Μια ομάδα hacking που ειδικεύεται στη μόλυνση ηλεκτρονικών καταστημάτων για την κλοπή δεδομένων από πιστωτικές κάρτες, είναι υπεύθυνη για την παραβίαση περίπου 700 ιστότοπων. Η συμμορία που ονομάζεται UltraRank είναι ενεργή τουλάχιστον από το 2015 και χρησιμοποιεί web skimmers και κακόβουλο κώδικα JavaScript γνωστό και ως JS sniffers.
Η συμμορία πωλεί τις πληροφορίες των πιστωτικών καρτών μέσω ενός καταστήματος θυγατρικών καρτών, κερδίζοντας δεκάδες χιλιάδες δολάρια εβδομαδιαία.
Η UltraRank άλλαζε τακτικές
Οι ερευνητές ασφαλείας της Group-IB λένε ότι η ομάδα UltraRank άλλαξε τακτικές και υποδομές αρκετές φορές μέσα σε όλα αυτά τα χρόνια. Όλο αυτό δυσκόλεψε την ταυτοποίηση της, καθώς δεν γνώριζαν με ποιες λειτουργίες και με ποιες καμπάνιες να την συνδέσουν.
Σε μια τεχνική έκθεση που κυκλοφόρησε αυτή την εβδομάδα, οι ερευνητές παρέχουν στοιχεία ότι η UltraRank είναι η ομάδα πίσω από τα περιστατικά που αποδίδονται στην ομάδα Magecart.
Σε τρεις μακροπρόθεσμες καμπάνιες που κυκλοφόρησαν το 2015, το 2016 και το 2018, η συμμορία μπόρεσε να «φυτέψει» JS-sniffers σε 691 μεμονωμένους ιστότοπους με πολύ μεγάλο traffic, όπως sites μεταπώλησης εισιτηρίων αθλητικών εκδηλώσεων.
Ωστόσο, αυτός ο αριθμός είναι συντηρητικός λαμβάνοντας υπόψη την παραβίαση 13 παρόχων υπηρεσιών διαδικτύου από την ομάδα. Οι 13 πάροχοι πιθανώς χρησιμοποιούνται από χιλιάδες website σε όλο τον κόσμο.
Μεταξύ αυτών των θυμάτων είναι η γαλλική διαφημιστική εταιρεία Adverline και η The Brandit Agency, μια εταιρεία marketing που δημιουργεί ιστότοπους που χρησιμοποιούν την πλατφόρμα Magento.
Ενδείξεις
Οι τρεις εκστρατείες της ομάδας που ονομάστηκαν από την Group-IB, FakeLogistics, WebRank και SnifLite, βασίστηκαν στα JS sniffers. Επίσης μοιράστηκαν ορισμένες κοινές δυνατότητες και υποδομές που επέτρεψαν τον εντοπισμό της κακόβουλης δραστηριότητας όταν συνέβαιναν οι πρώτες επιθέσεις από την ομάδα:
- παρόμοιες μέθοδοι για απόκρυψη της τοποθεσίας και των patterns για την καταχώριση του domain
- αποθήκευση του ίδιου κακόβουλου κώδικα σε πολλές τοποθεσίες με διαφορετικά ονόματα domain
- στοχευμένες επιθέσεις
Το σημείο εκκίνησης της έρευνας ήταν ο host “toplevelstatic [.] Com” που φιλοξενούσε ένα JS sniffer για να παραβιάσει την The Brandit Agency. Το ίδιο domain αποθήκευε αρχεία που χρησιμοποιήθηκαν σε επιθέσεις εναντίον άλλων διαδικτυακών καταστημάτων.
Η Group-IB είναι σχεδόν βέβαιη ότι η ομάδα UltraRank χειρίζεται αυτές τις τρεις λειτουργίες, αλλά οι ερευνητές θεωρούν ότι μπορεί να συμμετέχει και σε άλλες καμπάνιες.
