一個網絡犯罪組織，專門感染網店竊取支付卡數(shù)據(jù)，對近700家網站和十幾家第三方服務提供商造成了損害。

通過一家會員卡商店出售被盜的支付信息，每周獲利數(shù)萬美元。

該團伙名為UltraRank，至少從2015年起就活躍起來，他們使用了多個網絡瀏覽器，惡意JavaScript代碼，也稱為JS嗅探器。

[[340223]]

惡意代碼注入

Group-IB的安全研究人員說，多年來，UltraRank改變了策略和基礎架構。導致他們的活動與不同的團體都能聯(lián)系起來，這給調查人員增加了調查難度。

在本周的一份技術報告中，研究人員提供了證據(jù)，證明UltraRank是Magecart第2、5和12組事件的幕后推手。

“ UltraRank遠遠超出了普通JS嗅探器運營商的概念，開發(fā)了一種具有獨特技術和組織結構的自主商業(yè)模式”-Group-IB

在2015年，2016年和2018年發(fā)起的三項長期活動中，該團伙能在691個流量較大的個人網站(如體育賽事門票經銷商)上植入JS嗅探器。

然而，考慮到該組織對13家web服務提供商(設計、營銷、開發(fā)、廣告、瀏覽器)的黑客攻擊，他們的惡意軟件可能被全球數(shù)千家網站使用。

通過將惡意代碼注入這些公司提供的產品的腳本中，這些腳本隨后被放置在在線商店的網絡資源上，網絡犯罪分子能夠在所有使用了受感染腳本的在線商店中攔截客戶的銀行卡數(shù)據(jù)

這些受害者中包括法國 在線廣告商Adverline 和廣告/營銷公司Brandit Agency，Brandit Agency還開發(fā)了運行Magento電子商務平臺的網站。

線索

這種威脅攻擊的三個事件都依賴于JS嗅探器，Group-IB將其稱為FakeLogistics，WebRank和SnifLite。它們采用一些共同的功能和基礎結構，這些功能和基礎結構允許將惡意活動跟蹤到該組織的首次攻擊：

• 隱藏服務器位置和域注冊模式的類似方法
• 在不同域名的多個位置存儲相同的惡意代碼
• 混合供應鏈和單目標攻擊

調查起點是主機“ toplevelstatic [.] com”，該主機托管了一個JS嗅探器，該嗅探器用于破壞Brandit Agency。同一域中存儲的文件存在于其他位置，并用于攻擊其他在線商店。

UltraRank從此活動中賺了很多錢。從論壇出售盜竊卡數(shù)據(jù)的統(tǒng)計數(shù)據(jù)中，Group-IB獲悉，黑客在2019年末的一周內賺了50,000美元。

他們通過ValidCC實現(xiàn)了貨幣化，ValidCC是一家出售被盜支付數(shù)據(jù)的知名商店。不過，他們與這家非法商店的合作不僅僅是出售信用卡，因為UltraRank還利用其基礎設施攻擊冒充ValidCC的釣魚網站。

技術證據(jù)清楚地表明了UltraRank與ValidCC之間的聯(lián)系。該連接是該商店使用的三個域的SSL證書，該證書也出現(xiàn)在UltraRank的基礎架構上。

專業(yè)市場與盜取網店銀行卡團伙之間的合作表明，網絡犯罪分子精心組織、微調了經營活動，以獲取最高利潤。

Group-IB的威脅情報分析師Victor Okorokov說，JS嗅探器[Magecart]是用于破壞銀行卡數(shù)據(jù)的工具的演變，從而使攻擊的資源消耗更少。

本文翻譯自：

https://www.bleepingcomputer.com/news/security/ultrarank-hackers-steal-credit-cards-from-hundreds-of-stores/