POS 악성 코드를 이용한 공격으로 다양한 주요 소매업이 정보 유출 피해를 받았습니다. 이러한 공격에서 절취 된 신용 카드 정보는 궁극적으로는 언더 그라운드에서 잘 알려진 신용 카드 판매 사이트 "Rescator"에서 팔리는 것입니다. "Rescator"는 여러 사이버 범죄자에 의해 운영되고 있기 때문에, 트렌드 마이크로에서는이 판매 사이트의 배후에있는 사이버 범죄자 집단을 "Lampeduza"라고합니다.
당사는 다른 사이버 범죄자 집단이 "Lampeduza"의 지명도를 이용해 사이버 범죄자를 속여 가짜 판매 사이트로 유도하는 것을 확인했습니다.
■ 온라인 은행 사기 도구에 대한 C & C 서버
당사의 연구 프로젝트 중 하나가 온라인 은행 사기 도구 "KINS"제어판을 atresurspowerlbc.su 호스트 명령 및 제어 (C & C) 서버를 확인했습니다. 이 C & C 서버는 2014 년 5 월 9 일에 등록 된 메일 주소는 nesternko43@mail.ru이 있습니다. 이 이메일 주소는 "Lampeduza"가짜 사이트를 호스팅하는 다른 도메인을 등록하는 데에도 이용되고있었습니다.
다음은이 가짜 사이트가 사용하는 도메인의 예입니다.
- babli.su
- brandcc.name
- dumpster.su
- e-obmen.su
- iswipe.su
- just4valid.su
- mn0g0.su
- resurspowerlbc.su
- safegs.su
- shipping-panel.su
- shipping-panel.us
- shockwave-update55.su
- update-shockwave34.su
위의 도메인은 가짜 구직 사이트 (safegs.su) 및 2 개의 가짜 운송 사이트 (shipping-panel.su, shipping-panel.us)가 포함되어 있습니다.
■ 신용 카드 판매 사이트 "Lampeduza"
위에서 언급 한 판매 웹 사이트는 "Rescator"또는 "Octavian"라는 악명 높은 온라인 신용 카드 판매 사이트의 가짜 사이트입니다. 메인 페이지는 실제 Web 사이트의 메인 페이지와 매우 비슷합니다.
그림 1은 가짜 사이트의 로그인 페이지입니다.
 |
사용자가 로그인하면 팝업 화면이 나타나고 계정을 활성화하기 위해 49 달러 (2014 년 10 월 20 일 현재 약 5,200 엔)을 가상 통화 "Bitcoin (비트 코인)"에서 지불 할 것을 요구합니다 .
 |
이 팝업 화면의 일본어 번역은 다음과 같습니다.
신규 회원 : 계정을 활성화하려면
비트 코인의 지불을받습니다. 결제가 완료되면 모든 옵션이 가능합니다. 즉시 잔액이 확인됩니다. 머로부터 보호하는 것입니다. 협력 감사합니다.
보안과 익명 성 때문에 고객은 비트 코인의 서비스를 제공합니다. Jabber의 PM, WMZ를 교환 할 수 있습니다. im@grossmeister64.ru icq : 242200 및 btc-e.com
계정을 활성화하려면
방법 :
1. 구매에 대한 결제를 할; 17n37iJqQn1aHQqMsoYsXYNfQ5hR646zeq
2 비트 동전의 금액 - 49 달러 (0.1 BTC)
3 15 분 이내에 결제가 완료됩니다. 잔액이 자동으로 업데이트됩니다.
4 페이지를 업데이트하십시오. 쇼핑을 시작합니다.상태 : 활성화 대기
그림 3은 실제 "Rescator"의 로그인 페이지입니다.
 |
사용자가 로그인하면 그림 4가 표시됩니다.
 |
위 판매 사이트는 모두 "Rescator"가 소유 및 운영하는 신용 카드 판매 사이트의 가짜 사이트라고되어 있습니다. "Rescator"신용 카드 판매 사이트를 운영하는뿐만 아니라 카드 정보에 관한 포럼 "Lampeduza"관리자로도 알려져 있습니다. "Rescator"가 운영하는 "공식"사이트는 다음과 같습니다.
- Octavian.su
- Rescator.cc
- Rescator.co
- Rescator.cm
- Rescator.so
그림 5에서 "Rescator"은 위 도메인 이외의 「Rescator "를 자칭하는 신용 카드 판매 사이트는 모든 사기이다라고 단언하고 있습니다.
 |
이러한 가짜 사이트는 분명히 사기에 관여하고 있습니다 만, 그러나 "Lampeduza"이 뒤에있는 가능성도 부정 할 수 없습니다. 그림 6은 "Rescator"이러한 가짜 사이트에 참여하는 것을 암시하고 있습니다 만, 그러나 그 자체가 허위 게시물 일 가능성이 있습니다.
 |
이 가짜 사이트는 실제 판매 사이트의 이전 버전 같습니다. " xylitol "의 블로그 기사에서 볼 수 있듯이, 2013 년 2 월 시점의"Rescator "의 Web 사이트처럼 보입니다. 당사는 "Rescator"이 이용자에게 가짜 사이트에 대한 경고를 가짜 사이트와 무관하다는 것을 주장 게시물을 여러 확인하고 있습니다.
■ 결론
이 가짜 신용 카드 판매 사이트의 뒤에있는 인물이 누구는 아직 알려져 있지 않습니다. 그러나 가짜 사이트에 관련된 인물은 "Lampeduza"의 지명도를 이용하고있는 것은 분명하다. "Lampeduza"는 안정적인 신용 카드 정보를 제공함으로써 사이버 범죄자는 유명한 판매 사이트에서 이러한 신용 카드 정보는 특히 미국의 정보 유출에 직접적으로 관련되어 있습니다.
문제의 비트 코인 주소의 주인은 55 BTC (약 286 만원)를 받고있는 것 같습니다. 거래의 일부는 0.1 BTC (약 5,200 엔)이되고 가짜 사이트가 이용자에게 요구 한 금액과 같은 금액입니다. 또한이 이메일 주소는 올해 7 월 15 일 이후부터 사용할 수 있습니다.
당사는이 사이버 범죄자 집단을 계속 모니터링하고 새로운 전개가있을 경우에는 본 블로그에서보고합니다. 또한 "Lampeduza"및 이러한 가짜 사이트를 조사하고있는 법 집행 기관에 대하여 당사와의 접촉을 촉구하고 있습니다.
참고 기사 :
'malware ' 카테고리의 다른 글
| Windows 커널 모드의 취약점 'CVE-2014-4113'을 검증 (0) | 2014.10.22 |
|---|---|
| Man With No Name” Feel Insecure? (0) | 2014.10.21 |
| International Voicemail Security via VVM Exploitation (0) | 2014.10.20 |
| Exploiting MS14-059 because sometimes XSS is fun, sometimes (0) | 2014.10.18 |
| Malicious ads run next to popular YouTube videos, laced with the Sweet Orange exploit kit (0) | 2014.10.18 |