Снифферы атакуют
Group-IB представила аналитический отчет, посвященный исследованию JavaScript-снифферов. Это новый класс вредоносного кода, который предназначен для кражи данных банковских карт на web-сайтах. В ходе исследования компания проанализировала 2440 зараженных онлайн-магазинов, данные посетителей которых (всего около 1,5 млн человек в день) подверглись риску быть скомпрометированными.
Эксперты Group-IB изучили снифферы, которые ранее обнаружили аналитики RiskIQ и Flashpoint. Специалисты Group-IB смогли исследовать инфраструктуру и получить доступ к исходникам, панелям администраторов и инструментам злоумышленников.
Как сообщает пресс-служба компании, эксперты выявили 38 разных семейств JS-снифферов, отличающихся уникальными признаками. При этом восемь из них обнаружены и описаны впервые в мире.
По словам аналитика Threat Intelligence Group-IB Виктора Окорокова, этот тип угрозы долгое время оставался вне поля зрения вирусных специалистов, банков и платежных систем, поскольку не было масштабных инцидентов с использованием JS-снифферов.
"Однако 380 тыс. жертв JS-сниффера, который заразил сайт и мобильное приложение авиакомпании British Airways, компрометация платежных данных американского дистрибьютора билетов Ticketmaster, а также недавний инцидент с британским сайтом спортивного гиганта FILA - риску кражи данных банковских карт тогда подверглось 5,6 тыс. покупателей - свидетельствуют о необходимости изменить отношение к этой угрозе", - сказал Виктор Окороков.
Важно понимать, акцентирует внимание он, что угроза снифферов является не такой банальной, как кажется на первый взгляд. "Инциденты с Ticketmaster, British Airways, FILA доказали, что компания любого масштаба может быть уязвима для такого типа атак. Клиенты, в случае утечки платежных данных, теряют доверие к компании, а ей, в свою очередь, приходится нести операционные издержки на расследование кражи денег, возмещение ущерба и восстановление доверия потребителей", - объясняет Виктор Окороков.
JS-сниффер - это онлайн-аналог скиммера. Но если скиммер - миниатюрное устройство, которое перехватывает данные банковской карты пользователя в банкомате, то JS-сниффер - это несколько строк кода, который внедряется злоумышленниками на сайт для перехвата вводимых пользователем данных.
В пресс-службе Group-IB поясняют, что полученные платежные данные злоумышленники обычно продают на специализированных форумах в даркнете. Цена одной украденной карты составляет от $1 до $5. Реже - $10-15. Значительная часть форумов с предложениями о покупке и аренде JS-снифферов состоит из русскоязычных киберпреступников.
По усредненным подсчетам компании, доход "сниффероводов" может составлять сотни тысяч долларов в месяц.
"Например, ресурсы, зараженные JS-сниффером семейства WebRank, суммарно посещает 250 тыс. человек в день. Если конверсия на этих сайтах составляет всего 1%, то транзакции проводят 2,5 тыс. покупателей ежедневно. Таким образом, при минимальной вилке стоимости украденной карты операторы WebRank могут заработать от $2,5 тыс. до $12,5 тыс. за один день работы сниффера. Это от $75 тыс. до $375 тыс. в месяц. При этом WebRank - лишь третий в "рейтинге" массовости заражений. Ресурсы, зараженные снифферами MagentoName и CoffeMokko, посещает 440 тыс. человек в день", - прокомментировали в пресс-службе Group-IB.
Исследование компании показало, что более половины зараженных сайтов были атакованы сниффером семейства MagentoName, операторы которого используют уязвимости устаревших версий систем управления сайтом CMS Magento (Content Management System).
Более 13% заражений приходится на долю снифферов семейства WebRank, использующего схему атаки на сторонние сервисы для внедрения вредоносного кода на целевые сайты.
Более 11% приходится на заражения снифферами семейства CoffeMokko, операторы которого используют скрипты, нацеленные на кражу данных из форм оплаты определенных платежных систем, названия полей которых жестко записываются в коде сниффера. Среди таких систем - PayPal, Verisign, Authorize.net, eWAY, Sage Pay, WorldPay, Stripe, USAePay.
Как уточнили в пресс-службе Group-IB, многие зловреды семейства снифферов используют уникальные варианты для каждой отдельной платежной системы, что требует модификации и тестирования скрипта перед каждым заражением.
Большая часть обнаруженных снифферов нацелены на платежные формы определенных систем управления сайтом - Magento, OpenCart, Shopify, WooCommerce, WordPress. К таким семействам относятся PreMage, MagentoName, FakeCDN, Qoogle, GetBilling, PostEval. Другие универсальны и могут быть интегрированы в код любого сайта, независимо от используемого "движка" (G-Analitycs, WebRank).
Атака с использованием JS-сниффера может быть многоступенчатой. Анализируя код одного из зараженных магазинов, специалисты Group-IB обнаружили, что в этом случае злоумышленники не ограничились внедрением JS-сниффера. Мошенники использовали полноценную поддельную платежную форму, которая подгружалась с другого скомпрометированного сайта.
Эта форма предлагала пользователю два варианта оплаты - при помощи кредитной карты и при помощи PayPal. Если пользователь выбирал оплату через PayPal, то видел сообщение о том, что этот способ оплаты недоступен в данный момент и единственным вариантом оставалась банковская карта.
По словам Виктора Окорокова, стоимость JS-снифферов на подпольных форумах составляет от $250 до $5000. "Некоторые сервисы дают возможность работать в партнерстве: клиент предоставляет доступ к скомпрометированному онлайн-магазину и получает процент от дохода, а создатель сниффера отвечает за серверы для хостинга, техподдержку и административную панель для клиента", - говорит он.
Большинство из обнаруженных Group-IB онлайн-магазинов, зараженных JC-снифферами, находятся в доменных зонах .com (64%), .uk (6%), .au (2,9%) и .de (2,9%). "В России мы насчитали около десятка зараженных интернет-магазинов. Причина в том, что русскоязычные киберпреступники, использующие снифферы, не совершают преступления там, где живут", - сказал Виктор Окороков.
Специалист разъясняет, что на причастность русскоязычных киберпреступников указывают административные панели снифферов на русском языке, псевдонимы киберпреступников, факт продажи украденных с помощью снифферов платежных данных на русскоязычных подпольных форумах, различные версии административных панелей, которые публиковались на русскоязычных подпольных форумах, адреса электронной почты с русским текстом, написанным транслитом.
По мнению Виктора Окорокова, владельцам и администраторам онлайн-магазинов необходимо делать регулярные профессиональные аудиты безопасности. "Также стоит помнить, что удаление обнаруженного сниффера не гарантирует безопасность в будущем, поэтому проверки необходимо проводить регулярно. Аналитики Group-IB фиксировали случаи, когда одни и те же ресурсы были заражены повторно", - уточняет эксперт.
Также важно устанавливать патчи и для ПО, и для CMS, использовать системы логирования изменений на сайте, чтобы отслеживать внедрение кода. Если система выдает сообщение о подозрительной активности, важно оперативно и профессионально отреагировать на него, чтобы избежать финансовых и репутационных потерь.
Пользователи онлайн-магазинов зачастую являются самым слабым звеном системы безопасности. Вводя свои платежные данные, они даже не подозревают о существовании такого типа угрозы и риске компрометации своих данных. "Основное пожелание пользователям - завести для онлайн-шопинга отдельную карту с минимальным балансом и не привязывать ее к сберегательным счетам", - советует Виктор Окороков.
Руководитель направления Центра информационной безопасности компании "Инфосистемы Джет" Дмитрий Ключников считает, что на данный момент распространение угрозы снифферов несколько сдерживает относительная сложность ее реализации, так как для этого нужно получить доступ к объекту атаки, к сайту. "Однако уже сейчас сам по себе готовый JS-сниффер не является труднодоступным средством. Реализация же атаки с помощью JS-сниффера приносит злоумышленнику куда большие дивиденды в сравнении с инвестициями. Сложно назвать этот вид угроз плохо изученным, а вот плохо обнаружимым - вполне", - замечает Дмитрий Ключников.
Руководитель отдела аналитики Positive Technologies Евгений Гнедин полагает, что снифферы - действительно тренд в атаках на любые веб-приложения и сайты, которые предоставляют сервисы оплаты. "В том числе под угрозой находятся и российские веб-ресурсы. Учитывая нашу статистику защищенности веб-приложений, взломать сайт и внедрить в него небольшой кусок JavaScript-кода не составляет большой сложности. Злоумышленник может получить полный контроль над каждым пятым веб-приложением - 19%", - сказал он.
Эксперты Positive Technologies, говорит Евгений Гнедин, заметили, что после двухгодичного курса на снижение доли веб-приложений, содержащих уязвимости высокого уровня риска, она вновь выросла и достигла 67%. Наиболее распространены уязвимости, связанные с недостаточной авторизацией, возможностью загрузки или чтения произвольных файлов, а также с возможностью внедрения SQL-кода.
В пресс-службе Dr.Web заявили, что не считают снифферы актуальным типом угрозы для России: "Массивы украденных данных банковских карт российских эмитентов, которые попадают на черные рынки, чаще всего укладываются в 0,7-1% от общего числа. И речь здесь идет о картах, украденных другими способами, а вовсе не снифферами".
По данным Dr.Web, с учетом распространения приложений типа Web-application firewall (WAF), защищающих веб-сайты от подобных атак, вряд ли можно спрогнозировать ущерб от снифферов в ближайшем будущем.
Технический директор Eset Russia Виталий Земских утверждает, что от общего количества киберугроз в РФ снифферы составляют не более 0,5%. "Скорее всего, этот тип угроз будет расти, так как электронная коммерция в РФ из года в год показывает уверенный рост", - сказал Виталий Земских.
По его оценке, перехват и анализ пользовательского трафика - обычное дело для хакеров. "Производителям CMS нужно уделять больше внимания безопасности своих продуктов, владельцам интернет-магазинов не использовать бесплатные системы управления и пользоваться проактивными средствами защиты, а пользователям применять комплексное антивирусное решение с защитой онлайн-платежей", - резюмирует Виталий Земских.