UltraRank从数百家商店中偷走信用卡

Group-IB的安全研究人员说，多年来，UltraRank改变了策略和基础架构。导致他们的活动与不同的团体都能联系起来，这给调查人员增加了调查难度。

在本周的一份技术报告中，研究人员提供了证据，证明UltraRank是Magecart第2、5和12组事件的幕后推手。

“ UltraRank远远超出了普通JS嗅探器运营商的概念，开发了一种具有独特技术和组织结构的自主商业模式”-Group-IB

在2015年，2016年和2018年发起的三项长期活动中，该团伙能在691个流量较大的个人网站(如体育赛事门票经销商)上植入JS嗅探器。

然而，考虑到该组织对13家web服务提供商(设计、营销、开发、广告、浏览器)的黑客攻击，他们的恶意软件可能被全球数千家网站使用。

通过将恶意代码注入这些公司提供的产品的脚本中，这些脚本随后被放置在在线商店的网络资源上，网络犯罪分子能够在所有使用了受感染脚本的在线商店中拦截客户的银行卡数据

这些受害者中包括法国 在线广告商Adverline 和广告/营销公司Brandit Agency，Brandit Agency还开发了运行Magento电子商务平台的网站。

线索

这种威胁攻击的三个事件都依赖于JS嗅探器，Group-IB将其称为FakeLogistics，WebRank和SnifLite。它们采用一些共同的功能和基础结构，这些功能和基础结构允许将恶意活动跟踪到该组织的首次攻击：

隐藏服务器位置和域注册模式的类似方法

在不同域名的多个位置存储相同的恶意代码

混合供应链和单目标攻击

调查起点是主机“ toplevelstatic [.] com”，该主机托管了一个JS嗅探器，该嗅探器用于破坏Brandit Agency。同一域中存储的文件存在于其他位置，并用于攻击其他在线商店。

（编辑：ASP站长网）