durante esta campaña maliciosa, se detectaron tres paneles de administración en el servidor con la dirección IP 200.63.40.2:

  1. http://chuxagama.com/web-obtain/Panel/five/PvqDq929BSx_A_D_M1n_a.php (Lokibot)
  2. -http://umbra-diego.com/wp/Panel/five/PvqDq929BSx_A_D_M1n_a.php (Lokibot)
  3. http://chuxagama.com/web-obtain/Panel/five/index.php (AZORUlt)
Los nombres de dominio chuxagama.com y umbra-diego.com fueron registrados por el mismo usuario, utilizando la dirección de correo electrónico dicksonfletcher@gmail.com.
Esta dirección de correo electrónico también se utilizó para crear el nombre de dominio worldcourrierservices.com en mayo de 2016, que más tarde se utilizó como sitio web para la empresa falsa World Courier Service.
Partiendo de que, durante la campaña de malware FakeSecurity, los atacantes utilizaron malware de robo de contraseñas, enviaron correos electrónicos masivos para su distribución y utilizaron el servidor con dirección IP 200.63.40.2, podemos suponer que ambas campañas, incluida la campaña de enero de 2019 , fueron realizados por el mismo grupo de delitos informáticos.

Nombre de archivo Adobe-Reader-PDF-Plugin-2.37.2.exe

  1. MD5 3ec1ac0be981ce6d3f83f4a776e37622
  2. SHA-1 346d580ecb4ace858d71213808f4c75341a945c1
  3. SHA-256 6ec8b7ce6c9858755964f94acdf618773275589024e2b66583e3634127b7e32c
  4. Tamaño 615984

Nombre de archivo Adobe-Reader-PDF-Plugin-2.31.4.exe

  1. MD5 58476e1923de46cd4b8bee4cdeed0911
  2. SHA-1 aafa9885b8b686092b003ebbd9aaf8e604eea3a6
  3. -SHA-256 15abc3f55703b89ff381880a10138591c6214dee7cc978b7040dd8b1e6f96297
  4. Tamaño 578048

Nombre de archivo Adobe-Reader-PDF-Plugin-2.35.8.exe

  1. MD5 286096c7e3452aad4acdc9baf897fd0c
  2. SHA-1 26d71553098b5c92b55e49db85c719f5bb366513
  3. -SHA-256 af04334369878408898a223e63ec50e1434c512bc21d919769c97964492fee19
  4. Tamaño 1069056

Nombre de archivo Adobe-Reader-PDF-Plugin-2.31.4.exe

  1. MD5 fd0e11372a4931b262f0dd21cdc69c01
  2. SHA-1 54d34b6a6c4dc78e62ad03713041891b6e7eb90f
  3. -SHA-256 4587da5dca2374fd824a15e434dae6630b24d6be6916418cee48589aa6145ef6
  4. Tamaño 856576

Nombre de archivo msw070619.exe

  1. MD5 772db176ff61e9addbffbb7e08d8b613
  2. SHA-1 6ee62834ab3aa4294eebe4a9aebb77922429cb45
  3. SHA-256 0660059f3e2fb2ab0349242b4dde6bf9e37305dacc2da870935f4bede78aed34
  4. Tamaño 934448
  1. fiswedbesign.com
  2. alloaypparel.com
  3. firstofbanks.com
  4. magento-security.org
  5. mage-security.org
  1. https: //www.healthcare4all [.] co.uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe
  2. www.genstattu [.] com / doc / Adobe-Reader-PDF-Plugin-2.31.4.exe
  3. https: // firstofbanks [.] com / file_d / Adobe-Reader-PDF-Plugin-2.35.8.exe
  4. http: // e-cig [.] com / doc / Adobe-Reader-PDF-Plugin-2.31.4.exe
  5. www.thepinetree [.] net / docs / msw070619.exe
908f91eec3d043b4245fc3774e2e9e5a
Por Victor Okorokov
Analista de inteligencia de amenazas en Group-IB

JS-sniffer, JS-sniffer, JS-sniffer

JS-sniffer, JS-sniffer, JS-sniffer

JS-sniffer, JS-sniffer, JS-sniffer