Recorded Future analysierte aktuelle Daten aus der Recorded Future® Platform, Informationssicherheitsberichten und anderen Open-Source-Intelligence-Quellen (OSINT), um Sniffer zu identifizieren, die Kampagnen von Bedrohungsakteuren erleichtern. Dieser Bericht baut auf den Ergebnissen des Berichts "Automation and Commoditization in the Underground Economy" auf, der auf Berichte über Verstöße gegen Datenbanken, Dame und Brute Forcer sowie Loader und Crypter. Dieser Bericht ist vor allem für Netzwerkverteidiger, Sicherheitsforscher und Führungskräfte von Interesse, die mit dem Management und der Minderung von Sicherheitsrisiken befasst sind.

Executive Summary

Da die globale Wirtschaft immer mehr Transaktionen online abwickelt, investieren Bedrohungsakteure mehr in die Identifizierung und Ausnutzung von Schwachstellen in Zahlungsverarbeitungssystemen und -schnittstellen von Websites. Dabei handelt es sich insbesondere um solche, die es Bedrohungsakteuren ermöglichen, schädliches JavaScript (JS) einzuschleusen und Kundendaten sowie Zahlungskartendetails abzugreifen.

Wie dieser und frühere Berichte von Recorded Future zeigen, ist das Einschleusen von bösartigem JS-Code in Websites nicht nur Magecart vorbehalten – ein Oberbegriff für Bedrohungsakteursgruppen, die diese Technik verwenden –, sondern wird auch von mehreren Bedrohungsakteuren im Dark Web vermarktet, die maßgeschneiderte Zahlungs-Sniffer entwickeln, die regelmäßig aktualisiert werden, über mehrere Funktionen verfügen und zum Kauf oder zur Miete angeboten werden. Diese leicht verfügbaren Sniffer-Varianten ermöglichen es Cyberkriminellen, vertrauliche Informationen von kompromittierten Websites zur Zahlungsabwicklung zu stehlen und abzugreifen. Solange sich diese Angriffe auszahlen, werden Bedrohungsakteure wie die drei in diesem Bericht porträtierten Personen wahrscheinlich auch weiterhin maßgeschneiderte Sniffer entwickeln und verkaufen, mit denen sich aktuelle Sicherheitsmaßnahmen und Warnungen umgehen lassen.

Wichtige Urteile

• Bedrohungsakteure im Dark Web nutzen hochrangige Dark Web-Quellen, um angepasste JS-Sniffer zu bewerben und zu verkaufen. Diese sind darauf ausgelegt und werden regelmäßig aktualisiert, Anmeldeinformationen zu sammeln, sobald sie in die Zahlungsprozesse einer Website eingeschleust werden.
• Angepasste Sniffer-Varianten verfügen über zahlreiche Fähigkeiten und Funktionalitäten, darunter einfach zu bedienende Schnittstellen sowie die Möglichkeit, kompromittierte Daten in verständliche Formate zu bringen, wiederkehrende Zahlungskartendaten zu löschen, persönlich identifizierbare Informationen (PII) zu extrahieren und Antivireneinstellungen zu umgehen.
• Aufgrund der öffentlich bekannt gewordenen Erfolge im Zusammenhang mit Magecart-Angriffen werden Bedrohungsakteure wahrscheinlich auch weiterhin ein Interesse an Sniffer-Programmen haben und Darknet-Quellen nutzen, um angepasste Sniffer-Varianten zu bewerben und zu kaufen.

Hintergrund

In der heutigen Cyber-Bedrohungslandschaft setzen Bedrohungsakteure beim Diebstahl von Zahlungskartennummern und anderen personenbezogenen Daten (PII) drei gängige Taktiken, Techniken und Verfahren (TTPs) ein: Skimmer und Shimmer, Point-of-Sale (PoS)-Malware und Sniffer. Wir definieren diese Techniken, die nicht austauschbar sind, wie folgt:

• Skimmer und Shimmers: Hardwaregeräte, die über Geldautomaten, Zapfsäulen und andere physische Zahlungsterminals eingesetzt oder gelegt werden. Diese Geräte sind so konzipiert, dass sie die Daten der Zahlungskarten der Spuren 1 und 2 und manchmal auch PIN-Codes extrahieren können.
• Point-of-Sale-Malware: Bösartiger Code oder Software, die auf Zahlungsterminals abzielt und darauf ausgelegt ist, Zahlungsdaten von Spur 1 oder 2 zu erfassen, die in einigen Fällen zur Durchführung von Card-not-present-Transaktionen (CNP) verwendet werden können. Technisch gesehen kann PoS-Malware Sniffing betreiben, aber dies ist in der Regel Netzwerk- und nicht Zahlungs-Sniffing. Recorded Future hat mindestens 92 PoS-Malware-Varianten identifiziert.
• Sniffer: Schädlicher Code, normalerweise JavaScript (JS), der in das Zahlungssystem einer Website eingeschleust wird und darauf ausgelegt ist, Zahlungskarteninformationen zu stehlen, darunter Kartenprüfwerte (CVVs), die drei- oder vierstellige Nummer auf der Rückseite von Kreditkarten sowie andere PII. Zu den Methoden der Code-Injektion gehören XSS-Angriffe, Formjacking, Code von Drittanbietern und die Wiederverwendung von Bibliotheken.

Da immer mehr Verkäufe online und über mobile Transaktionen getätigt werden, konzentrieren sich Bedrohungsakteure auf die Identifizierung von Schwachstellen in E-Commerce-Plattformen und Checkout-Seiten auf Websites. Besonders jetzt während der COVID-19-Pandemie – die E-Commerce-Verkäufe stiegen im April 2020 um 49 Prozent – sind Bedrohungsakteure finanziell motiviert, von diesen Verschiebungen zu profitieren. Diese Schwachstellen und Trends werden nicht nur von einzelnen Bedrohungsakteuren ausgenutzt, sondern auch von Advanced Persistent Threats (APT) wie der nordkoreanischen APT Lazarus Group, die im Juli 2020 identifiziert wurde und auf große Online-Websites von Einzelhändlern in den USA und Europa abzielt.

Wenn ein Bedrohungsakteur einen Sniffer verwendet, schleust er bösartiges JS ein, das automatisch die Daten der Kunden erfasst, die die infizierte Website besuchen. Auf diese Weise können die Zahlungskarten- und PII-Daten zahlreicher Kunden automatisiert erfasst werden. Der Sniffer leitet die kompromittierten Daten zur weiteren Verarbeitung und Nutzung an das C2 des Bedrohungsakteurs weiter. Wenn es einem Bedrohungsakteur gelungen ist, CNP-Daten von den Checkout-Seiten von E-Commerce-Websites zu stehlen, können diese CNP-Daten zum Kauf von Waren und Dienstleistungen verwendet oder in Kreditkartenshops verkauft werden. Bedrohungsakteure verwenden die kompromittierten CNP-Daten häufig, um selbst mithilfe von Card-Not-Present-Transaktionen hochliquide Waren oder Dienstleistungen zu kaufen.

Wie in diesem Bericht erläutert, ist „Magecart“ – der Oberbegriff für Bedrohungsakteursgruppen, die durch bösartige JS-Injektion kompromittierte Zahlungsdaten von Websites abgreifen – nicht die einzige Gruppe von Bedrohungsakteuren, die bösartiges JS verwenden. Recorded Future hat Bedrohungsakteure im Dark Web identifiziert und untersucht, die über Dark Web-Quellen hinweg angepasste Sniffer-Varianten bewerben, die einzigartige Attribute enthalten und von den Betreibern regelmäßig aktualisiert werden, um neu implementierte Sicherheitsmaßnahmen zu umgehen.

Maßgeschneiderte Sniffer-Varianten und die dahinter stehenden Bedrohungsakteure

Sotschi

„Sochi“ ist der primäre Spitzname, der von mindestens zwei verschiedenen russischsprachigen Personen verwendet wird, die in mindestens drei Foren aktiv sind: Exploit, Verified und Club2CRD. Sochi ist der Entwickler des JS-Sniffer „Inter“ und des Trojaners Android Red. Im März 2019 untersuchte Recorded Future die Darknet-Aktivitäten in Sotschi und fand folgende Informationen:

• Weitere von Sochi verwendete Spitznamen sind: „xx5“ (verifiziert) und „SSN“ (Club2CRD).
• Zu den angebotenen kriminellen Aktivitäten und Diensten gehören die Entwicklung von Schadsoftware, Bulletproof Hosting, die Kompromittierung von E-Commerce-Websites, Auszahlungen, der Kauf kompromittierter Bankdaten und Website-Zugriffe sowie der Weiterverkauf kompromittierter Daten von anderen Bedrohungsakteuren, darunter „BuyCC“ und „LookigtoBuy“.
• Sotschi hat außerdem angeboten, potenzielle Zugänge zu Online-Shops mit Zahlungslösungen aller Art aufzukaufen: Zahlungsformular auf der Website, Iframe oder Weiterleitung. Der Bedrohungsakteur bietet bis zu 85 Prozent der kompromittierten Zahlungskarten aus dem bereitgestellten Zugang oder 20.000 US-Dollar im Austausch für 1.000 Kreditkarten.

Was Sotschis Sniffer-Variante Inter betrifft, stellten wir fest, dass der Bedrohungsakteur im Dezember 2018 damit begann, dafür zu werben. Er beschrieb sie als einen universellen Sniffer, der darauf ausgelegt ist, CNP-Zahlungsdaten von Zahlungsplattformen zu stehlen, insbesondere von Magento, OpenCart und OsCommerce sowie von Websites, die Iframes oder Zahlungsabwickler von Drittanbietern verwenden. Einige Instanzen von Inter wurden bei der Suche nach verschiedenen Zeichenfolgen wie „GetCCInfo:fuction“ im Quellcode einer Website gefunden.

Derzeit verkauft Sotschi Lizenzen für Inter für rund 1.000 US-Dollar. Im Kaufpreis sind die Nutzlast des Sniffer, ein Benutzerhandbuch, ein rund um die Uhr verfügbarer Kundendienst, ein kostenloses Admin-Panel und Upgrades enthalten. Inter verfügt über die folgenden technischen Möglichkeiten und Funktionen:

• Erfasste Daten werden in ein GIF-Bildformat umgewandelt, bevor sie an das Bedienfeld übertragen werden, was eine Exfiltration über eine GET-Anfrage ermöglicht.
• Der Sniffer stört oder trennt die SSL-Verbindung nicht.
• Inter wird regelmäßig aktualisiert, damit es von Antivirensoftware nicht erkannt wird.

Billar

„Billar“ ist ein russischsprachiger Bedrohungsakteur, der seit 2013 in der kriminellen Unterwelt aktiv ist und auch unter dem Namen „mr.SNIFFA“ auftritt. Billar ist der Erfinder und alleinige Entwickler eines JS-Kreditkarten-Sniffer namens „mr.SNIFFA“, für den er am 3. Dezember 2019 erstmals im Exploit Forum Werbung machte.

**Abbildung 1**: Bemerkenswerte Billar-Aktivitäten von Dezember 2019 bis Juli 2020. (Quelle: Aufgezeichnete Zukunft)

Am 30. März 2020 teilte „Ubercri“, ein bekannter Hacker und Mitglied mehrerer Untergrund-Communitys, den Mitgliedern des Exploit Forums mit, dass einige der Admin-Panels von mr.SNIFFA über eine Google-Suche gefunden werden können, wodurch sich Unternehmen und Websites, die von der Sniffer-Variante von Billar kompromittiert wurden, leicht identifizieren lassen.

Am 29. Juni 2020 veröffentlichte „RedBear“, ein erfahrener Malware-Programmierer, Penetrationstester und Reverse Engineer, im XSS Forum eine Untersuchung, die möglicherweise den Betreiber von Billar identifizierte. Laut RedBear wird Billar von „Mikhail Mikhailovich Shkrobanets“ betrieben. Die Analysten von Recorded Future überprüften die Recherchen von RedBear und analysierten die Schritte zur Identifizierung von Shkrobanets. Sie kamen zu dem Schluss, dass die Recherchen von RedBear vollständig und wahrscheinlich auch richtig sind, auch wenn einige der Schritte, die RedBear zur Identifizierung von Billar unternahm, weder legal noch ethisch waren.

Derzeit wirbt Billar für mr.SNIFFA im Exploit Forum für etwa 3.000 $. Das Paket umfasst die folgenden Funktionen:

• Eine einzigartige Möglichkeit zum Empfangen, Implementieren und Ausführen von Malware-Code
• Browserübergreifender verschleierter Datentransfer
• MaxMind GeoIP-Integration
• Ein Admin-Panel mit verbesserter Sicherheit zur Abwehr von Brute-Force- und DDoS-Angriffen
• 24/7-Support und Flexibilität für alle Kundenbedürfnisse

Poter

„poter“ ist Mitglied mehrerer hochrangiger russischsprachiger Untergrundforen, darunter Exploit, Verified und Korovka, sowie des weniger wichtigen Forums Monopoly und hat sich in einigen Foren bereits 2014 erstmals registriert. Poter ist mit verschiedenen Arten von Finanzbetrugstechniken vertraut, darunter E-Commerce, Zahlungskartenbetrug und Geldwäsche. Außerdem kennt er sich mit der Codierung von Malware aus und ist Entwickler verschiedener Phishing- und Betrugswebsites, E-Mails, Admin-Panels und Datengrabber, die für Android, Apple, PayPal, Visa, SunTrust, Flash Player und andere Organisationen anwendbar sind.

**Abbildung 2**: Poters Aktivitäten im Dark Web. (Quelle: Aufgezeichnete Zukunft)

Der Bedrohungsakteur ist ein bekannter Entwickler des „Universal Sniffer“, der in der Lage ist, Zahlungskartendaten und Passwörter der Opfer zu stehlen. Diese Sniffer-Variante erschien erstmals am 17. Juli 2016 im Exploit Forum und wurde am 10. Januar 2019 vom selben Bedrohungsakteur entfernt. Es ist unklar, warum Poter die Werbung für seinen Universal Sniffer eingestellt hat. Es ist möglich, dass andere Bedrohungsakteure ihn weiterhin privat nutzen.

Laut Poter verfügte der Universal Sniffer über die folgenden grundlegenden technischen Funktionen, die vom Bedrohungsakteur regelmäßig aktualisiert wurden:

• Geschrieben in JS
• Alle kompromittierten Bankidentifikationsnummern (BIN) geprüft
• Organisieren Sie gestohlene Zahlungskarten in einem einzigen Format
• Gelöschte wiederkehrende Zahlungskarten
• Abgreifen von Anmeldedaten, Passwörtern und Liefer-/Rechnungsadressen von kompromittierten Zahlungskarten
• Herausfiltern kompromittierter Zahlungskarten nach Bundesstaat

**Abbildung 3**: Das Sniffer-Administrationsbereich zeigt kompromittierte Einstellungen zur Erkennung von Zahlungskartenfeldern an.

**Abbildung 4**: Sniffer-Schnittstelle mit kompromittierten Daten kann nach Datum, IP-Adresse und Benutzeragent sortiert werden.

Ursprünglich hatte Poter den Preis für den Sniffer mehrere Tausend Dollar verlangt, später jedoch auf wenige Hundert Dollar gesenkt, um mehr Benutzer anzulocken. Am 16. Juli 2018 gab Poter bekannt, dass man genügend Kunden habe und senkte den ursprünglichen Preis für den Sniffer von mehreren Tausend Dollar.

Während unserer Untersuchung konnte Recorded Future keine Beweise dafür finden, dass die drei oben genannten Bedrohungsakteure kompromittierte Carding-Daten verwenden oder verkaufen, die von ihren benutzerdefinierten Sniffern abgerufen wurden. Angesichts der Tatsache, dass der Zweck von Sniffern darin besteht, Zahlungskarteninformationen zu stehlen, und diese Informationen nur dann einen Wert haben, wenn sie monetarisiert werden, ist es sehr wahrscheinlich, dass die Karteninformationen entweder verkauft oder zum Online-Kauf von Waren verwendet wurden, die dann weiterverkauft werden. Ein Beispiel dafür, wie die Monetarisierung funktioniert, ist die Verwendung beider Techniken durch Bedrohungsakteure hinter Magecart. Die Forschung hat die Magecart-bezogene Infrastruktur und kompromittierte Daten mit mindestens einem Dark-Web-Kartengeschäft, Trump's Dumps, sowie mit Bedrohungsakteuren in Verbindung gebracht , die Maultiere rekrutieren , um mit gestohlenen Kreditkarten gekaufte Waren zu erhalten und erneut zu versenden.

Magcart

Magecart ist eine Vorgehensweise, die von Sicherheitsforschern und den Medien verwendet wird, um verschiedene Bedrohungsakteure zu gruppieren, die es auf E-Commerce-Sites abgesehen haben und dazu JS-basierte Kreditkarten-Web-Skimmer verwenden, um CNP-Daten zu stehlen. Der Name Magecart selbst ist ein Hinweis darauf, dass diese Akteure es auf Websites abgesehen haben, auf denen anfällige Plug-Ins für die Magento-Plattform laufen. FlashPoint und RiskIQ gaben an, dass es sich bei Magecart ursprünglich um eine einzelne Gruppe von Bedrohungsakteuren handelte, die 2015 ihre Aktivitäten aufnahm. Eine zweite deutlich unterscheidbare Gruppe wurde im Jahr 2016 beobachtet und seitdem sind viele weitere aufgetaucht. Seit Juli 2019 sind Unternehmen aller Art, von klein bis groß, in zahlreichen Branchen Opfer von Magecart-bezogenen Schwachstellen geworden, darunter Macy’s, Sweaty Betty, Volusion und Claire’s.

Zwischen Oktober 2018 und dem Zeitpunkt dieses Berichts beobachteten Analysten von Recorded Future Bedrohungsaktivitäten im Zusammenhang mit Magecart-Betreibern, die auf mindestens 95 Websites des Online-Einzelhandels abzielten. Häufig werden die verschiedenen Bedrohungsakteurgruppen, die unterschiedliche Arten von Sniffer verwenden, allgemein als Magecart bezeichnet. Obwohl dieser Angriffsvektor weit verbreitet zu sein scheint, gibt es angesichts der Tatsache, dass es mindestens 12 mit Magecart verbundene Gruppen gibt und weiterhin Angriffe gemeldet werden, nur wenige Bedrohungsakteure, die diese Sniffer tatsächlich bauen, verkaufen und warten.

**Abbildung 5**: Bemerkenswerte Magecart-Aktivitäten und -Angriffe von Juli 2019 bis Juli 2020. (Quelle: Aufgezeichnete Zukunft)

Im Zeitraum von 2019 bis 2020 gingen die Betreiber von Magecart dazu über, ihre Angriffe nicht mehr auf Drittanbieter auszurichten, um primäre Ziele zu erreichen, sondern ihren JS-Sniffer-Code direkt in E-Commerce-Websites einzuschleusen, um Zahlungsdaten zu erfassen und die Daten später auf einen Command-and-Control-Server (C2) oder in eine bestimmte Domäne zu übertragen.

Im ersten Quartal 2020 haben die Kreditkarten-Sniffing-Operationen von Magecart trotz der viel beachteten Verhaftungen der Strafverfolgungsbehörden in Indonesien im Dezember 2019 weiter floriert. Interpol berichtete am 27. Januar 2020, dass drei Personen, die als Personen identifiziert wurden, die Magecart-Kartenschnüffeloperationen durchführten, von der indonesischen Bundespolizei festgenommen wurden. Group-IB, die die Strafverfolgungsbehörden mit Informationen versorgte, die zu den Verhaftungen führten, nannte die Magecart-Untergruppe, an der beteiligt war, "GetBilling". Eine andere Sicherheitsfirma, Sanguine Security, berichtete , dass sie die Gruppe ebenfalls verfolgte.

Wir haben in unserem Datensatz Verweise auf drei dieser Beispieldomänen sowie auf drei neue Domänen festgestellt, die von Sanguine Security zuvor nicht offengelegt wurden. Die mit dieser jüngsten Kampagne in Verbindung stehenden JS-Sniffer-Betreiber verwenden injiziertes JS auf kompromittierten Einzelhandels-Websites und haben im Verlauf dieser Kampagne einen gemeinsamen Satz von JS-Funktionen verwendet. Von den 95 betroffenen Websites, die wir im Rahmen unserer Untersuchung beobachtet haben, waren 28 im Januar 2020 noch immer aktiv kompromittiert.

Ähnlich wie bei dem obigen Vorfall hat eine mit Magecart verbundene Gruppe namens "Keeper" (aufgrund der Verwendung der Domain fileskeeper[.]Org um bösartige JS in den HTML-Code der Website zu injizieren) wurde von Gemini Advisory als erfolgreich betriebene 64 Angreifer- und 73 Exfiltrationsdomänen identifiziert, die von April 2017 bis heute mindestens 570 Websites in 55 Ländern betrafen. Von den betroffenen Websites betrieben schätzungsweise 85 Prozent das Content-Management-System Magento, für das Recorded Future seit September 2018 mindestens 10 validierte bösartige Vorfälle bestätigt hat.

Das Ausmaß, die Komplexität und die Dauer der oben genannten Magecart-Angriffe weisen darauf hin, dass die Akteure hinter Magecart-Bedrohungen technisch versiert sind, ihre TTPs an Verbesserungen der Website-Sicherheit anpassen können und Schwachstellen (sowohl öffentlich bekannte als auch unbekannte) in Zahlungs- und Content-Management-Systemen auf Websites opportunistisch ausnutzen können.

Ausblick und Minderungsstrategien

Das Dark Web hat sich immer stärker spezialisiert und wird dazu genutzt, um für anpassbare Tools und Dienste zu werben und Feedback zur Verbesserung dieser Tools bereitzustellen. Bedrohungsakteure können dort außerdem ihre technischen Fertigkeiten und ihr Können zur Schau stellen, um finanzielle Gewinne einzufahren. Aufgrund der zahlreichen Angriffsmethoden, die Bedrohungsakteure nutzen können, um bösartigen JS-Code einzuschleusen, und der allgemein bekannten finanziellen Erfolge im Zusammenhang mit Magecart-Angriffen werden Bedrohungsakteure voraussichtlich nicht nur weiterhin auf Zahlungsabwicklungssysteme auf anfälligen Websites abzielen, sondern voraussichtlich auch weiterhin maßgeschneiderte Sniffer entwickeln und verkaufen, mit denen sich aktuelle Sicherheitsmaßnahmen und Warnungen umgehen lassen. Darknet-Quellen (Foren, Märkte und verschlüsselte Messenger) werden auch in absehbarer Zukunft weiterhin als Brücke zwischen Bedrohungsakteuren und Kunden dienen.

Nachfolgend finden Sie Abwehrstrategien, die bei der Erkennung und Verhinderung eines Sniffer-Angriffs hilfreich sein können:

• Führen Sie regelmäßige Prüfungen Ihrer Website durch, einschließlich Testkäufen, um verdächtige Skripts oder Netzwerkverhalten zu identifizieren.
• Implementieren Sie clientseitigen Schutz, beispielsweise Web-Skimming oder Malware-Schutz.
• Verhindern Sie, dass nicht unbedingt erforderliche, extern geladene Skripte auf Checkout-Seiten geladen werden.
• Bewerten Sie, wie Plug-Ins von Drittanbietern ihren Code, ihre Server und die externe Kommunikation auf Ihrer E-Commerce-Website verwenden, und achten Sie auf Änderungen in ihrem Code oder Verhalten.