UltraRank：JS 嗅探执行神器三重威胁，窃取文本银行卡数据

总部位于新加坡的全球威胁搜寻和情报公司Group-IB今天发布了分析报告“UltraRank：JS嗅探三重威胁的意外转折”。Group-IB威胁情报专家提供了将三场攻击与不同javascript嗅探器家族的使用联系起来的证据。javascript嗅探器家族是网络犯罪分子用来盗取文本银行卡数据的工具，该工具先前被网络安全研究人员归于各个Magecart团体黑客组织。该小组被 Group-IB 称为 UltraRank。

在UltraRank的背景下，该报告举例说明了JS嗅探从轻微的网络威胁到有组织的网络犯罪支持的复杂威胁的转变。在短短的五年内，该组织入侵了欧洲，亚洲，北美洲和拉丁美洲的近700个网站和13个第三方供应商，并设计了自己的模式以通过信用卡商店ValidCC将被盗的银行卡文本数据货币化，该商店每天的收入超过5000美元。

Cybercrime prodigy

在不到一年半的时间里，JS嗅探家族的数量增加了一倍以上：今天，Group-IB威胁情报分析师看到至少 96个 JS嗅探家族，而在2019年3月，Group-IB发布了第一项研究面对这一威胁，该数字为 38 个。对地下论坛和卡店的持续监控，对现有JS嗅探样本的最大可能数量的透彻分析以及对新网站感染的搜索使Group-IB专家能够进入新的研究阶段，即归因于涉及特定用户的JS嗅探的攻击。

2020年2月，Group-IB威胁情报专家发现，美国营销公司 The Brandit Agency 为运行内容管理系统（CMS）Magento的客户创建项目网站时遭到了破坏。结果，市场营销机构为其客户创建的至少五个网站感染了JS嗅探。该恶意软件是从主机toplevelstatic.com下载的。这个网站被用来在北美最大的现金处理产品制造商和分销商Block&Company的网站上加载恶意脚本。

第一条线索

上述攻击是Group-IB研究的起点，其结果是发现了攻击者的基础结构，该基础结构与涉及JS嗅探的较早的几种攻击有关。该公司专有的分析系统和独特的数据阵列（包括样本）使Group-IB专家能够在这些事件与已知攻击之间建立联系，网络安全研究人员将其归为三个不同的组，即Group 2、Group 5和Group 12。

原本被认为是不同的事件，结果证明是威胁演员UltraRank进行了三项活动；它们是由Group-IB根据研究人员今天使用的分类命名的–Campaign 2, Campaign 5 and Campaign 12。其中最早的Campaign 2可以追溯到2015年，而Campaign 12一直持续到今天。

在所有这三个活动中，都使用了类似的机制来隐藏威胁参与者的服务器位置和类似的域注册模式。此外，在所有活动中都发现了几个内容相同的恶意代码存储位置。这三个操作的不同之处在于选择了JS嗅探系列-Campaign 2的FakeLogistics，Campaign 5的WebRank和Campaign 12的SnifLite。

五年来，出现在Group-IB研究人员的雷达上，UltraRank多次更改了其基础结构和恶意代码，结果网络安全专家将其攻击错误地归因于其他威胁行为者。UltraRank将对单个目标的攻击与供应链攻击相结合，Group-IB威胁情报团队已成功识别出总共 691个 网站以及 13 个第三方服务提供商的在线资源，其中包括各种广告和浏览器通知服务、网页设计机构、营销机构、受感染的欧洲，亚洲，北美和拉丁美洲的的网站开发人员。

取胜策略

UltraRank远远超越了普通的JS嗅探操作员的概念，已经开发了具有独特技术和组织结构的自主业务模型。与其他JS嗅探运营商不同，他们通过购买豪华商品然后通过转售或与第三方刷卡商合作来将被盗的银行卡数据货币化，UltraRank创建了自己的方案，通过在附属卡店中将其出售来货币化被盗银行卡数据 -ValidCC，其基础结构与UltraRank的基础结构关联。根据卡店的内部统计数据，在2019年的一周内，从销售银行卡数据的平均收入为 $ 5,000 到 $ 7,000 。 ValidCC还向被盗支付数据的第三方供应商支付了另外 $25,000–$30,000 。

该商店在地下论坛上的正式代表是昵称为SPR的用户。在许多帖子中，SPR声称在ValidCC商店中出售的卡数据是使用JS嗅探获得的。SPR的大多数帖子都是用英语编写的，但是，SPR在与客户交流时经常切换为俄语。这可能表明ValidCC可能由俄语使用者管理。

另一个事实表明UltraRank远离网络犯罪市场的普通参与者是该组织使用的竞争方法：Group-IB专家跟踪了UltraRank对已经被竞争对手网络犯罪组织破坏的网站的黑客攻击以及对伪装为ValidCC卡的网络钓鱼页面的DDoS攻击。

Group-IB威胁情报分析师Victor Okorokov表示：“网络犯罪市场正在提供越来越好的服务质量，对解决特定任务的工具进行了微调和简化。” “如今，JS嗅探代表了旨在破坏银行卡数据的工具演变的最终产品，大大降低了此类攻击的资源强度。在未来的几年中，我们肯定会看到这种恶意工具的使用正在增长，因为许多在线商店和服务提供商仍然使用具有漏洞的过时CMS忽略了其网络安全性。”

为了有效应对JS嗅探威胁，在线商人需要保持软件更新，对其网站进行定期的网络安全评估和审核，并且在需要时毫不犹豫地寻求网络安全专家的帮助。