R3NIN 嗅探器工具包 – 对电子商务消费者不断变化的威胁

发表评论 / 信息安全文章

通过嗅探器恶意软件窃取支付卡数据

嗅探器简介

信用卡嗅探器是通常用 JavaScript 编程的恶意代码,旨在秘密窃取受害者在受感染的电子商务/商家网站上输入的支付卡信息和个人身份信息 (PII)。嗅探器程序通常也被称为“在线撇渣器”。R3NIN就是这样一个嗅探器的最新例子。

攻击者向 Web 服务器注入经过混淆的恶意脚本,一旦受害者访问受感染的页面,就会触发该脚本。该脚本捕获输入变量,将其转换为字符串,并将其发送到攻击者托管的嗅探器面板。

图 1 – 嗅探器的工作顺序

攻击者还利用 iFrame(网页内用于在其中加载另一个 HTML 文档的内联框架),诱骗受害者输入虚假弹出窗口要求的其他数据,理想情况下,合法页面上不需要这些数据。

一旦攻击者成功从受感染的网站中窃取受害者的数据,就会以商业化格式进行处理 – 数字 |经验 |CVV |名称,并在地下论坛上出售,用于其他非法目的,例如梳理。

R3NIN 嗅探器

R3NIN 嗅探器是一个即用型工具包和面板,用于从受感染的电子商务网站窃取支付卡数据,并由威胁行为者使用相同的句柄“r3nin”在臭名昭著的俄语网络犯罪论坛上出售。

该工具包的显着功能包括生成用于注入的自定义 JavaScript 代码、跨浏览器泄露受损支付卡数据、管理泄露数据、检查 BN、解析数据和生成统计信息的选项。

嗅探器工具包的入门价格为 1,500 美元,但后来修订为 3,000 美元至 4,500 美元的定价范围。

  • January 13, 2023,发布了版本 1.1,其中包括改进的功能,以实现更好的跨域资源共享 (CORS) 绕过,并添加了新功能“提取器”。
  • January 15,1.2版发布,其中包括完全混淆恶意脚本和隐藏命令和控制(C&C)服务器的URL的功能。
  • January 26,宣布了另一项更新,在嗅探器模块中添加了一个键盘记录器,该键盘记录器可以记录来自多个输入字段的输入,即受感染网站中的“输入”、“选择”、“文本区域”。
  • January 30,在现有嗅探器模块中引入了对内联框架 (iFrame) 的支持。

R3NIN 嗅探器面板的威胁参与者/开发人员在广告线程上发布的视频演示了他们的嗅探器面板,显示了以下显着功能:

图2 – R3NIN嗅探器面板

发电机:

生成恶意条件脚本,该脚本在满足条件时触发自身,即受害者登陆受感染的商家网站。攻击者必须在对话框中输入商家网站上的目标路径。

该视频演示了如何为 URL 终结点生成条件脚本或支付响应网关的路径“/checkout”。然后将脚本注入目标路径,当受害者登陆“结帐”页面时,将触发该路径。

图3 –注入代码生成器

原始数据:

以原始形式显示来自受感染网站的所有嗅探数据,以及用户代理和创建时间。

图 4 – 原始形式的嗅探数据

提取:

一种自动解析器,用于解析所有原始嗅探数据,并根据攻击者指定的字段以干净的格式显示这些数据。攻击者可以通过输入目标网站用于识别所需输入变量的参数 ID 来根据其首选项自定义数据字段。

随附的屏幕截图显示了面板上可用的类别,供攻击者以所需格式解析原始数据:

图 5 – 自动解析器中可用的类别很少
  • 有效期
  • 名字
  • 地址
  • 城市
  • 密码
  • 国家
  • 电子邮件
  • 电话
  • 网站

R3NIN 的工具包可以通过两种不同的方式使用:

从独立脚本执行对象

一个独立的恶意脚本被注入并存储在受感染的支付商家网站上。它捕获受害者在受损付款页面上输入的所有输入,并将它们发送到配置的嗅探器面板。

图 6 – 对象执行方法

从嗅探器面板远程执行

一旦受害者访问受感染的商家网站,从嗅探器面板生成的条件脚本就会触发并从远程服务器调用经过混淆的恶意脚本。恶意脚本被临时注入受害者的会话中,嗅探所有受害者所需的输入,并将其发送回嗅探器面板。

在这种方法中,恶意脚本不必存储在商家网站上,并帮助攻击者保持其恶意脚本不被爬虫和反恶意软件检测到。

图7 –远程执行方法

据称,远程服务器被配置为显示白屏,如果外部来源访问,则会重定向到另一个配置的网页。R3NIN的开发人员将此功能称为“白屏显示”。

PostgreSQL用于管理数据库,该服务建议其购买者安装Django框架来托管嗅探器面板。Django 框架有助于保持嗅探器面板比 PHP 更安全。

为什么嗅探器即服务仍然相关?

我们的持续研究表明,俄罗斯和英国网络犯罪论坛上的拍卖数量大幅增加,列出了基于最常用的电子商务技术解决方案(如Magento,WordPress,Prestashop,OpenCart,Joomla,osCommerce和iFrame)的在线商店的未经授权的后端访问。

由于提供了大量未经授权的商店访问,威胁行为者正在选择R3NIN的嗅探器面板和其他类似的嗅探器即服务,这可能会自动化和加快臭名昭著的窃取信用卡和个人身份信息(PII)数据的尝试。

这些恶意工具和服务还将最大限度地减少威胁行为者处理被盗数据以进一步获利的时间。这是通过设置欺诈易操作(即卡方法)或在地下商店(BidenCash,耶鲁旅馆,俄罗斯市场,布莱恩俱乐部)和网络犯罪论坛(BreachForums,Exploit,XSS)批量出售支付卡数据来单独完成的。

结论

嗅探器的恶意操作发生在合法域上。恶意脚本不直接与受害者的设备交互,使受害者很难识别和理解在线商店是否安全进行支付交易。

但是,建议电子商务商家定期审核其支付页面和与支付网关通信的服务器,以保护他们免受此类损害。银行组织还必须监控在非法论坛和板上出售的支付卡 BN。

原文链接:Cyble — R3NIN Sniffer Toolkit – An Evolving Threat to E-commerce Consumers

相关文章

发表评论

您的电子邮箱地址不会被公开。 必填项已用 * 标注

滚动至顶部