2020年8月，Group-IB公布了一份名为《UltraRank: the unexpected twist of a JS-sniffer triple threat 》的讲述。该讲述形貌了网络犯罪团体UltraRank的流动，该团体在5年的流动中乐成攻击了691家电子商务商铺和13家网站服务提供商。

2020年11月，Group-IB专家发现了新一轮的UltraRank攻击。只管那时发现了新的攻击，但该组织的部门基础设施仍处于活跃状态，一些网站仍受到熏染。网络犯罪分子并没有使用现有的域名举行新的攻击，而是切换到新的基础设施来存储恶意代码并网络被阻挡的支付数据。

作为UltraRank新流动的一部门，Group-IB威胁情报和剖析团队发现了12个被JavaScript嗅探器熏染的电子商务网站，他们中的八个在公布之时仍然受到熏染。

这次，使用Radix模糊处置对JS嗅探器的代码举行模糊处置。这种模糊模式只有少数网络犯罪团体使用过，其中一个是UltraRank组（图1）。在对代码举行模糊处置后，Group-IB发现攻击使用了SnifLite系列的嗅探器，该嗅探器已为Group-IB专家所熟知，而且被攻击者UltraRank使用。由于受熏染网站的数目相对较少，攻击者最有可能使用了CMS治理面板中的凭证，而这些凭证反过来又可能被恶意软件或暴力破解攻击损坏。

在最近的一系列攻击中，UltraRank模拟正当的谷歌标签治理器域将恶意代码存储在网站上。对攻击者基础设施的剖析显示，主服务器由Media Land LLC托管。

本文研究了UltraRank的新流动，为银行、支付系统和在线商户提供推荐。你还可以凭据我们建议用来防止UltraRank的MITER ATT＆CK和MITER Shield找到威胁，攻击者的TTP以及相关的缓解和防御手艺的指标。

被模糊的嗅探器代码片断

JS 嗅探器代码剖析

从至少2019年1月最先，UltraRank就最先使用SnifLite JS嗅探器系列，那时它被用于攻击广告网络Adverline。恶意代码通过位于hXXp://googletagsmanager网站上的一个JS文件链接上传到受熏染的网站。该域名伪装成谷歌标签治理器googletagmanager.com的正当域名。攻击者网站hXXp://googletagsmanager[.]co/也被用来网络截获的支付卡数据作为嗅探器(图2)。

经由模糊处置的JS嗅探器代码的片断，并带有到嗅探器的链接以网络被阻挡的卡

图3中显示了卖力阻挡SnifLite嗅探器系列中的付款信息的函数，数据网络算法基于该函数querySelectorAll，就像该组织之前使用的FakeLogistics和WebRank 嗅探器系列一样。网络数据后，会将数据写入名为google.verify.cache.001的工具的内陆存储中。

JS嗅探器代码片断，包罗一个卖力网络支付卡数据的函数

只有当用户所在页面的当前地址包罗以下关键字之一(图4)时，才会网络和发送数据:

onepage
checkout
store  
cart
pay
panier
kasse
order
billing
purchase
basket

在发送被阻挡的支付卡之前，其数据将从内陆存储的_google.verify.cache.001工具中提取，并通过发送HTTP GET请求传输给攻击者。

JS嗅探器代码片断，其功效是将网络到的数据发送到攻击者的服务器

在UltraRank对熏染病毒的进一步剖析过程中，Group-IB团队发现了一个没有举行模糊的JS嗅探器样本，该样本与之前在一个攻击者的网站上发现的样本相同，该网站将UltraRank与新攻击相关联。

基础设施剖析

在剖析嗅探器基础设施时，发现了一个尺度的PHP剧本，这是UltraRank所有网站的典型特征。除了发送的请求和服务器的常见信息之外，该剧本还显示了服务器的真实IP地址。在剖析时，googletagsmanager[.]co域的IP地址为8.208.16[.]230 (AS45102, Alibaba (US) Technology Co., Ltd.)。同时，真实服务器地址是Media Land LLC（AS206728）拥有的45.141.84[.]239（图5）。凭据布莱恩·克雷布斯（Brian Krebs）公布的一篇文章，Media Land LLC与一家地下论坛用户运营的防弹托管公司联系，该论坛用户的昵称为Yalishanda，它为攻击者提供服务。据推测，Yalishanda的服务使用从包罗阿里巴巴在内的种种供应商那里租来的云服务器来托管部门攻击者的基础设施。

除了服务器IP地址外，剧本输出还指定网站文件在服务器hXXp://googletagsmanager[.]co/: worker.上的目录。

剧本输出，其中包罗有关googletagsmanager.co域所在服务器的信息

,

usdt跑分平台

菜包钱包（caibao.it）是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜包Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

IP地址 45.141.84[.]239也链接到网站hXXp://s-panel[.]su/。在剖析过程中，再次在UltraRank基础结构的所有网站上找到了相同的剧本（图6）。在这种情况下，所有网站文件所在的目录称为面板（panel）。

剧本输出，其中包罗有关域s-panel.su所在服务器的信息

除公用服务器外，Group-IB的Graph Network Analysis系统还检测到SSL证书50e15969b10d40388bffbb87f56dd83df14576af。该证书位于googletagsmanager.co域和IP地址为45.141.84[.]239的服务器上，该服务器与s-panel[.]su 域相关联（图7）。

来自Group-IB威胁情报和剖析系统的证书链接图50e15969b10d40388bffbb87f56dd83df14576af

通过对网站hXXp://s-panel[.]su/的进一步剖析，发现了登录表单。据推测，该网站被攻击者用作嗅探器控制面板，所有被盗的支付卡数据都网络在面板中，以用于随后的渗透和流传。

在网站s-panel.su上找到的登录表单

研究人员还发现了googletagsmanager[.]info域，2020年9月，此域的IP地址与googletagsmanager[.]co (8.208.96.88)相同。然则，在撰写本文时，该网站处于非流动状态，未发现使用该网站的电子商务熏染案例。

攻击指标

googletagsmanager[.]co 
 googletagsmanager[.]info 
 s-panel[.]su

缓解建议

到目前为止，Group-IB的专家已经研究了96种差别的JS嗅探器系列。使用恶意JavaScript对电子商务商铺的攻击正成为一种越来越盛行的获取大量用户付款信息以举行后续流传的方式。由于UltraRank通过黑客入侵第三方提供商Inbenta在Ticketmaster网站上安装了恶意代码，导致用户付款数据泄露。 Ticketmaster为此被罚款125万英镑。此外，英国航空公司因其网站和移动应用程序使用的一个JavaScript库中注入的恶意代码导致的数据泄露而被罚款2000万英镑。因此，JS嗅探器的攻击不仅与电子商务商铺的所有者有关，而且与所有在线使用和处置银行卡付款的服务有关。Group-IB的专家们汇编了一系列建议，这些建议将辅助种种电子商务参与者最大水平地削减潜在攻击，防止熏染或检测现有的恶意流动。

对于银行来说

1.使用支付卡时，通知用户在线支付过程中可能泛起的风险。

2.若是与你的银行有关的支付卡已被盗用，请阻止这些卡并通知用户电子商务商铺已熏染了支付卡嗅探器。

对于电子商务网站治理员来说

1.使用庞大且唯一的密码来接见网站的治理面板和用于治理的任何服务，例如phpMyAdmin，Adminer。若是可能，请设置双因素身份验证。

2.安装所用软件的所有需要更新，包罗网站的CMS。请勿使用过时或不受支持的CMS版本。这将有助于削减服务器受到威胁的风险，并使攻击者更难以下载Web Shell和安装恶意代码。

3.定期检查商铺中是否存在恶意软件，并定期对你的网站举行平安审核。例如，对于基于CMS Magento的网站，你可以使用Magento平安扫描工具。

4.使用适当的系统纪录网站上发生的所有更改，以及纪录对网站的控制面板和数据库的接见并跟踪文件更改日期。这将辅助你检测到熏染了恶意代码的网站文件，并跟踪对网站或Web服务器的未经授权的接见。

对于支付系统/支付处置银行来说

1.若是你为电子商务网站提供付款服务，请在接受网站上的在线付款时定期通知客户有关基本平安手艺的信息，以及JavaScript嗅探器的威胁；

2.确保你的服务使用准确设置的内容平安策略；

本文翻译自：https://www.group-ib.com/blog/ultrarank： Allbet声明:该文看法仅代表作者自己，与www.allbetgame.us无关。转载请注明：电银付app使用教程（dianyinzhifu.com）：UltraRank 黑客提议的新型攻击