May 8, 2019

信用卡数据泄漏持续进行中

DNSMon是一个全网DNS异常发现分析系统。基于我们可以看到的中国地区 10%+ 的DNS流量,加上我们多年积累的其他多维度安全数据以及安全分析能力,我们可以在一个独特的视角来实时监测 全网 每天 正在发生 的事情,我们可以 “看见” 正在发生的威胁。 摘要 我们的DNSMon发现了一个异常域名 magento-analytics[.]com,通过持续的跟踪,以及和WEB数据的关联,发现该域名通过渗透侵入在线购物网站,植入自己的JS脚本,实时判定用户信用卡的输入情况,将信用卡的 所有人/卡号/过期时间/CVV 信息回传,实现对信用卡数据的窃取,进而可以盗刷。 如果有国内用户使用信用卡在国外购物网站支付,建议用户一定要谨慎,尽量选择安全做的好的大网站。国外不支持国内的密码支付体系,只要上述信息泄漏,就存在被盗刷风险。 缘起 早在2018年10月初,我们发现域名 magento-analytics[.]com 有了异常波动。在其时,友商VT上有零星的几家报malware/maicious,但是没有具体恶意细节,我们也没有看到任何样本行为,所以没法进一步验证。同时由于其绝对访问量不是很大,我们暂时将其纳入跟踪流程,对其进行持续跟踪。 持续跟踪的过程中,该域名表现一直不温不火,没有出现业务上持续的剧烈变化,不过我们分析流程最近自动捕获的一个异常特征将其纳入我们的分析视野:这是个注册在“巴拿马”的域名,但在最近几月内,该域名映射的IP,从“美国-亚利桑那” 到了 “俄罗斯-莫斯科”,再到了 “中国-香港”。 互联网业务做大了,全球提供服务可以理解,但是一个小访问量的域名,大范围的切换服务地址,也不是多IP共用,这非常有问题。小孩子也不能胡闹,我们得查清楚“熊孩子”到底在干嘛。 分析 首先验证是不是小网站,不过该域名默认页面没有提供服务,可疑程度+1。基于我们从去年10月开始对其跟踪,所以我们有能力在我们各维度的数据流中挂锚点,将与其有关的数据都聚合在一起分析,我们很容易的可以发现该域名下URL的活跃情况。 […]
May 8, 2019

Ongoing Credit Card Data Leak

DNSMon is a network-wide DNS malicious domain analysis system we build here at 360Netlab. With the 10%+ total DNS traffic coverage in China, plus the other […]
May 13, 2019

Minecraft Mod, Mother’s Day, and A Hacker Dad

Over the weekend my wife was feeling under the weather. This meant we were stuck indoors and since she is sick and it’s Mother’s day weekend […]
May 14, 2019

信用卡数据泄漏持续进行中 [快速更新]

DNSMon是一个全网DNS异常发现分析系统。基于我们可以看到的中国地区 10%+ 的DNS流量,加上我们多年积累的其他多维度安全数据以及安全分析能力,我们可以在一个独特的视角来实时监测 全网 每天 正在发生 的事情,我们可以 “看见” 正在发生的威胁。 黑客在行动 5月8号,我们发布文章 <信用卡数据泄漏持续进行中>,揭露了一个通过入侵购物网站来窃取信用卡信息的案例。文章发布后不久,我们发现黑客们开始做调整,原始域名 magento-analytics[.]com 已经下线。 但不久,我们的 DNSMon 系统在UTC时间 2019-05-13 凌晨时候捕捉到该黑客的2个更新,被用于同样的信用卡信息窃取。 更新1: 启动了一个新域名:jqueryextd[.]at 对应的恶意JS链接为 “hxxps://jqueryextd.at/5c21f3dbf01e0.js”,脚本中上报地址也对应的改为了“hxxps://jqueryextd.at/gate.php” 更新2: 换了JS加载方式:从挂载JS链接改为内嵌JS代码 之前的案例中,都是通过外链一个恶意JS脚本来执行恶意脚本,现在发现黑客直接将恶意脚本JS的内容内嵌到网站代码中来执行。 […]