Group-IB的安全研究人员称,UltraRank多年来一直在改变其战略和基础架构。 他们的活动与各种各样的团体联系在一起,给调查员增加了调查的难度。
在本周的技术报告中,研究人员提供了证据,证明UltraRank是Magecart的第2、5、12组活动的背后。
“UltraRank远远超越了普通的JS嗅探职业概念,开发了具有自己技术和组织结构的自主业务模式”-Group-IB
在始于2015年、2016年和2018年的三个长期活动中,这个小组可以在691个交通量多的个人网站(例如体育活动门票销售店)中嵌入JS嗅探器。
这种威胁攻击的三个事件依赖于JS嗅探器,组IB将其称为故障记录、WebRank和SnifLite。 采用了共同的功能和基础设施。 这些功能和基础架构使您能够跟踪组织的第一次恶意活动
隐藏服务器位置和域注册模式的类似方法

在不同域名的多个位置存储相同的恶意代码
供应链和单目标攻击的混合
调查的起点是托管破坏品牌it代理的JS嗅探器的主机“toplevelstatic [.] com”。 保存在同一域中的文件存在于其他位置,用于攻击其他在线商店。
技术证据明确表明了UltraRank和ValidCC之间的关联。 此连接是存储使用的三个域的SSL证书,也显示在UltraRank基础架构中。
专业市场与盗窃网店银行卡集团的合作,使网络犯罪分子精心组织经营活动,进行微调,获得最高利益。
Group-IB威胁信息分析师Victor Okorokov表示,JS嗅探卡是销毁银行卡数据的工具进化,减少了攻击的资源消耗。