طبق گزارش آزمایشگاه تحقیقاتی امنیت شبکه 360 در ماه اکتبر سال ۲۰۱۸ دامنه‌ای با نام magento-analytics[.]com در سامانه مانیتورینگ این آزمایشگاه مشاهده شد و تصمیم برا آن شده که رویه رهگیری برای این دامنه انجام شود.

پس مقداری بررسی مشخص شد که با اینکه دامنه در پاناما ثبت شده است اما آی‌پی که در ابتدا در آریزونا ایالات متحده بوده سپس به مسکو در روسیه و در نهایت در هنگ‌کنگ چین منتقل شده است.

ترافیک هر آی‌پی در تصویر زیر مشخص است:

تحلیل

این تیم با استفاده از داده‌های جمع‌آوری شده در سامانه مانیتورینگ خود پس از بررسی URL هایی که به این دامنه مربوط بودند متوجه شدند که اسکریپت‌های جاوا اسکریپت زیادی در این دامنه از ماه دسامبر سال ۲۰۱۸ میزبانی می‌شوند که بیشتر موئلفه‌های آن‌ها یکسان هستند.

1
2
3
4
5
6
7
8
9
10
11
12
13
14

FirstSeen       LastSeen        URL
20190417        20190418        magento-analytics.com:80/5c330014a67ac.js
20190403        20190410        magento-analytics.com:80/5c6d6f33c5d6a.js
20190320        20190401        magento-analytics.com:80/5c68b7ba3ea38.js
20190315        20190315        magento-analytics.com:80/5c8ba95b0a705.js
20190305        20190305        magento-analytics.com:80/5c13086d94587.js
20190304        20190308        magento-analytics.com:80/5c3a398f10058.js
20190228        20190228        magento-analytics.com:80/5c56e1cf41cc2.js
20190222        20190326        magento-analytics.com:80/5c56e1cf41cc2.js
20190203        20190406        magento-analytics.com:80/5c330014a67ac.js
20190120        20190415        magento-analytics.com:80/gate.php
20190120        20190322        magento-analytics.com:80/5c0ff4bd5d9a5.js
20190117        20190212        magento-analytics.com:80/5c0ef8d315d78.js
...

این اسکریپت‌ها در زمانی که در صفحه بارگیری می‌شوند یک تایمر تنظیم می‌کنند و هر ۵۰۰ میلی‌ثانیه اطلاعات کارت‌های اعتباری نظیر CVV, نام ، تاریخ و … را جمع‌آوری و به مسیر /gate.php این دامنه ارسال می‌کنند.

بررسی و تایید ارسال داده

با بررسی بیشتر این دامنه مشخص شده است که ۱۰۵ وب‌سایت اسکریپت‌هایی میزبانی شده در این دامنه را بارگیری می‌کنند. این به این معناست که حتی ممکن است بسیاری از این سایت‌ها به این اسکریپت‌ها آلوده شده باشند.

برای مثال با بررسی یکی از این وب‌سایت‌ها مشخص شده که در زمان بارگیری صفحه اصلی یکی از اسکریپت‌های مذکور نیز بارگیری می‌شود. حال زمانی که کاربر به صفحه پرداخت برود و اطلاعات کارت اعتباری خود را وارد کند داده‌ها به دامنه مذکور ارسال می‌شوند.

در مورد magento-analytics

هر چند که نام این دامنه مشابه یکی از سیستم مدیریت محتوی تجارت الکترونیک است که در سال ۲۰۱۸ توسط Adobe خریده شد اما داده‌های whois و اطلاعات آی‌پی‌ها مشخص می‌کند که هیچ ارتباطی وجود ندارد و تنها از این نام برای گمراه کردن کاربران عادی استفاده شده است.

لازم به ذکر است که اطلاعات whois دامنه نیز از طریق سرویس‌های Privacy Protection مخفی شده است.