Kreditkarten-Sniffer stellen eine anhaltende Bedrohung für die wachsende E-Commerce-Branche dar

Klicken Sie hier um die komplette Analyse als PDF herunterzuladen.

Recorded Future analysierte aktuelle Daten der Recorded Future ® -Plattform, Informationssicherheitsberichte und andere Open Source Intelligence-Quellen (OSINT), um Sniffer zu identifizieren, die die Kampagnen von Bedrohungsakteuren unterstützen. Dieser Bericht vertieft die Erkenntnisse des Berichts „ Automatisierung und Kommerzialisierung in der Untergrundwirtschaft“ und geht auf Berichte über Datenbankverletzungen, Checker und Brute-Force-Programme sowie Loader und Crypter ein. Dieser Bericht dürfte vor allem für Netzwerkverteidiger, Sicherheitsforscher und Führungskräfte von Interesse sein, die mit dem Management und der Eindämmung von Sicherheitsrisiken betraut sind.

Executive Summary

Da die globale Wirtschaft immer mehr Transaktionen online abwickelt, investieren Bedrohungsakteure mehr in die Identifizierung und Ausnutzung von Schwachstellen in Zahlungsverarbeitungssystemen und -schnittstellen von Websites. Dabei handelt es sich insbesondere um solche, die es Bedrohungsakteuren ermöglichen, schädliches JavaScript (JS) einzuschleusen und Kundendaten sowie Zahlungskartendetails abzugreifen.

Wie dieser und frühere Berichte von Recorded Future zeigen, ist das Einschleusen von bösartigem JS-Code in Websites nicht nur Magecart vorbehalten – ein Oberbegriff für Bedrohungsakteursgruppen, die diese Technik verwenden –, sondern wird auch von mehreren Bedrohungsakteuren im Dark Web vermarktet, die maßgeschneiderte Zahlungs-Sniffer entwickeln, die regelmäßig aktualisiert werden, über mehrere Funktionen verfügen und zum Kauf oder zur Miete angeboten werden. Diese leicht verfügbaren Sniffer-Varianten ermöglichen es Cyberkriminellen, vertrauliche Informationen von kompromittierten Websites zur Zahlungsabwicklung zu stehlen und abzugreifen. Solange sich diese Angriffe auszahlen, werden Bedrohungsakteure wie die drei in diesem Bericht porträtierten Personen wahrscheinlich auch weiterhin maßgeschneiderte Sniffer entwickeln und verkaufen, mit denen sich aktuelle Sicherheitsmaßnahmen und Warnungen umgehen lassen.

Hintergrund

In der heutigen Cyber-Bedrohungslandschaft setzen Bedrohungsakteure beim Diebstahl von Zahlungskartennummern und anderen personenbezogenen Daten (PII) drei gängige Taktiken, Techniken und Verfahren (TTPs) ein: Skimmer und Shimmer, Point-of-Sale (PoS)-Malware und Sniffer. Wir definieren diese Techniken, die nicht austauschbar sind, wie folgt:

• Skimmer und Shimmer: Hardwaregeräte, die in Geldautomaten, Zapfsäulen und andere physische Zahlungsterminals eingesetzt oder darüber gelegt werden. Diese Geräte sind dafür ausgelegt, die Spur-1- und Spur-2- Daten von Zahlungskarten sowie manchmal PIN-Codes zu extrahieren.
• Point-of-Sale-Malware: Schädlicher Code oder bösartige Software, die auf Zahlungsterminals abzielt und darauf ausgelegt ist, Track-1- oder Track-2-Zahlungsdaten zu erfassen, was in einigen Fällen für die Durchführung von Card-Not-Present -Transaktionen (CNP) verwendet werden kann. Technisch gesehen kann PoS-Malware Sniffing betreiben, normalerweise handelt es sich dabei jedoch um Netzwerk- und nicht um Zahlungs-Sniffing. Recorded Future hat mindestens 92 PoS-Malware-Varianten identifiziert.
• Sniffer: Schädlicher Code, normalerweise JavaScript (JS), der in das Zahlungssystem einer Website eingeschleust wird und darauf ausgelegt ist, Zahlungskarteninformationen zu stehlen, darunter Kartenprüfwerte (CVVs), die drei- oder vierstellige Nummer auf der Rückseite von Kreditkarten sowie andere PII. Zu den Methoden der Code-Injektion gehören XSS-Angriffe, Formjacking, Code von Drittanbietern und die Wiederverwendung von Bibliotheken.

Da immer mehr Verkäufe online und über mobile Transaktionen erfolgen, konzentrieren sich Bedrohungsakteure auf die Identifizierung von Schwachstellen in E-Commerce-Plattformen und Checkout-Seiten von Websites. Besonders jetzt während der COVID-19-Pandemie – die E-Commerce-Umsätze stiegen im April 2020 Berichten zufolge um 49 Prozent – sind Bedrohungsakteure finanziell motiviert, aus diesen Veränderungen Kapital zu schlagen. Diese Schwachstellen und Trends werden nicht nur von einzelnen Bedrohungsakteuren ausgenutzt, sondern auch von Advanced Persistent Threats (APTs), wie etwa der nordkoreanischen APT Lazarus Group, die im Juli 2020 identifiziert wurde und die es auf die Websites großer US-amerikanischer und europäischer Online-Einzelhändler abgesehen hat.

Wenn ein Bedrohungsakteur einen Sniffer verwendet, schleust er bösartiges JS ein, das automatisch die Daten der Kunden erfasst, die die infizierte Website besuchen. Auf diese Weise können die Zahlungskarten- und PII-Daten zahlreicher Kunden automatisiert erfasst werden. Der Sniffer leitet die kompromittierten Daten zur weiteren Verarbeitung und Nutzung an das C2 des Bedrohungsakteurs weiter. Wenn es einem Bedrohungsakteur gelungen ist, CNP-Daten von den Checkout-Seiten von E-Commerce-Websites zu stehlen, können diese CNP-Daten zum Kauf von Waren und Dienstleistungen verwendet oder in Kreditkartenshops verkauft werden. Bedrohungsakteure verwenden die kompromittierten CNP-Daten häufig, um selbst mithilfe von Card-Not-Present-Transaktionen hochliquide Waren oder Dienstleistungen zu kaufen.

Wie in diesem Bericht erläutert, ist „Magecart“ – der Oberbegriff für Bedrohungsakteursgruppen, die durch bösartige JS-Injektion kompromittierte Zahlungsdaten von Websites abgreifen – nicht die einzige Gruppe von Bedrohungsakteuren, die bösartiges JS verwenden. Recorded Future hat Bedrohungsakteure im Dark Web identifiziert und untersucht, die über Dark Web-Quellen hinweg angepasste Sniffer-Varianten bewerben, die einzigartige Attribute enthalten und von den Betreibern regelmäßig aktualisiert werden, um neu implementierte Sicherheitsmaßnahmen zu umgehen.

Maßgeschneiderte Sniffer-Varianten und die dahinter stehenden Bedrohungsakteure

Sotschi

„Sochi“ ist der primäre Spitzname, der von mindestens zwei verschiedenen russischsprachigen Personen verwendet wird, die in mindestens drei Foren aktiv sind: Exploit, Verified und Club2CRD. Sochi ist der Entwickler des JS-Sniffer „Inter“ und des Trojaners Android Red. Im März 2019 untersuchte Recorded Future die Darknet-Aktivitäten in Sotschi und fand folgende Informationen:

• Weitere von Sochi verwendete Spitznamen sind: „xx5“ (verifiziert) und „SSN“ (Club2CRD).
• Zu den angebotenen kriminellen Aktivitäten und Diensten gehören die Entwicklung von Schadsoftware, Bulletproof Hosting, die Kompromittierung von E-Commerce-Websites, Auszahlungen, der Kauf kompromittierter Bankdaten und Website-Zugriffe sowie der Weiterverkauf kompromittierter Daten von anderen Bedrohungsakteuren, darunter „BuyCC“ und „LookigtoBuy“.
• Sotschi hat außerdem angeboten, potenzielle Zugänge zu Online-Shops mit Zahlungslösungen aller Art aufzukaufen: Zahlungsformular auf der Website, Iframe oder Weiterleitung. Der Bedrohungsakteur bietet bis zu 85 Prozent der kompromittierten Zahlungskarten aus dem bereitgestellten Zugang oder 20.000 US-Dollar im Austausch für 1.000 Kreditkarten.

Was Sotschis Sniffer-Variante Inter betrifft, stellten wir fest, dass der Bedrohungsakteur im Dezember 2018 damit begann, dafür zu werben. Er beschrieb sie als einen universellen Sniffer, der darauf ausgelegt ist, CNP-Zahlungsdaten von Zahlungsplattformen zu stehlen, insbesondere von Magento, OpenCart und OsCommerce sowie von Websites, die Iframes oder Zahlungsabwickler von Drittanbietern verwenden. Einige Instanzen von Inter wurden bei der Suche nach verschiedenen Zeichenfolgen wie „GetCCInfo:fuction“ im Quellcode einer Website gefunden.

Derzeit verkauft Sotschi Lizenzen für Inter für rund 1.000 US-Dollar. Im Kaufpreis sind die Nutzlast des Sniffer, ein Benutzerhandbuch, ein rund um die Uhr verfügbarer Kundendienst, ein kostenloses Admin-Panel und Upgrades enthalten. Inter verfügt über die folgenden technischen Möglichkeiten und Funktionen:

• Erfasste Daten werden in ein GIF-Bildformat umgewandelt, bevor sie an das Bedienfeld übertragen werden, was eine Exfiltration über eine GET-Anfrage ermöglicht.
• Der Sniffer stört oder trennt die SSL-Verbindung nicht.
• Inter wird regelmäßig aktualisiert, damit es von Antivirensoftware nicht erkannt wird.

Billar

„Billar“ ist ein russischsprachiger Bedrohungsakteur, der seit 2013 in der kriminellen Unterwelt aktiv ist und auch unter dem Namen „mr.SNIFFA“ auftritt. Billar ist der Erfinder und alleinige Entwickler eines JS-Kreditkarten-Sniffer namens „mr.SNIFFA“, für den er am 3. Dezember 2019 erstmals im Exploit Forum Werbung machte.

**Abbildung 1**: Bemerkenswerte Billar-Aktivitäten von Dezember 2019 bis Juli 2020. (Quelle: Aufgezeichnete Zukunft)

Am 30. März 2020 teilte „Ubercri“, ein bekannter Hacker und Mitglied mehrerer Untergrund-Communitys, den Mitgliedern des Exploit Forums mit, dass einige der Admin-Panels von mr.SNIFFA über eine Google-Suche gefunden werden können, wodurch sich Unternehmen und Websites, die von der Sniffer-Variante von Billar kompromittiert wurden, leicht identifizieren lassen.

Am 29. Juni 2020 veröffentlichte „RedBear“, ein erfahrener Malware-Programmierer, Penetrationstester und Reverse Engineer, im XSS Forum eine Untersuchung, die möglicherweise den Betreiber von Billar identifizierte. Laut RedBear wird Billar von „Mikhail Mikhailovich Shkrobanets“ betrieben. Die Analysten von Recorded Future überprüften die Recherchen von RedBear und analysierten die Schritte zur Identifizierung von Shkrobanets. Sie kamen zu dem Schluss, dass die Recherchen von RedBear vollständig und wahrscheinlich auch richtig sind, auch wenn einige der Schritte, die RedBear zur Identifizierung von Billar unternahm, weder legal noch ethisch waren.

Derzeit wirbt Billar für mr.SNIFFA im Exploit Forum für etwa 3.000 $. Das Paket umfasst die folgenden Funktionen:

• Eine einzigartige Möglichkeit zum Empfangen, Implementieren und Ausführen von Malware-Code
• Browserübergreifender verschleierter Datentransfer
• MaxMind GeoIP-Integration
• Ein Admin-Panel mit verbesserter Sicherheit zur Abwehr von Brute-Force- und DDoS-Angriffen
• 24/7-Support und Flexibilität für alle Kundenbedürfnisse

Poter

„poter“ ist Mitglied mehrerer hochrangiger russischsprachiger Untergrundforen, darunter Exploit, Verified und Korovka, sowie des weniger wichtigen Forums Monopoly und hat sich in einigen Foren bereits 2014 erstmals registriert. Poter ist mit verschiedenen Arten von Finanzbetrugstechniken vertraut, darunter E-Commerce, Zahlungskartenbetrug und Geldwäsche. Außerdem kennt er sich mit der Codierung von Malware aus und ist Entwickler verschiedener Phishing- und Betrugswebsites, E-Mails, Admin-Panels und Datengrabber, die für Android, Apple, PayPal, Visa, SunTrust, Flash Player und andere Organisationen anwendbar sind.

**Abbildung 2**: Poters Aktivitäten im Dark Web. (Quelle: Aufgezeichnete Zukunft)

Der Bedrohungsakteur ist ein bekannter Entwickler des „Universal Sniffer“, der in der Lage ist, Zahlungskartendaten und Passwörter der Opfer zu stehlen. Diese Sniffer-Variante erschien erstmals am 17. Juli 2016 im Exploit Forum und wurde am 10. Januar 2019 vom selben Bedrohungsakteur entfernt. Es ist unklar, warum Poter die Werbung für seinen Universal Sniffer eingestellt hat. Es ist möglich, dass andere Bedrohungsakteure ihn weiterhin privat nutzen.

Laut Poter verfügte der Universal Sniffer über die folgenden grundlegenden technischen Funktionen, die vom Bedrohungsakteur regelmäßig aktualisiert wurden:

• Geschrieben in JS
• Alle kompromittierten Bankidentifikationsnummern (BIN) geprüft
• Organisieren Sie gestohlene Zahlungskarten in einem einzigen Format
• Gelöschte wiederkehrende Zahlungskarten
• Abgreifen von Anmeldedaten, Passwörtern und Liefer-/Rechnungsadressen von kompromittierten Zahlungskarten
• Herausfiltern kompromittierter Zahlungskarten nach Bundesstaat

**Abbildung 3**: Das Sniffer-Administrationsbereich zeigt kompromittierte Einstellungen zur Erkennung von Zahlungskartenfeldern an.

**Abbildung 4**: Sniffer-Schnittstelle mit kompromittierten Daten kann nach Datum, IP-Adresse und Benutzeragent sortiert werden.

Ursprünglich hatte Poter den Preis für den Sniffer mehrere Tausend Dollar verlangt, später jedoch auf wenige Hundert Dollar gesenkt, um mehr Benutzer anzulocken. Am 16. Juli 2018 gab Poter bekannt, dass man genügend Kunden habe und senkte den ursprünglichen Preis für den Sniffer von mehreren Tausend Dollar.

Während unserer Untersuchung konnte Recorded Future keine Beweise dafür finden, dass die drei oben genannten Bedrohungsakteure kompromittierte Carding-Daten, die sie mit ihren maßgeschneiderten Sniffer-Programmen abgerufen hatten, verwendeten oder verkauften. Da der Zweck von Sniffer jedoch darin besteht, Zahlungskarteninformationen zu stehlen und diese Informationen nur dann einen Wert haben, wenn sie zu Geld gemacht werden können, ist es sehr wahrscheinlich, dass die Karteninformationen entweder verkauft oder zum Online-Kauf von Waren verwendet wurden, die dann weiterverkauft wurden. Ein Beispiel dafür, wie Monetarisierung funktioniert, ist die Verwendung beider Techniken durch Bedrohungsakteure hinter Magecart. Untersuchungen haben ergeben, dass die mit Magecart verbundene Infrastruktur und die kompromittierten Daten mit mindestens einem Darknet-Carding-Shop, „Trump’s Dumps“, in Verbindung stehen . Außerdem sind Bedrohungsakteure damit beschäftigt, Kuriere anzuwerben , um mit gestohlenen Kreditkarten gekaufte Waren entgegenzunehmen und weiterzuverschicken.

Magcart

Magecart ist eine Vorgehensweise, die von Sicherheitsforschern und den Medien verwendet wird, um verschiedene Bedrohungsakteure zu gruppieren, die es auf E-Commerce-Sites abgesehen haben und dazu JS-basierte Kreditkarten-Web-Skimmer verwenden, um CNP-Daten zu stehlen. Der Name Magecart selbst ist ein Hinweis darauf, dass diese Akteure es auf Websites abgesehen haben, auf denen anfällige Plug-Ins für die Magento-Plattform laufen. FlashPoint und RiskIQ gaben an, dass es sich bei Magecart ursprünglich um eine einzelne Gruppe von Bedrohungsakteuren handelte, die 2015 ihre Aktivitäten aufnahm. Eine zweite deutlich unterscheidbare Gruppe wurde im Jahr 2016 beobachtet und seitdem sind viele weitere aufgetaucht. Seit Juli 2019 sind Unternehmen aller Art, von klein bis groß, in zahlreichen Branchen Opfer von Magecart-bezogenen Schwachstellen geworden, darunter Macy’s, Sweaty Betty, Volusion und Claire’s.

Zwischen Oktober 2018 und dem Zeitpunkt dieses Berichts beobachteten die Analysten von Recorded Future Bedrohungsaktivitäten im Zusammenhang mit Magecart-Betreibern, die auf mindestens 95 Websites des Online-Einzelhandels abzielten. Häufig werden die verschiedenen Bedrohungsakteurgruppen, die verschiedene Arten von Sniffer verwenden, allgemein als Magecart bezeichnet. Obwohl dieser Angriffsvektor weit verbreitet zu sein scheint, gibt es angesichts der Tatsache, dass es mindestens 12 mit Magecart verbundene Gruppen gibt und weiterhin Angriffe gemeldet werden, nur wenige Bedrohungsakteure, die diese Sniffer tatsächlich erstellen, verkaufen und warten.

**Abbildung 5**: Bemerkenswerte Magecart-Aktivitäten und -Angriffe von Juli 2019 bis Juli 2020. (Quelle: Aufgezeichnete Zukunft)

Im Zeitraum von 2019 bis 2020 gingen die Betreiber von Magecart dazu über, ihre Angriffe nicht mehr auf Drittanbieter auszurichten, um primäre Ziele zu erreichen, sondern ihren JS-Sniffer-Code direkt in E-Commerce-Websites einzuschleusen, um Zahlungsdaten zu erfassen und die Daten später auf einen Command-and-Control-Server (C2) oder in eine bestimmte Domäne zu übertragen.

Im ersten Quartal 2020 florierten die Kreditkarten-Sniffing-Aktivitäten von Magecart weiterhin, trotz der viel beachteten Festnahmen durch die Strafverfolgungsbehörden in Indonesien im Dezember 2019. Interpol berichtete am 27. Januar 2020, dass drei Personen, die beim Abhören von Magecart-Karten identifiziert wurden, von der indonesischen Bundespolizei festgenommen wurden. Group-IB, das die Strafverfolgungsbehörden mit Informationen versorgte, die zu den Festnahmen führten, nannte die beteiligte Magecart-Untergruppe „GetBilling“. Ein weiteres Sicherheitsunternehmen, Sanguine Security, gab an , die Gruppe ebenfalls zu verfolgen.

Wir haben in unserem Datensatz Verweise auf drei dieser Beispieldomänen sowie auf drei neue Domänen festgestellt, die von Sanguine Security zuvor nicht offengelegt wurden. Die mit dieser jüngsten Kampagne in Verbindung stehenden JS-Sniffer-Betreiber verwenden injiziertes JS auf kompromittierten Einzelhandels-Websites und haben im Verlauf dieser Kampagne einen gemeinsamen Satz von JS-Funktionen verwendet. Von den 95 betroffenen Websites, die wir im Rahmen unserer Untersuchung beobachtet haben, waren 28 im Januar 2020 noch immer aktiv kompromittiert.

Ähnlich wie bei dem oben genannten Vorfall hat eine mit Magecart verbundene Gruppe namens „Keeper“ (aufgrund der Verwendung der Domäne fileskeeper[.]org) um bösartiges JS in den HTML-Code der Website einzuschleusen) wurde von Gemini Advisory als erfolgreicher Betreiber von 64 Angreifer- und 73 Exfiltrationsdomänen identifiziert , die von April 2017 bis heute mindestens 570 Websites in 55 Ländern beeinträchtigten. Schätzungsweise 85 Prozent der betroffenen Websites nutzten das Content-Management-System Magento, für das Recorded Future seit September 2018 mindestens zehn validierte böswillige Vorfälle bestätigt hat.

Das Ausmaß, die Komplexität und die Dauer der oben genannten Magecart-Angriffe weisen darauf hin, dass die Akteure hinter Magecart-Bedrohungen technisch versiert sind, ihre TTPs an Verbesserungen der Website-Sicherheit anpassen können und Schwachstellen (sowohl öffentlich bekannte als auch unbekannte) in Zahlungs- und Content-Management-Systemen auf Websites opportunistisch ausnutzen können.

Ausblick und Minderungsstrategien

Das Dark Web hat sich immer stärker spezialisiert und wird dazu genutzt, um für anpassbare Tools und Dienste zu werben und Feedback zur Verbesserung dieser Tools bereitzustellen. Bedrohungsakteure können dort außerdem ihre technischen Fertigkeiten und ihr Können zur Schau stellen, um finanzielle Gewinne einzufahren. Aufgrund der zahlreichen Angriffsmethoden, die Bedrohungsakteure nutzen können, um bösartigen JS-Code einzuschleusen, und der allgemein bekannten finanziellen Erfolge im Zusammenhang mit Magecart-Angriffen werden Bedrohungsakteure voraussichtlich nicht nur weiterhin auf Zahlungsabwicklungssysteme auf anfälligen Websites abzielen, sondern voraussichtlich auch weiterhin maßgeschneiderte Sniffer entwickeln und verkaufen, mit denen sich aktuelle Sicherheitsmaßnahmen und Warnungen umgehen lassen. Darknet-Quellen (Foren, Märkte und verschlüsselte Messenger) werden auch in absehbarer Zukunft weiterhin als Brücke zwischen Bedrohungsakteuren und Kunden dienen.

Nachfolgend finden Sie Abwehrstrategien, die bei der Erkennung und Verhinderung eines Sniffer-Angriffs hilfreich sein können:

• Führen Sie regelmäßige Prüfungen Ihrer Website durch, einschließlich Testkäufen, um verdächtige Skripts oder Netzwerkverhalten zu identifizieren.
• Implementieren Sie clientseitigen Schutz, beispielsweise Web-Skimming oder Malware-Schutz.
• Verhindern Sie, dass nicht unbedingt erforderliche, extern geladene Skripte auf Checkout-Seiten geladen werden.
• Bewerten Sie, wie Plug-Ins von Drittanbietern ihren Code, ihre Server und die externe Kommunikation auf Ihrer E-Commerce-Website verwenden, und achten Sie auf Änderungen in ihrem Code oder Verhalten.