Анализ Семейства Js Сниферов Gib 2019

МАРТ 2019
ПРЕСТУПЛЕНИЕ
БЕЗ НАКАЗАНИЯ:
АНАЛИЗ СЕМЕЙСТВ JS-СНИФФЕРОВ
Конфиденциально:
не предназначено для распространения без разрешения Group-IB
ОГЛАВЛЕНИЕ
Введение 3
Ключевые результаты 5
Предмет исследования 5
Как работают снифферы 7
Способы заражения 9
Атаки через поставщиков 10
Сниффер как сервис 13
Масштабы заражений и жертвы 13
Рекомендации для пострадавших сторон 15
Детальные описания каждого семейства 16

GMO 16
TokenLogin 17
TokenMSN 20
ImageID 22
PreMage 28
MagentoName 30
GetBilling 33
WebRank 34
PostEval 40
Illum 41
FakeCDN 46
CoffeMokko 47
ReactGet 52
G-Analytics 58
Qoogle 62
Поставщики снифферов как сервиса 63
Список зараженных сайтов 66

2
ВВЕДЕНИЕ
Андеграундный рынок продажи и аренды вредоносного программного обеспе-

чения, как и любой другой, имеет структуру, разделенную на сегменты. В ка-
ждом сегменте свои правила игры и свои разработчики, заказчики, продавцы,
посредники. Товаром здесь служат вирусы, трояны всех типов, RAT, руткиты,
а также фреймворки для их построения — конструкторы и различные модули,
которые позволяют создать сложный вредонос или улучшить характеристики
уже имеющегося.
Однако часто вне поля зрения вирусных аналитиков остаются угрозы, которые
не так громко заявляют о себе. Со временем их рыночная ниша увеличивает-
ся, в ней появляются новые игроки, само программное обеспечение начинает
делиться на семейства, разворачивается конкурентная борьба, растет ущерб.
И тогда малоизученный тип вредоносов наносит удар. Так, в сентябре 2018
года стало известно, что пользователи сайта и мобильного приложения British
Airways подверглись компрометации. Под угрозой оказались все клиенты меж-
дународной авиакомпании, которые осуществляли бронирование через офици-
альный сайт или приложение компании в период с 25 августа по 5 сентября
2018 года. Суммарно в руки злоумышленников попали личные и финансовые
данные 380 000 человек. Ранее в июле 2018 года сообщалось о компрометации
сайта Ticketmaster, компании, торгующей билетами на различные массовые
спортивные и развлекательные мероприятия. Об этих двух случаях впервые
сообщили американские исследователи компании RiskIQ.
О новом инциденте стало известно в марте 2019 года. Эксперты Group-IB обна-
ружили подозрительный код на британском сайте FILA, международного про-
изводителя спортивных товаров. За 4 месяца платежные данные как минимум
5 600 пользователей могли быть скомпрометированы.
Во всех описываемых случаях злоумышленники

получили доступ к ресурсам, внедрили JavaScript
код на страницы оплаты и с его помощью перехва- Снифферы - это
тывали вводимые пользователями финансовые тип вредоносного кода, внедряемого злоумышленника-
данные. Вредоносный код такого типа называют ми в сайт жертвы для перехвата вводимых пользовате-
JS-снифферами или просто снифферами. Крупные лем данных: номеров банковских карт, имен, адресов,
игроки вроде банков и платежных систем не видят логинов, паролей и т. д. Полученные платежные данные
в снифферах серьезную угрозу для себя. Приня- злоумышленники перепродают или используют сами
то считать, что цель этого класса вредоносных для покупки и перепродажи ценных товаров.
программ — небольшие онлайн-магазины. Но такое
представление пора поставить под сомнение.
Во-первых, при заражении сайта в цепочку пострадавших вовлечены все —
конечные пользователи, платежные системы, банки и крупные компании,
торгующие своими товарами и услугами через интернет. Во-вторых, приведен-
ные выше примеры - не единственные прецеденты внедрения снифферов на
сайты крупных компаний, а значит, «незначительная угроза» растет.
Специалисты направления Threat Intelligence Group-IB постоянно фиксируют

появление новых снифферов, как универсальных, так и специально разра-
3
ботанных под определенные CMS. Принимая во внимание растущие объемы

этого сегмента рынка вредоносного кода, команда Group-IB решила проана-
лизировать семейства снифферов, значительно дополнив описания и отчеты
других исследователей.
В этом отчете эксперты Group-IB раскрывают неизвестные ранее семейства

снифферов, описывают различные способы заражения и атаки через постав-
щиков услуг. Тенденции и закономерности, выявленные в этом исследовании,
углубляют представление об угрозе, позволяют корректно атрибутировать
атаки и дают качественную базу для расследования киберпреступлений с
использованием этого типа вредоносного кода.
4
КЛЮЧЕВЫЕ РЕЗУЛЬТАТЫ
Предмет исследования
Сниффер — тип вредоносного кода, внедряемого злоумышленниками в сайт
жертвы для перехвата вводимых пользователем данных: номеров банковских
карт, имен, адресов, логинов, паролей и т. д. Полученные платежные данные
злоумышленники перепродают или используют сами для покупки и перепро-
дажи ценных товаров.
В партнерстве с компанией Flashpoint аналити-

ки RiskIQ были первыми, кто проанализировал Группа или семейство?
деятельность злоумышленников, использующих
Сниффер может использоваться как определенной
снифферы. Они выделили 12 групп под общим преступной группой, разработавшей его, так и другими
названием MageCart. Эксперты Group-IB изучили группами, купившими или взявшими сниффер в аренду.
обнаруженные снифферы и, применив собствен- Так как в некоторых случаях сложно определить, сколь-
ные аналитические системы, смогли вскрыть всю ко преступных групп используют конкретную програм-
му, эксперты Group-IB называют их семействами, а не
инфраструктуру и получить доступ к исходникам и
группами.
инструментам злоумышленников. Такой подход по-
зволил выявить как минимум 38 разных семейств.
Каждое семейство обладает уникальными признаками и, скорее всего, управ-

ляется разными людьми: все снифферы имеют схожий функционал, и создание
двух снифферов одной группой злоумышленников нецелесообразно.
Исследование продолжается: описания проанализированных снифферов по-

являются в системе Group-IB Threat Intelligence, а в этом отчете описаны схемы
работы и различия 15 семейств, минимум 8 из которых не были опубликованы
до этого.
TokenLogin Март 2016 Illum Конец 2016 MagentoName Декабрь 2017
TokenMSN Середина 2016 WebRank Конец 2016 ImageID Конец 2017
G-Analytics Сентябрь 2016 ReactGet Июнь 2017 GetBilling Начало 2018
PreMage Ноябрь 2016 PostEval Середина 2017 Qoogle Апрель 2018
FakeCDN Ноябрь 2016 CoffeMokko Сентябрь 2017 GMO Май 2018
Список семейств JS-sniffer, проанализированных в этом отчете: 15 из 38, обнаруженных командой Group-IB
5
Актуальность проблемы определяется потенциально огромной аудиторией

(практически каждый из нас пользуется услугами онлайн-магазинов). При
этом данной угрозе уделяется относительно мало внимания и у преступников
возникает чувство безнаказанности. В результате количество атак растет и в
цепочку пострадавших сторон оказываются вовлечены не только пользовате-
ли, но и онлайн-магазины, платежные системы и банки, выпустившие ском-
прометированные карты.
ПОЛЬЗОВАТЕЛЬ ОНЛАЙН-МАГАЗИН
•• компрометация данных •• репутационный ущерб, отток

клиентов вплоть до закрытия
•• прямой финансовый ущерб
•• нарушение требований регуля-
торов к сохранности данных
•• возмещение ущерба клиентам
ПЛАТЕЖНАЯ СИСТЕМА ИЛИ БАНК-ЭМИТЕНТ КАРТЫ

БАНК-ЭКВАЙРИНГ
•• репутационный ущерб, компро-
•• незаконное использование бренда — метация данных карт клиентов
фишинговые страницы
•• операционные издержки на
•• снижение доверия пользователей расследование запросов
клиентов ставших жертвами
•• сработки систем безопасности, подо-
кражи денег с карты
зрения на целевые атаки
•• сработки систем безопасности,
подозрения на целевые атаки
•• возмещение ущерба клиентам
6
38
Основные результаты глубокого исследования различных семейств
снифферов представлены в данном отчете:
снифферов
были изучены
•• Общее количество семейств достигло 38 - ранее в публичном пространстве Group-IB
было известно только 12. В данном отчете описаны 15 семейств из исследо-
ванных экспертами Group-IB, минимум 8 из них не были описаны до этого.
Остальные будут появляться в системе Group-IB Threat Intelligence для ее
㌀
описания появятся
в системе Group-IB
клиентов. Threat Intelligence
•• Классификация снифферов - эксперты описали универсальные и специа-

лизированные (запрограммированные под конкретную CMS или платежную
систему) типы снифферов.
•• Факты взаимосвязи между семействами и признаки «конкурентной борьбы» -

были выявлены случаи, когда вредоносный код одного семейства был запро-
15

граммирован на «вытеснение» более раннего заражения или использование снифферов описаны
в данном отчете
его в качестве «донора».
 
описаны
•• Анализ способов продажи и аренды снифферов - исследование предложений впервые
и цен, а также факты перехода клиентов от одного поставщика снифферов к
другому.
•• Классические и новые схемы использования снифферов - использо- 12

снифферов были 
 
вание уязвимостей популярных CMS, взлом поставщиков услуг, создание расширяют
публично описаны
изветные
поддельных сайтов реальных платежных систем с полным копированием их описания
брендинга.
•• Общее количество зараженных снифферами сайтов с подтвержденной

принадлежностью к определенному семейству.
Как работают снифферы

1 шаг: получение доступа к сайту
•• Вариант 1 — получение логина и пароля к административной панели с

использованием вредоносных программ, крадущих пароли;
•• Вариант 2 — поиск уязвимых сайтов (эксплоиты популярных CMS, известные

уязвимости поставщиков услуг). Используя эксплоиты, злоумышленник загру-
жает веб-шелл и получает доступ к изменению файлов сайта;
•• Вариант 3 — покупка доступа к сайту у другой группы злоумышленников.
2 шаг: получение сниффера
•• Вариант 1 — собственная разработка;
•• Вариант 2 — покупка/аренда готового варианта на андеграундном форуме.
3 шаг: установка сниффера
установленный через панель управления или веб-шелл сниффер соби-

рает информацию и отправляет ее на хост, управляемый злоумышленни-
ком. Некоторые снифферы используют техники, позволяющие оставать-
ся незамеченными при ручной проверке:
•• добавление в легитимную библиотеку скриптов;
•• механизм приостановки активности сниффера в момент использования

консоли разработчика (например Chrome DevTools или Firefox Browser Toolbox).
7
4 шаг: монетизация
•• Вариант 1 - продажа данных кардерам и получение от $1 до $5

с каждый карты. Этот способ самый простой - для его реали-
зации достаточно иметь контакты проверенных скупщиков;
•• Вариант 2 - оплата чужими банковскими картами товаров,

которые легко перепродать: гаджетов, электроники, бытовой
техники, предметов интерьера, одежды и обуви.
Собранные платежные данные и персональную информа-

цию жертвы отправляют на сервер злоумышленников —
гейт. В цепочке передачи данных со сниффера может быть
использовано несколько уровней гейтов, расположенных
на разных серверах или взломанных сайтах, для услож-
нения задачи обнаружения конечного сервера злоумыш- Телеграм-бот, предлагающий купить данные, укра-
ленников. Однако в некоторых случаях административная денные снифферами, — 24/7, от $5 до $10
панель расположена на том же хосте, что и гейт для сбора

украденных данных.
Конечный сервер злоумышленников, предназначенный для отслеживания

активности снифферов и экспорта украденных данных, может представлять
собой как полноценную административную панель, так и сервер для разме-
щения инструментов администрирования баз данных. К примеру, функции
административной панели могут выполнять такие инструменты, как Adminer
или phpMyAdmin.
Схема работы сниффера
8
Способы заражения:
Злоумышленники могут заражать сайты и внедрять вредоносный код разными
способами:
1) Эксплуатация уязвимостей CMS
Вредоносный код может внедряться в код сайтов онлайн-магазинов при по-

мощи уязвимостей CMS, разработанных специально для онлайн-магазинов, —
Magento, OpenCart и др.
•• Загрузка веб-шелла на сайт при помощи эксплуатации уязвимости с последующей

модификацией файлов сайта
•• внедрение кода сниффера при помощи эксплуатации уязвимости, позволяющей

добавить код злоумышленника в один из блоков кода сайта, к примеру, в футер
Статистика CMS, используемых на зараженных сайтах
2) Взлом административной панели сайта
Сниффер может быть установлен путем получения доступа в административ-

ную панель сайта с возможностью редактирования файлов. Компрометация
логина и пароля может осуществляться несколькими методами:
•• использование стилеров — программ, позволяющих извлекать пароли, сохраненные

в браузере
•• использование вредоносных программ для перехвата вводимых данных (в том числе

логина и пароля)
•• брутфорс - метод перебора паролей
3) Взлом сторонних сервисов
Сниффер может попасть на сайт через взлом сторонних сервисов, скрипты

которых работают на целевом сайте:
•• внедрение вредоносного кода через код скриптов сайтов, предоставляющих услуги

онлайн-магазинам (чаты клиентской поддержки, системы аналитики и статистики)
•• взлом аккаунтов CDN-сервисов с возможностью модификации скриптов, подгружа-

ющихся из CDN на целевые сайты.
9
Атаки через поставщиков

Преступная группа, стоящая за использованием семейства снифферов
WebRank, зачастую осуществляла атаки через поставщиков услуг. К примеру,
взломав систему веб-аналитики, злоумышленники внедряли код сниффера в
скрипт веб-аналитики. Данный скрипт, подгружаемый многими сайтами, вме-
сте с собой подгружал и сниффер банковских карт.
Такая техника доставки также делает возможным вытеснение конкурирующих

семейств снифферов. Так в ходе одной из волн заражений операторы сниффе-
ра WebRank получили доступ к коду сниффера MagentoName и добавили к нему
в сайт свой вредоносный код.
Другой пример — атака на Feedify, сервис для push-уведомлений в режиме ре-

ального времени. Внедрив код сниффера в код файла, преступная группа авто-
матически подгрузила сниффер всем клиентам компании Feedify, на сайты
которых подгружался скрипт feedbackembad-min-1.0.js. Сниффер был впервые
добавлен в код Feedify 17 августа, а 11 сентября обнаружен и удален. Однако
злоумышленники вновь провели заражение 12 сентября.
Атаки через сторонних поставщиков доказали свою эффективность: бо-

лее 60% из трех сотен сайтов, подгружающих скрипт Feedify, относятся
к eCommerce-сайтам, а значит, служат целями для сниффера семейства
WebRank.
Целевые платежные системы

С точки зрения архитектуры, каждый сниффер имеет клиентскую и серверную
часть.
Клиентская часть сниффера от- Серверная часть сниффера

вечает за первоначальный сбор — приложение, с которым ра-
данных, осуществляемый разны- ботает оператор сниффера.
ми способами:
Выполняемые серверной ча-
•• по жестко записанному списку стью функции зависят от того,
имен полей платежных форм; насколько точно клиентская
•• по списку регулярных выра- часть сниффера определяет
жений, определяющих инте- тип украденных данных. Если
ресные снифферу поля; данные передаются в необра-
ботанном виде, значит опре-
•• по списку базовых HTML-э-
лементов, используемых в деление номера карты, CVV,
платежной форме. телефона, электронной почты
и имени владельца к единому
виду происходит уже в адми-
нистративной панели.
Обработка данных в административной панели — более удобный вариант, так

как внести изменения в код административной панели легче, чем изменить
код сниффера, уже внедренного на сайт онлайн-магазина.
10
Тем не менее многие семейства снифферов используют уникальные варианты

для каждой отдельной платежной системы, что требует модификации и тести-
рования скрипта перед каждым заражением.
Универсальные снифферы
К универсальным снифферам можно отнести те семейства, которые настро-
ены на кражу данных из разных платежных систем и не требуют доработки
под определенную платежную систему. Снифферы семейств G-Analitycs и
WebRank настроены похищать все содержимое элементов HTML определен-
ного типа. Это означает, что парсинг украденных данных происходит в адми-
нистративной панели этих снифферов, то есть на стороне сервера.
•• Снифферы семейства WebRank обращаются ко всем объектам типа “text”, “a”,

“button”, “input”, “submit” и “form” и добавляют специальные обработчики событий,
связанных с этими элементами.
•• Снифферы семейства G-Analytics осуществляют поиск всех элементов следующих

типов на странице оплаты: "input", "select", "textarea", "checkbox". Если в результате
этого поиска обнаруживаются данные, похожие на номер кредитной карты, сниффер
отправит эти данные на сервер злоумышленников.
Снифферы для определенных CMS

Большая часть обнаруженных снифферов нацелена на платежные формы
определенных CMS, то есть сниффер осуществляет поиск определенных
полей, содержащих платежную информацию, и список таких полей жестко
записан в коде сниффера.
Следующие снифферы осуществляют поиск стандартных полей платежной

формы CMS Magento:
•• PreMage;
•• MagentoName;
•• FakeCDN;
•• Qoogle.
Сниффер GetBilling также нацелен на платежную форму CMS Magento, но

вместо поиска по списку полей он осуществляет поиск форм по их имени.
Сниффер семейства PostEval нацелен на платежные формы сайтов, работаю-
щих под управлением CMS OpenCart, для поиска данных сниффер использует
жестко закодированные имена полей.
11
Снифферы для определенных платежных систем
GMO TokenLogin TokenMSN ImageID CoffeMokko ReactGet

● ● ● ● Adyen
● ANZ eGate
● ● ● ● ● ● Authorize.Net
● ● ● Braintree
● Chase Paymentech (Orbital)
● Cielo
● ● CyberSource
● DataCash (MasterCard)
● EBANX
● ● ● eWAY
● ● Fat Zebra
● First Data
● Flint
● Heartland Payment Systems
● heidelpay
● LinkPoint
● MivaPay
● Moip
● Moneris Solutions
● MundiPagg
● Pagar.me
● PagSeguro
● Payflow
● Paymetric
● PayOnline
● ● ● ● PayPal
● Pin Payments
● PsiGate
● Quickbooks Merchant Services
● Realex Payments
● ● ● ● Sage Pay
● Secure Trading
● ● ● ● ● Stripe
● Tranzila
● ● USAePay
● ● ● ● Verisign
● Wirecard
● Website Payments Pro
● ● WorldPay
12
Сниффер как сервис

Каждое семейство снифферов может представлять разные типы сервисов.
При анализе подпольных форумов, предназначенных для общения киберпре-
ступников, было обнаружено большое количество сервисов, предлагающих
своим клиентам полностью готовое решение, в которое входит:
•• сниффер или утилита для генерации снифферов;
•• административная панель для обработки данных и отслеживания активности

снифферов;
•• мануалы по заражению сайтов онлайн-магазинов;
•• готовые эксплоиты для заражения сайтов;
•• вспомогательные утилиты для поиска уязвимостей и массовых заражений сайтов.
При анализе обнаруженных семейств сниффе-

ров было установлено, что в некоторых случаях
домены, использованные для хранения кода Сколько стоит использование
сниффера или для сбора украденной информа- сниффера
ции, были зарегистрированы разными поль-
Стоимость снифферов составляет от $250 до $5000.
зователями. Код был модифицирован, приме- Некоторые сервисы дают возможность работать в пар-
нялись разные способы обфускации и техники тнерстве: клиент предоставляет доступ к скомпромети-
сокрытия вредоносной активности. Эти факто- рованному онлайн-магазину и получает 80% от дохода, а
ры указывают на то что семейство снифферов создатель сниффера отвечает за серверы для хостинга,
техподдержку и административную панель для клиента.
используется разными преступными группами,
то есть поставляется как сервис.
В других случаях прослеживалась четкая спец-

ифика деятельности определенной преступной группы, что может означать
независимость от сторонних разработчиков и использование только соб-
ственных разработок. Таким образом, эти преступные группы должны иметь
как минимум одного человека, имеющего навык веб-разработки и знакомого с
такими языками, как HTML, JavaScript и PHP.
Масштабы заражений
Снифферы, совершающие
и жертвы самые масштабные атаки
Обнаруженные семейства снифферов были Благодаря массовым заражениям самые большие пока-
использованы для заражения как минимум 2440 затели суммарной посещаемости зараженных сайтов
онлайн-магазинов, принимающих к оплате бан- у снифферов семейств MagentoName и CoffeMokko. Ре-
ковские карты. Суммарное суточное количество сурсы, зараженные этими снифферами, посещает более
440 000 человек ежедневно. Третьим по посещаемости
посетителей всех зараженных сайтов —
является семейство снифферов WebRank -
более полутора миллионов человек. 250 000 человек.
13
Анализ среднего значения посещаемости каждого зараженного магазина по

отдельности показывает, что некоторые снифферы специализируются на более
популярных онлайн-магазинах, а другие - на мелких игроках. Так средняя посе-
щаемость сайтов, зараженных снифферами Illum, G-Analytics и TokenMSN, состав-
ляет около 3000 человек в сутки на сайт, в то время как этот же показатель для
MagentoName составляет около 500 человек в сутки на сайт.
Статистика общего количества посетителей сайтов, зараженных разными семействами JS-снифферов в день
Более половины зараженных сайтов были ата-

кованы сниффером семейства MagentoName,
операторы которого используют уязвимости
устаревших версий CMS Magento для внедре-
ния вредоносного кода в код сайтов, работа-
ющих под управлением этой CMS. Более 13%
заражений приходится на долю снифферов
семейства WebRank, использующего схему
атаки на сторонние сервисы для внедрения
вредоносного кода на целевые сайты. 11% при-
ходится на заражения снифферами семейства
CoffeMokko, операторы которого используют
Разбивка атакованных ресурсов семьями JS-снифферов
обфусцированные скрипты, нацеленные на
кражу данных из форм оплаты определенных пла-
тежных систем, названия полей которых жестко
записываются в коде сниффера.
Исходя из анализа списка TLD (top-level domain)

зараженных онлайн-магазинов, можно сделать
вывод, что атакующие в целом заинтересованы
в заражении сайтов, относящихся к крупным
развитым странам: США, Великобритании,
Германии и т.д.
Распределение атакованных ресурсов по TLD 14

Рекомендации для пострадавших сторон:

Для банка-эмитента скомпрометированной карты
•• Уведомите пользователей о возможных опасностях, возникающих в процессе онлайн-

оплаты с использованием банковских карт;
•• Если банковские карты, относящиеся к вашей компании, были скомпрометированы,

заблокируйте данные карты и уведомите пользователей о факте использования
онлайн-магазина, который был заражен сниффером кредитных карт.
Для администратора онлайн-магазина
•• Используйте сложные и уникальные пароли;
•• Установите все обновления для используемого программного обеспечения, включая CMS

сайтов. Это поможет снизить риск компрометации сервера и усложнит для атакующего
процесс загрузки веб-шелла;
•• При оплате на сайте используйте окно оплаты, открывающееся внутри отдельного

элемента iframe без использования сторонних скриптов;
•• Проводите регулярные проверки и аудит защищенности вашего сайта;
•• Используйте системы для логирования всех изменений, происходящих на сайте, а также

логирование доступа в панель управления сайта, отслеживание дат изменения файлов.
Это поможет своевременно обнаружить заражение файлов сайта вредоносным кодом,
а также отследить факт неавторизованного доступа к сайту или веб-серверу.
Для платежной системы/банка, обрабатывающего платежи
•• Если вы предоставляете сервис для проведения платежей на e-commerce сайтах,

проинформируйте своих клиентов об угрозе JavaScript-снифферов и базовых техниках
безопасности при приеме онлайн-платежей на сайтах;
•• Используйте окно онлайн-оплаты, работающее на отдельной странице вашего сервиса, а

не на странице онлайн-магазина. Это поможет избежать кражи данных банковской карты
клиента магазина даже в случае внедрения вредоносного кода на сайт онлайн-магазина;
•• Убедитесь, что ваши сервисы используют корректно настроенный механизм Content

Security Policy.
15
МНОГООБРАЗИЕ
JS-СНИФФЕРОВ:
описание основных семейств, их инфраструктуры
и принципов работы
Семейство GMO Описан

впервые
Сниффер GMO был использован при атаке на сайт FILA, описанной во введении к
этому отчету. Жертвами GMO становятся сайты под управлением CMS Magento,
его доменное имя для размещения кода и гейт были созданы 7 мая 2018 года —
этот месяц можно считать датой начала кампании с использованием сниффера
GMO.
Описание
При заражении целевого сайта атакующие внедряют в страницу JavaScript-код,
отвечающий за подгрузку сниффера. Этот код проверяет, были ли уже собраны
платежные данные пользователя по двум параметрам: наличие в localStorage
данных по специальному ключу и наличие в текущем адресе страницы подстроки
/checkout/.
Если хоть одно из условий соблюдается, то тело сниффера, перехватывающего

данные кредитной карты пользователя, внедряется в страницу сайта. При этом
ссылка на PHP-скрипт, возвращающий код сниффера, закодирована в Base64.
Данные собираются по жестко закодированным названиям полей платежной

формы.
16
Успешно собранные данные сохраняются в локальное хранилище localStorage,

а затем отправляются на гейт сниффера через запрос изображения. Ссылка на
гейт также закодирована при помощи Base64, а сам гейт расположен на том
же сервере, что и скрипт для загрузки JavaScript-кода сниффера.
Инфраструктура
Дата обнаружения /
Домен
Дата создания
gmo.li 07.05.2018
Семейство TokenLogin Описан

впервые
Первые сайты, зараженные семейством TokenLogin, были зафиксированы

в середине 2016 года. Следы этого сниффера были найдены в коде интернет-
магазинов, работающих под управлением таких CMS и платформ, как Magento,
Shopify и Bigcommerce.
Создание инфраструктуры для атак началось за несколько месяцев до: первый

домен, связанный с административной панелью этого семейства снифферов,
был зарегистрирован 31 марта 2016 года, а в одной из административных
панелей апрель 2016 года указан как время модификации файлов.
Описание
Сниффер написан с использованием jQuery, он добавляется в конец уже
существующего HTML-файла перед закрывающим тегом body. Такой подход
преследует две цели: затруднить ручное обнаружение скрипта и упростить
автоматизированное заражение. Таким образом, для автоматической инъек-
ции кода достаточно найти закрывающий тег body, который является концом
кода сайта.
Можно предположить, что, получив доступ к возможности модифицировать

контент сайта, злоумышленник закрепляется в системе и оставляет лазейки
и бэкдоры для восстановления вредоносного скрипта в случае его удаления.
В ходе работы скрипта данные записываются в localStorage, а затем отправ-

ляются при помощи POST-запроса вместе с параметром token, который в этом
17
случае может иметь различные значения. В некоторых случаях были найдены

образцы сниффера с дополнительной валидацией данных, в остальных —
на клиентской стороне данные никак не обрабатывались.
Административная панель
Исследователи обнаружили, что административные панели содержат русско-
язычный текст. Эти панели были найдены при анализе хостов, используемых
злоумышленниками для сбора украденной платежной информации.
Некоторые директории в каждой административной панели были открыты,

что позволило определить дату модификации файлов и сделать предположе-
ние о датах начала новых кампаний по заражению онлайн-магазинов.
18
Монетизация украденных данных

Один из обнаруженных образцов сниффера предположительно относится к
этому семейству, использовался в 2016 году и содержит отсылку к домену
jscdn-jquery.com.
Специалистами Group-IB установлено, что домен jscdn-jquery.com, использу-

емый в качестве гейта для сбора украденных данных, соответствует IP-адресу
5.8.88.165. На этом же домене располагался Jabber-сервер coffee.creditcard,
который в 2016 году использовался создателем сервиса по продаже кредит-
ных карт, полученных при помощи сниффера, на русскоязычных подпольных
форумах.
Доменное имя jqueryextd.us было зарегистрировано пользователем, имеющим

адрес электронной почты futbolka183@yandex.ru, а адрес в свою очередь
принадлежит пользователю с псевдонимом futbolka.
Массовое заражение
Образец сниффера, использующего в качестве гейта хост jquery-cdnlib.com,
был внедрен в код всех сайтов одной калифорнийской рекламной компании,
занимающейся продажей товаров с символикой музыкальных групп. Таким
образом зараженными оказались несколько десятков сайтов.
19
Домен
a11dd11blogger.com 25/04/2016
air-frog33.pw 01/11/2016
cdn-js-42.com 09/09/2016
cdnbotstrap.com 14/03/2017
cloud-update.top 18/11/2016
cr1red-one.ltd 15/02/2017
jquery-cdnlib.com 28/02/2017
jquerycdnlibrary.com 10/05/2017
jqueryextd.us 31/03/2016
jqueryexts.us 16/12/2017
jscdn-jquery.com 10/02/2017
magento-analytics.com 12/05/2018
Семейство TokenMSN Расширяет

известное описание
Основная кампания с применением данного семейства снифферов началась

в середине 2017 года, однако отдельные случаи датируются серединой 2016
года. Атаке подверглись сайты под управлением CMS Magento.
Описание
Злоумышленники произвели ряд атак, внедрив на сайты интернет-магазинов
вредоносный код, который похищал платежную информацию пользователей.
Данное семейство снифферов, предположительно, является обновленной или
модифицированной версией семейства снифферов TokenLogin, описанного
выше.
Главное отличие TokenMSN заключается в способе установки вредоносного

кода на сайт: вредоносный скрипт подключается со стороннего сайта и зача-
стую вносится в легитимный код, к примеру в системы веб-аналитики.
На запрос корня сайта, служащего гейтом для сниффера, осуществляется
перенаправление на msn.com.
20
Сходство семейств снифферов TokenLogin и TokenMSN заключается в приме-

нении AJAX-запросов, использованием jQuery, а также в наличии параметра
token, который в данном случае имеет статичное значение KjsS29Msl.
При анализе узлов, на которых располагались вредоносные скрипты, было об-

наружено несколько версий снифферов, актуальные версии были загружены в
сентябре 2018 года.
21
Анализ инфраструктуры
Доменное имя analiticoscdn.com зарегистрировано 12.05.2017 пользователем,
использующим адрес электронной почты yalishanda@rocketmail.com. Поль-
зователь с псевдонимом yalishanda предоставляет хостинговый сервис для
киберпреступников на русскоязычных подпольных форумах.
Доменные имена analyzer-js.com, js-cloud.com и js-react.com в период с

апреля 2018 года резолвились на 24, 39 и 35 различных IP-адресов соответ-
ственно. Предположительно, владелец данных доменных имен воспользовал-
ся услугами сервиса для сокрытия реального IP-адреса сервера.
Домен
analiticoscdn.com 01/12/2016
analyzer-js.com 01/06/2018
bootstrap-js.com 31/05/2018
jcloudcdn.com 19/06/2016
js-cloud.com 07/05/2017
js-react.com 11/04/2018
msn-analytics.com 26/08/2018
Семейство ImageID Расширяет

ImageID — один из самых распространенных снифферов, используемых в ата-

ках на сайты онлайн-магазинов. За время своей активности этот сниффер был
несколько раз усовершенствован разработчиком и обладает рядом преиму-
ществ. Например, после внедрения на сайт он работает как кейлоггер, отправ-
ляя на сервер информацию каждый раз, когда пользователь вносит изменения
в форме оплаты на зараженном сайте.
Самые ранние доменные имена, имеющие отношение к этому семейству сниф-

феров, зарегистрированы в конце 2017 года, что может свидетельствовать о
начале основной кампании именно в этот период. Целью атакующих служат
сайты под управлением таких систем и платформ, как Magento, OpenCart,
Shopify, WooCommerce, WordPress.
Описание
Образцы данного семейства снифферов, работая как кейлоггер, отправляют
закодированную в base64 информацию жертвы на подконтрольный злоумыш-
ленникам сервер, являющийся промежуточным сервером между жертвой и
административной панелью сниффера.
Исходя из названий функций и наличия несложной обфускации кода, можно

предположить, что каждый отдельный сниффер генерируется со случайными
22
именами функций и переменных, но остается человекочитаемым для быстрого

внесения изменений в случае неработоспособности кода и необходимости
модификаций из-за особенностей конкретного онлайн-магазина.
В рамках анализа одного из гейтов, применяемых для сбора украденных

данных, была обнаружена логин-панель неизвестного назначения, которая
изначально была распознана как страница авторизации вредоносного про-
граммного обеспечения Agent Tesla.
При детальном анализе были замечены некоторые незначительные отличия от

панели Agent Tesla, однако назначение данной панели остается неизвестным.
23
Анализируя код одного из зараженных магазинов,

специалисты Group-IB обнаружили, что в этом слу-
чае злоумышленники не ограничились внедрением
сниффера: по ряду причин им пришлось использо-
вать полноценную поддельную платежную форму,
которая подгружалась с другого скомпрометиро-
ванного сайта. Эта форма предлагает пользовате-
лю два варианта оплаты: при помощи кредитной
карты и при помощи PayPal. Если пользователь
выбирал оплату через PayPal, то видел сообщение
о том, что этот способ оплаты недоступен в данный
момент.
В другом случае - при оплате кредитной картой

- платежная информация передавалась скрипту
validation.php, расположенному на том же взло-
манном сайте, что и поддельная форма оплаты.
Этот скрипт отвечает за передачу собранной ин-
формации на следующий гейт.
При отправке украденных данных на первом гейте

в директории /database/ сохраняются пустые
файлы, название каждого соответствует значению
MD5 от конкатенации IP-адреса жертвы и значения
заголовка User-Agent. Возможно, эта техника по-
зволяет избежать дублирования данных в админи-
стративной панели этого сниффера.
В ходе анализа деятельности семейства сниффе-

ров ImageID был обнаружен интересный образец,
значительно отличающийся от всего семейства,
но вместе с тем имеющий с ним немало сходств,
таких как список параметров запроса, отправ-
ка закодированных при помощи Base64 данных,
закодированный адрес гейта в коде сниффера. Его
основными отличительными чертами можно на-
звать существенно переработанный код сниффера
и смену способа подключения — сниффер внедря-
ется в код сайта с внешнего узла, подконтрольного
злоумышленникам.
Функция отправки украденных данных на сервер злоумышленников напо-

минает рассмотренный ранее пример кода, однако отсутствует какая-либо
обфускация и случайно сгенерированные имена функций и переменных.
24
При анализе использованного в этом сниффере гейта была об-

наружена директория, в которой сохранялись лог-файлы со всей
информацией, перехваченной сниффером. Каждый файл соответ-
ствует одному сайту, на который был внедрен вредоносный код, в
данном случае было 122 таких сайта. В каждом файле построчно
содержались названия полей формы и их значения, перехвачен-
ные сниффером во время того, как пользователь вводил платеж-
ную информацию для оплаты покупки.
Исходя из дат изменения файлов, можно сделать вывод, что за

один час данный сниффер получил более 20 обращений с разных
сайтов.
В ходе анализа гейта, расположенного на сайте adsservicess.com,

была обнаружена административная панель старой версии сниф-
фера ImageId, поскольку в более поздних версиях была убрана
CAPTСHA на странице логина.
Для сокрытия деятельности сниффера на гейте jquerylivecdn.com злоумыш-

ленники развернули клон легитимного сайта https://jquery.com.
25
В рамках одной из недавних кампаний по внедрению снифферов в код он-

лайн-магазинов добавлялся вредоносный код, отправляющий украденные
данные на хост google-analytics.org, имитирующий легитимный сервис Google
Analytics. В атаках использовалась обновленная версия сниффера, включа-
ющая в себя отслеживание Chrome Developer Tools и Firebug. Такая техника
позволяет скрыть активность сниффера от исследователей.
Административная панель
В ходе анализа гейта google-analytics.org был
обнаружен архив, содержащий в себе исходный
код актуальной версии административной панели
сниффера, а также скрипты для создания новых
гейтов.
Среди файлов административной панели был дамп

базы данных, который позволяет понять, какие
данные об украденных кредитных картах сохраня-
ет сниффер.
26
Также в архиве был найден текстовый файл, содержащий PHP-скрипт для

развертывания нового гейта сниффера. Код идентичен ранее обнаруженному
образцу, однако авторы сделали несколько модификаций.
Для создания новых образцов снифферов в адми-

нистративной панели есть специальная вкладка,
содержащая генератор JavaScript-сниффера и
настройки для него.
В ходе исследования данного семейства сниффе-

ров было установлено, что одна из версий адми-
нистративной панели была выложена в открытый
доступ на русскоязычных подпольных форумах.
27
Домен
94.249.236.106 30/11/2017
anonimousall.xyz 30/10/2017
googles-contents.com 21/09/2017
gstaticss.com 10/09/2017
iwanalekseeff.000webhostapp.com -/-
jackhemmingway.com 20/08/2018
miorita-timisoara.ro 01/08/2018
patrickwilliams.x10host.com 23/07/2018
tecjobs.net -/-
vuln.su 28/10/2017
wildestore.biz 27/12/2017
z3networks.de 29/03/2018
google-analytisc.com 20/03/2018
google-analutics.com 15/04/2018
google-analyitics.org 26/09/2018
adsservicess.com 24/08/2018
jquerylivecdn.com 20/09/2018
Семейство PreMage Описан

впервые
Семейство снифферов PreMage используется в атаках на сайты, работающие

под управлением CMS Magento. Известные образцы сниффера активны как
минимум с июля 2018 года, однако некоторые доменные имена, связанные с
данным семейством снифферов, были зарегистрированы в ноябре 2016 года.
Описание
Этот сниффер, который, предположительно, используется только одной
группой киберпреступников, выглядит как альтернативная версия сниффера
MagentoName. Сниффер до сих пор активен, доменное имя было зарегистриро-
вано 23.07.2018.
28
Украденные платежные данные заполняются сниффером в невидимую пользо-

вателю форму (параметру display присвоено значение none), а затем отправля-
ются на сервер злоумышленников и сохраняются через скрипт /mage/mail.php.
Предположительно, этот скрипт отвечает за отправку данных злоумышленни-
кам посредством электронной почты.
В ходе анализа было выявлено, что тот же злоу-
мышленник ранее зарегистрировал дополнитель-
ные доменные имена, часть из них — одновременно
с основным доменом, другую часть — в 2016 году.
Эти домены могли бы быть использованы для раз-
мещения сниффера, а также инфраструктуры для
хранения и передачи украденных данных. Однако
не было обнаружено никакой активности, связан-
ной с остальными доменными именами. Предполо-
жительно, они запасные и будут задействованы в
случае блокировки основного доменного имени.
Один из образцов снифферов этого семейства в качестве гейта использовал

хост cloud-update.top, который также служил гейтом сниффера семейства
TokenLogin. Переход на другое семейство снифферов может означать, что вла-
делец домена сменил один подпольный сервис, предоставляющий снифферы
для кражи кредитных карт, на сервис-конкурент, используя прежний домен.
Домен
jscriptssl.info 23/07/2018
jquery-cdm.com 07/11/2016
jquueryssl.info 23/07/2018
jqueryssl.info 23/07/2018
jquery-clm.com 04/11/2016
cloud-update.top 18/11/2016
29
Семейство MagentoName Расширяет

Кампания с применением данного семейства снифферов началась относи-

тельно недавно: первые зараженные сайты были обнаружены в январе 2018
года, а первый известный домен злоумышленников зарегистрирован 11 дека-
бря 2017 года. Основной целью этой кампании являются сайты под управле-
нием CMS Magento, предназначенной для интернет-магазинов.
Описание
Это семейство снифферов используется для массовых заражений сайтов. В
исходный код каждого зараженного сайта была добавлена ссылка на вредо-
носный JavaScript, размещенный на сервере злоумышленников. Код сниффера
обфусцирован, а благодаря скрытному подключению и размещению на серве-
ре со специфичным доменным именем при ручной проверке кода сайта скрипт
выглядит как легитимный для CMS Magento.
Первый известный домен злоумышленников magentocore.net зарегистриро-

ван 11 декабря 2017 года, он был использован для заражения более полутора
тысяч сайтов под управлением CMS Magento. Однако злоумышленники поте-
ряли доступ к этому домену, потому что в определенный момент активности
преступной группы на части зараженных сайтов сниффер на magentocore.net
был заменен на новый сниффер, размещенный на сайте magento.name, кото-
рый использовался для второй волны заражений.
Одновременно с изменением доменного имени злоумышленники снизили

свою активность, заразив всего несколько сотен онлайн-магазинов, чтобы не
привлекать внимания исследователей и дольше оставаться незамеченными.
Однако на некоторых сайтах, зараженных в рамках первой волны, также была
размещена новая версия сниффера.
Из фрагмента кода сниффера видно, что собранная платежная информация от-

правляется на сервер злоумышленников через специальную форму POST-за-
просом на скрипт с именем mail2.php. Из имени скрипта можно предполо-
жить, что злоумышленники получают украденные данные через электронную
почту.
30
PHP-бэкдоры
Успешность и скорость распространения этого сниффера обусловлена не-
сколькими техниками, которые злоумышленники применяют на скомпро-
метированных сайтах. В рамках анализа сервера злоумышленников были
обнаружены два файла, представляющие из себя PHP-скрипты, предна-
значенные для закрепления в системе и устранения конкурирующего вре-
доносного программного обеспечения. Согласно статье, опубликованной в
блоге эстонского хостинга Zone (https://blog.zone.ee/2018/08/01/magento-ja-
krediitkaardivarastaja-ja-andmekaitse-uldmaarus/), данные PHP-файлы скачива-
ются и запускаются при помощи кода, внедренного в файл cron.php.
Первый файл clean.json, представляющий из себя PHP-скрипт, предназначен

для удаления конкурентных скриптов снифферов, внедренных в core_config_
data базы данных CMS Magento. Другие снифферы обнаруживаются по списку
из трех сигнатур.
Далее в цикле скрипт осуществляет поиск в базе данных по указанным ранее

сигнатурам и удаляет другие снифферы.
Файл clear.json, который также является PHP-скриптом, предназначен для за-

крепления доступа к взломанному сайту. Скрипт использует массив возмож-
ных логинов администраторов, пытаясь найти существующий аккаунт.
31
В случае если один или несколько пользователей с именем из массива дей-

ствительно существуют, скрипт сменит пароль администратора посредством
SQL-запросов к базе данных взломанного сайта.
Интересной особенностью скрипта clear.json является то, что в списке логи-

нов присутствуют те, которые используются в некоторых публично доступных
эксплоитах и вредоносных инструментах для взлома веб-серверов. Таким
образом, если сайт был взломан ранее другим злоумышленником, доступ к
нему будет закрыт.
Новая волна заражений

Позднее операторы данного сниффера отказались от использования полезной
нагрузки, размещенной на том же сервере, что и скрипт гейта, и перешли к
третьей волне заражения сайтов. Для хранения JavaScript-кода в этих кампа-
ниях используются взломанные сайты, вредоносный код отправляет украден-
ную информацию на тот же гейт.
Известные примеры снифферов, хранящихся на взломанных сайтах:
•• https://020hair.com/js/mage/mage.js
•• https://101classics.de/js/mage/mage.js
•• https://944store.com/js/mage/mage.js
•• https://dreamkinderkleding.nl/js/mage/mage.js
•• https://jarusnet.pl/js/mage/mage.js
В код сниффера, который был расположен на взломанном сайте jarusnet.pl,

внедрен вредоносный код другого семейства, WebRank. Предположительно,
это проявление деятельности двух конкурирующих групп киберпреступ-
ников. На рисунке ниже показаны две строчки файла, расположенного на
32
сайте jarusnet.pl: первой строке файла соответствует скрипт семейства

MagentoName, второй — скрипт семейства WebRank, оба скрипта были защи-
щены с использованием похожего алгоритма обфускации кода.
После использования взломанных сайтов для хранения снифферов группа

перешла к четвертой волне заражений и создала четыре домена, каждый из
которых располагался на сервере с IP-адресом 83.166.246.147, в той же подсе-
ти, что и активный на этот момент гейт для сбора украденных данных magento.
name (83.166.243.206). Также в рамках четвертой волны группа заменила
сниффер на актуальный на некоторых сайтах, зараженных в рамках третьей
волны.
•• https://nexcesscdh.net/mage.js
•• https://minijs.website/mage.js
•• https://minijs.info/mage.js
•• https://minijs.xyz/mage.js
Украденные данные по-прежнему отправлялись на тот же самый гейт по пути

/mage/mail2.php.
Данное семейство снифферов было задействовано для атаки на сайт sueno.

co.uk (https://broadanalysis.com/2018/09/19/magecart-appears-to-have-
targeted-another-online-retailer/).
Домен
magentocore.net 11/12/2017
magento.name 06/09/2018
nexcesscdh.net 08/11/2018
minijs.website 07/11/2018
minijs.info 07/11/2018
minijs.xyz 07/11/2018
Семейство GetBilling Описан

впервые
Заражения в рамках кампании с использованием снифферов семейства

GetBilling являются одними из самых малораспространенных среди всех проа-
нализированных зараженных сайтов. Однако специалисты Group-IB регулярно
детектируют редкие появления новых заражений онлайн-магазинов данным
семейством снифферов с использованием эксплоитов для внедрения вредо-
носного кода в код сайтов под управлением CMS Magento. Предположительно,
эта кампания стартовала в начале 2018 года.
33
Описание
Доменное имя clasicfitment.com, используемое в качестве гейта одной из вер-
сий данного сниффера, было зарегистрировано в феврале 2018 года.
Также была обнаружена версия сниффера, использующая в качестве гейта

хост 0x00s.xhat.us. Основной хост xhat.us, предположительно, был взломан,
поскольку на одном из поддоменов в мае 2017 года располагалась фишинговая
страница, нацеленная на клиентов сервиса iCloud.
При анализе гейта amberleyaromatics.com, используемого сниффером это-

го семейства, было установлено, что для размещения гейта злоумышленник
воспользовался взломанным сайтом. Также на данном хосте был обнаружен
другой образец сниффера, в качестве гейта был указан хост rest-api.web.id..
Домен
clasicfitment.com 26/02/2018
0x00s.xhat.us -/-
amberleyaromatics.com -/-
rest-api.web.id 10/09/2018
Семейство WebRank Расширяет

Это семейство снифферов применялось в атаках на онлайн-магазины с конца

2016 года. Атаке подверглись сайты под управлением таких CMS и платформ,
как Magento, OpenCart и WooCommerce.
34
Описание
За весь период атак код сниффера был переработан с целью усложнения
отслеживания и удаления вредоносного кода из кода сайта: гейты сниффера
маскируются под JavaScript-сценарии, используются домены, похожие на
домены сервисов веб-аналитики, код генерируется с различными именами
переменных и обфусцируется, чтобы усложнить создание сигнатур для обна-
ружения вредоносного кода.
Первая обнаруженная версия этого сниффера в рамках текущей кампании

внедрялась в стандартный скрипт ccard.js, используемый в большей части
магазинов, работающих под управлением CMS Magento.
Ранние версии отправляли украденные данные при помощи POST запроса на

скрипт /js/index.php. Предположительно, злоумышленники внедряли вредо-
носный код непосредственно в код сайта для того, чтобы скрыть инфраструк-
туру, которая используется для хранения украденных данных.
35
Позднее злоумышленники модифицировали скрипт, отправляя данные на сто-

ронний сервер, ссылка на который была замаскирована под JavaScript-файл.
В этом случае также были найдены инфицированные версии скрипта ccard.
js. На этом этапе вредоносной кампании были обнаружены сайты, на которые
сниффер внедряли дважды, что, возможно, было сделано по ошибке и свиде-
тельствует об автоматизированных атаках на онлайн-магазины.
Затем группа, использующая этот сниффер, перешла к внедрению сниффера,

расположенного на удаленном сервере злоумышленников, в код взломанного
онлайн-магазина по прямой ссылке.
Скрипт, расположенный на сервере злоумышленников, отправлял украден-

ные данные на тот же самый хост по адресу, имитирующему подключаемый по
ссылке JavaScript-файл jquery.min.js.
Согласно отчету, опубликованному в блоге Hivesec (http://hivesec.net/

archives/250.html), в ходе анализа одной из атак с применением этого сниф-
фера было установлено, что на взломанный сайт был загружен веб-шелл WSO
с паролем 63a9f0ea7bb98050796b649e85481845 (root) и злоумышленники
проэксплуатировали XSS уязвимость, использовав полезную нагрузку, разме-
щенную по адресу http://mensprostatecancer.info/a.js.
36
Одна из версий сниффера отправляла украденные данные на гейт, располо-

женный на хосте brazzersd.top. Это не подходило под обычный формат доменов
этого семейства снифферов, которые имитировали системы веб-аналитики и
статистики. Открытая директория /js/ позволила изучить части, входящие в
состав сниффера.
В ходе анализа инфраструктуры данного образца сниффера были обнаружены

три файла:
•• common.js — скрипт, указываемый в сниффере как путь до гейта, отображающий

ложное содержимое с целью ввести исследователя в заблуждение и выдать код за
легитимный;
•• jscode — файл, содержащий ложный контент, отображаемый скриптом common.js;
•• i.js — скрипт, отображающий результат выполнения функции phpinfo(), содержащий

информацию о сервере.
Связь со сниффером grelos_v

Позднее было установлено, что снифферы семейства WebRank — это перера-
ботанная версия более раннего семейства снифферов grelos_v, известного
с 2016 года. Код двух версий идентичен, но в актуальной версии имена пере-
менных были заменены на случайные hex-строки длиной 32 символа.
Анализ гейта
В ходе анализа этого семейства снифферов специалистами Group-IB был об-
наружен активный сайт, используемый преступной группой для хранения кода
снифферов и в качестве гейта для получения украденных данных. Поскольку
37
при создании нового гейта для снифферов злоумышленники переносят весь

контент с предыдущего сервера на новый, стало возможным проанализиро-
вать на одном из серверов все доступные JavaScript-сценарии и гейты, отве-
чающие за сбор украденных данных.
Ссылка Описание
/js/jquery.min.js Gate
/js/slider.js Gate
/js/translate.js Gate
/js/form.js Gate
/js/info_jquery.js Gate
/js/jquery_min.js Gate
/js/cookies.js Gate
/js/prototype.js Gate
/js/infoj.js Gate
/js/jscode Gate response
Script, injects another script from https://
/app/core.js
web-rank.cc/app/mag.js
JS-sniffer, sends data to https://web-rank.
/app/mag.js
cc/js/jquery.min.js
JS-sniffer, sends data to https://informaer.
/visitors/spareka.js
cc/js/infoj.js
/media/cookie.js
cc/js/jquery.min.js
/js/lib/ccard.js
cc/js/prototype.js
JS-sniffer, sends data to https://web-stats.
/media/cookie.min.js
pw/js/jquery_min.js
Атака на Feedify
Согласно отчету компаний RiskIQ и Flashpoint (https://cdn.riskiq.com/wp-
content/uploads/2018/11/RiskIQ-Flashpoint-Inside-MageCart-Report.pdf), пре-
ступная группа, стоящая за использованием этого семейства снифферов,
зачастую осуществляла атаки на сторонние сайты, поставляющие разные
сервисы для других сайтов. К примеру, взломав систему веб-аналитики, злоу-
мышленники внедряли код сниффера в скрипт веб-аналитики. Данный скрипт,
подгружаемый большим количеством сайтов, вместе с собой подгружал и
сниффер банковских карт.
Применение техники доставки сниффера на сайты жертв чужими силами

также объясняет взлом конкурирующего семейства снифферов MagentoName.
В ходе одной из волн заражений сниффером MagentoName преступная
группа использовала снифферы, размещенные на взломанных легитимных
сайтах. Операторы сниффера WebRank получили доступ к коду сниффера
MagentoName и добавили к нему свой вредоносный код.
38
Одной из таких атак стала атака на Feedify, сервис для push-уведомлений в

режиме реального времени. Внедрив код сниффера в код файла, расположен-
ного по адресу https://feedify.net/getjs/feedbackembad-min-1.0.js, преступная
группа автоматически подгрузила сниффер всем клиентам компании Feedify,
на сайты которых подгружался скрипт feedbackembad-min-1.0.js. На рисунке
ниже показано содержимое файла, содержащего вредоносный код.
Внедренный код был обфусцирован. Декодировав скрипт, можно получить

код сниффера. Украденные данные отправляются на сайт злоумышленников
https://info-stat.ws/js/slider.js.
Отправка данных произойдет только в том случае, если адрес, на котором на-
ходится пользователь, соответствует определенным критериям. При помощи
этой техники злоумышленники по списку ключевых слов пытаются опреде-
лить, что пользователь находится на странице оплаты.
39
Изначально сниффер был добавлен в код Feedify 17 августа, а 11 сентября обнару-

жен и удален. Однако злоумышленники вновь провели заражение 12 сентября.
Атаки на сторонних поставщиков показали свою успешность: более 60% из трех

сотен сайтов, подгружающих скрипт Feedify, относятся к eCommerce-сайтам, а
значит, являются целями для сниффера семейства WebRank.
Домен Дата обнаружения / создания

web-rank.cc 05/12/2016
web-stats.pw 17/12/2016
informaer.net 21/02/2017
web-rank.pw 26/12/2016
web-stats.cc 01/11/2016
brazersd.top 21/12/2017
info-stat.ws 05/12/2016
webstat.cc 27/10/2016
web-stat.me 13/04/2017
webrank.ws 01/11/2016
kinfirighbetted.host 25/10/2018
web-stat.pw 07/01/2017
informaer.cc 02/03/2017
Семейство PostEval Описан

впервые
Кампания с применением данного сниффера началась в середине 2017 года.

Группа, использующая этот сниффер, применяла его для атак на сайты под управ-
лением CMS OpenCart.
Описание
Для защиты кода группа использует пакер для JavaScript-кода. Ранние версии
сниффера использовали в качестве гейта адрес http://klinto2u.beget.tech/index.
php.
40
Позднее сниффер был обновлен, адрес гейта закодирован при помощи base64, а
сам гейт изменен на https://klinto2u.info/index.php.
Декодированный код сниффера выглядит следующим образом:
Доменное имя гейта, используемого данным семейством снифферов, было заре-

гистрировано пользователем с адресом электронной почты nightdanceraro@
gmail.com. Специалистами Group-IB было установлено, что адрес электрон-
ной почты принадлежит пользователю подпольных форумов с псевдонимом
kostyaaro.

klinto2u.beget.tech -/-
klinto2u.info 05/09/2017
Семейство Illum Описан

впервые
Illum — семейство снифферов, применяемое для атак на онлайн-магазины, рабо-

тающие под управлением CMS Magento. Помимо внедрения вредоносного кода,
операторы этого сниффера также используют внедрение полноценных поддель-
ных форм оплаты, которые отправляют данные на подконтрольные злоумышлен-
никам гейты.
41
В ходе анализа сетевой инфраструктуры, которую использует группа, владеющая

этим сниффером, было отмечено большое количество вредоносных скриптов,
эксплоитов, поддельных платежных форм, а также сборник примеров с вредо-
носными снифферами конкурентов. Исходя из информации о датах появления
доменных имен, используемых группой, можно предположить, что начало кампа-
нии приходится на конец 2016 года.
Описание
Первые обнаруженные версии сниффера внедрялись прямо в код скомпроме-
тированного сайта, украденные данные отправлялись по адресу cdn.illum.pw/
records.php, гейт же был закодирован при помощи base64.
Позднее была обнаружена упакованная версия сниффера, использующая другой

гейт — records.nstatistics.com/records.php.
42
Согласно отчету Willem de Groot (https://gwillem.gitlab.io/2018/10/15/csu-shop-

magecarted/), такой же хост использовался в сниффере, который был внедрен на
сайт магазина https://www.csu-shop.de/, принадлежащий немецкой политической
партии CSU.
Анализ сайта злоумышленников

Специалисты Group-IB обнаружили и проанализировали сайт, используемый
данной преступной группой для хранения инструментов и сбора украденной
информации.
Среди инструментов, обнаруженных на сервере злоумышленников, были скрип-

ты и эксплоиты для повышения привилегий в ОС Linux: к примеру, Linux Privilege
Escalation Check Script, разработанный Mike Czumak, а также эксплоит для CVE-
2009-1185.
Непосредственно для атак на онлайн-магазины злоумышленники использова-

ли два эксплоита: первый может внедрить вредоносный код в core_config_data
при помощи эксплуатации CVE-2016-4010 (https://maxchadwick.xyz/blog/using-
cve-2016-4010-gadget-chain-in-magento-1), второй эксплуатирует уязвимость
типа RCE в плагинах для CMS Magento, позволяя выполнить произвольный код на
уязвимом веб-сервере (https://steemit.com/cybersecurity/@nullbyte/2-0day-rce-
magento-plugin-s-exploits).
Также в ходе анализа сервера были найдены образцы снифферов и фальшивых

платежных форм, используемых злоумышленниками для сбора платежной ин-
формации со взломанных сайтов. Как можно заметить из списка ниже, некоторые
скрипты создавались индивидуально для каждого взломанного сайта, в то время
как для определенных CMS и платежных шлюзов использовалось универсальное
решение. К примеру, скрипты segapay_standart.js и segapay_onpage.js предназна-
чены для внедрения на сайты, использующие платежный шлюз Sage Pay.
43
Скрипт Шлюз
sr.illum.pw/mjs_special/visiondirect.co.uk.js //request.payrightnow.cf/checkpayment.php
sr.illum.pw/mjs_special/topdierenshop.nl.js //request.payrightnow.cf/alldata.php
sr.illum.pw/mjs_special/tiendalenovo.es.js //request.payrightnow.cf/alldata.php
sr.illum.pw/mjs_special/pro-bolt.com.js //request.payrightnow.cf/alldata.php
sr.illum.pw/mjs_special/plae.co.js //request.payrightnow.cf/alldata.php
sr.illum.pw/mjs_special/ottolenghi.co.uk.js //request.payrightnow.cf/alldata.php
sr.illum.pw/mjs_special/oldtimecandy.com.js //request.payrightnow.cf/checkpayment.php
sr.illum.pw/mjs_special/mylook.ee.js //cdn.illum.pw/records.php
sr.illum.pw/mjs_special/luluandsky.com.js //request.payrightnow.cf/checkpayment.php
sr.illum.pw/mjs_special/julep.com.js //cdn.illum.pw/records.php
sr.illum.pw/mjs_special/gymcompany.es.js //request.payrightnow.cf/alldata.php
sr.illum.pw/mjs_special/grotekadoshop.nl.js //request.payrightnow.cf/alldata.php
sr.illum.pw/mjs_special/fushi.co.uk.js //request.payrightnow.cf/checkpayment.php
sr.illum.pw/mjs_special/fareastflora.com.js //request.payrightnow.cf/checkpayment.php
sr.illum.pw/mjs_special/compuindia.com.js //request.payrightnow.cf/alldata.php
sr.illum.pw/mjs/segapay_standart.js //cdn.illum.pw/records.php
sr.illum.pw/mjs/segapay_onpage.js //cdn.illum.pw/records.php
sr.illum.pw/mjs/replace_standart.js //request.payrightnow.cf/checkpayment.php
sr.illum.pw/mjs/all_inputs.js //cdn.illum.pw/records.php
sr.illum.pw/mjs/add_inputs_standart.js //request.payrightnow.cf/checkpayment.php
sr.illum.pw/magento/payment_standart.js //cdn.illum.pw/records.php
sr.illum.pw/magento/payment_redirect.js //payrightnow.cf/?payment=
sr.illum.pw/magento/payment_redcrypt.js //payrightnow.cf/?payment=
sr.illum.pw/magento/payment_forminsite.js //paymentnow.tk/?payment=
Хост paymentnow.tk, используемый как гейт в скрипте payment_forminsite.js, был

обнаружен как subjectAltName в нескольких сертификатах, относящихся к серви-
су CloudFlare. Помимо этого, на хосте располагался скрипт evil.js. Судя по имени
скрипта, он мог быть использован в рамках эксплуатации CVE-2016-4010, благо-
даря которой можно внедрить вредоносный код в footer сайта под управлением
CMS Magento. В качестве гейта этот скрипт применил хост request.requestnet.tk,
использующий тот же сертификат, что и хост paymentnow.tk.
Поддельные платежные формы

Ниже на рисунке показан пример формы для ввода данных карты. Эта форма ис-
пользовалась для внедрения на сайт онлайн-магазина и кражи данных карт.
44
На рисунке ниже показан пример поддельной платежной формы PayPal, которую

использовали злоумышленники для внедрения на сайты с этим методом оплаты.

cdn.illum.pw 27/11/2016
records.nstatistics.com 06/09/2018
request.payrightnow.cf 25/05/2018
paymentnow.tk 16/07/2017
payment-line.tk 01/03/2018
paymentpal.cf 04/09/2017
requestnet.tk 28/06/2017
45
Семейство FakeCDN Описан

впервые
Исходя из данных о регистрации доменных имен, используемых семейством

снифферов FakeCDN, кампания с применением этого семейства снифферов для
заражения онлайн-магазинов началась в ноябре 2016 года. Атаке подверглись
сайты под управлением CMS Magento.
Описание
Ранние версии сниффера подключались в код сайта по прямой ссылке на
JavaScript-файл, расположенный на сервере злоумышленников. Эта версия сниф-
фера была защищена простой обфускацией. Декодированная версия показана на
рисунке ниже.
Позднее группа перешла к внедрению кода сниффера непосредственно в код

онлайн-магазинов, усилив алгоритм, используемый для обфускации JavaScript-
кода.
46
С помощью консоли для исполнения JavaScript-ко-

да можно получить декодированные значения,
используемые в коде сниффера, в том числе адрес
гейта, куда направляются украденные платежные
данные, которые покупатель вводит на заражен-
ном сайте.
Фрагмент декодированного кода сниффера представлен на рисунке ниже.

cdn-n.com 04/11/2016
cdn-ch.org 01/01/2017
market-stats.com 29/11/2017
cdn-5.com 14/08/2018
cdn-cloud.pw 01/11/2016
Семейство CoffeMokko Расширяет

Вредоносная кампания с применением данного семейства снифферов началась

в сентябре 2017 года. Атакам подверглись сайты под управлением таких CMS,
как Magento, OpenCart, WordPress, osCommerce, Shopify.
Описание
Эта преступная группа создает уникальные снифферы для каждого заражения,
файл сниффера располагается в директории src или js на сервере злоумышлен-
ников. Внедрение в код сайта осуществляется по прямой ссылке на сниффер.
В коде сниффера жестко закодированы названия полей формы, из которых необ-

ходимо украсть данные. Также сниффер проверяет, находится ли пользователь на
47
странице оплаты, сверяя список ключевых слов с текущим адресом

пользователя.
Некоторые обнаруженные версии сниффера были обфусцированы и содержали

зашифрованную строку, в которой хранился основной массив ресурсов: именно
в нем находились имена полей форм для различных платежных систем, а также
адрес гейта, на который необходимо отправлять украденные данные.
В коде внутри функции ресурсы были зашифрованы при помощи XOR по ключу,
который передавался аргументом этой же функции
Расшифровав строку соответствующим ключом, уникальным для каждого об-

разца, можно получить строку, содержащую все строки из кода сниффера через
символ-разделитель.
48
Украденная платежная информация отправлялась скрипту на сервере злоумыш-

ленников по пути /savePayment/index.php или /tr/index.php. Предположительно,
этот скрипт служит для отправки данных с гейта на основной сервер, консоли-
дирующий данные со всех снифферов. Для сокрытия передаваемых данных вся
платежная информация жертвы кодируется при помощи base64, а затем происхо-
дит несколько замен символов:
•• Символ "e" заменяется на ":"
•• Символ "w" заменяется на "+"
•• Символ "o" заменяется на "%"
•• Символ "d" заменяется на "#"
•• Символ "a" заменяется на "-"
•• Символ "7" заменяется на "^"
•• Символ "h" заменяется на "_"
•• Символ "T" заменяется на "@"
•• Символ "0" заменяется на "/"
•• Символ "Y" заменяется на "*"
В результате замен символов закодированные base64 данные невозможно деко-

дировать, не проведя обратного преобразования.
На рисунке ниже показан фрагмент кода сниффера, не подвергавшегося обфуска-

ции.
В ранних кампаниях злоумышленники регистрировали доменные имена, похо-
жие на домены легитимных сайтов онлайн-магазинов. Их домен мог отличаться
от легитимного одним символом или другим TLD. Зарегистрированные домены
использовались для хранения кода сниффера, ссылка на который внедрялась в
код магазина.
49
Также данная группа использовала доменные имена, напоминающие название

популярных плагинов для jQuery (slickjs.org для сайтов, использующих плагин
slick.js), платежных шлюзов (sagecdn.org для сайтов, использующих платежную
систему Sage Pay).
Позднее группа начала создавать домены, назва-

ние которых не имело ничего общего ни с доменом
магазина, ни с тематикой магазина.
Каждому домену соответствовал сайт, на котором

создавалась директория /js или /src. В этой дирек-
тории хранились скрипты снифферов, по одному
снифферу на каждое новое заражение. Сниффер
внедрялся в код сайта по прямой ссылке, но в
редких случаях злоумышленники модифицировали
один из файлов сайта и добавляли в него вредо-
носный код

adorebeauty.org 03/09/2017
security-payment.su 03/09/2017
sagecdn.org 04/09/2017
braincdn.org 04/09/2017
slickjs.org 04/09/2017
oakandfort.org 10/09/2017
citywlnery.org 15/09/2017
dobell.su 04/10/2017
childsplayclothing.org 31/10/2017
jewsondirect.com 05/11/2017
shop-rnib.org 15/11/2017
closetlondon.org 16/11/2017
misshaus.org 28/11/2017
battery-force.org 01/12/2017
kik-vape.org 01/12/2017
greatfurnituretradingco.org 02/12/2017
replacemyremote.org 04/12/2017
etradesupply.org 04/12/2017
mage-checkout.org 05/12/2017
all-about-sneakers.org 05/12/2017
nililotan.org 07/12/2017
lamoodbighats.net 08/12/2017
walletgear.org 10/12/2017
dahlie.org 12/12/2017
davidsfootwear.org 20/12/2017 50
blackriverimaging.org 23/12/2017
exrpesso.org 02/01/2018
parks.su 09/01/2018
pmtonline.su 12/01/2018
ottocap.org 15/01/2018
christohperward.org 27/01/2018
teacoffe.net 31/01/2018
coffetea.org 31/01/2018
energytea.org 31/01/2018
energycoffe.org 31/01/2018
coffemokko.com 01/03/2018
londontea.net 01/03/2018
ukcoffe.com 01/03/2018
adaptivecss.org 01/03/2018
labbe.biz 20/03/2018
batterynart.com 03/04/2018
btosports.net 09/04/2018
chicksaddlery.net 16/04/2018
paypaypay.org 11/05/2018
ar500arnor.com 26/05/2018
authorizecdn.com 28/05/2018
slickmin.com 28/05/2018
bannerbuzz.info 03/06/2018
kandypens.net 08/06/2018
mylrendyphone.com 15/06/2018
freshchat.info 01/07/2018
zoplm.com 02/07/2018
3lift.org 02/07/2018
abtasty.net 02/07/2018
mechat.info 02/07/2018
zapaljs.com 02/09/2018
foodandcot.com 15/09/2018
freshdepor.com 15/09/2018
swappastore.com 15/09/2018
verywellfitnesse.com 15/09/2018
51
Семейство ReactGet Расширяет

Кампания с применением этого семейства снифферов началась в июне 2017 года,

атаке подверглись сайты под управлением CMS и платформ Magento, Bigcommerce,
Shopify.
Описание
Анализ зараженных сайтов позволил изучить способы включения вредоносного
кода в код онлайн-магазинов. Помимо классического простого внедрения скрипта по
ссылке, операторы снифферов семейства ReactGet используют особую технику: при
помощи JavaScript-кода проверяется, соответствует ли текущий адрес, на котором
находится пользователь, определенным критериям. Вредоносный код будет запущен
только в том случае, если в текущем URL-адресе присутствует подстрока checkout или
т. п. Таким образом, код сниффера исполнится именно в тот момент, когда пользова-
тель перейдет к оплате покупок и введет платежную информацию в форму на сайте.
Этот сниффер использует нестандартную технику. Платежные и персональные дан-

ные жертвы собираются вместе, кодируются при помощи base64, а затем полученная
строка используется как параметр для отправки запроса на сайт злоумышленников:
чаще всего путь до гейта имитирует JavaScript-файл, к примеру resp.js, data.js и т. д., но
также используются ссылки на файлы изображений, GIF и JPG. Особенность в том, что
сниффер создает объект изображения размером 1 на 1 пиксель и использует получен-
ную ранее ссылку как параметр src изображения, то есть для пользователя такой за-
прос в трафике будет выглядеть как запрос обычной картинки. Похожая техника была
использована в снифферах семейства ImageID. К тому же техника с использованием
изображения размером 1 на 1 пиксель применяется во многих легитимных скриптах
онлайн-аналитики, что также может ввести пользователя в заблуждение.
52
Анализ версий
Анализ активных доменов, используемых операторами данного семейства снифферов,
позволил обнаружить много разных версий снифферов семейства ReactGet, каждая из
них отличалась наличием или отсутствием обфускации, а кроме того, каждый сниффер
предназначен для определенной платежной системы, обрабатывающей платежи по
банковским картам для онлайн-магазинов. Перебрав значение параметра, соответ-
ствующего номеру версии, специалисты Group-IB получили полный список доступных
вариаций снифферов, а по названиям полей форм, которые каждый сниффер ищет в
коде страницы, определили платежные системы, на которые нацелен сниффер.
JS-сниффер URL Процесс оплаты Тип

https://apitstatus.com/api.js?v=2.1.1 USAePay Plain
https://apitstatus.com/api.js?v=2.1.2 Authorize.Net Plain
https://apitstatus.com/api.js?v=2.1.3 Moneris Solutions Plain
https://apitstatus.com/api.js?v=2.1.5 USAePay Plain
https://apitstatus.com/api.js?v=2.1.6 PayPal Obfuscated
https://apitstatus.com/api.js?v=2.1.7 Sage Pay Obfuscated
https://apitstatus.com/api.js?v=2.1.8 Verisign Plain
https://apitstatus.com/api.js?v=2.3.0 Stripe Payments by Cryozonic Obfuscated
https://apitstatus.com/api.js?v=3.0.2 Realex Payments Plain
https://apitstatus.com/api.js?v=3.0.3 PayPal Plain
https://apitstatus.com/api.js?v=3.0.4 LinkPoint Plain
https://apitstatus.com/api.js?v=3.0.8 DataCash (MasterCard) Obfuscated
https://billgetstatus.com/api.js?v=1.2 Authorize.Net Obfuscated
https://billgetstatus.com/api.js?v=1.5 Verisign Obfuscated
https://billgetstatus.com/api.js?v=1.7 Moneris Solutions Obfuscated
https://billgetstatus.com/api.js?v=1.8 Sage Pay Obfuscated
https://billgetstatus.com/api.js?v=2.0 USAePay Obfuscated
https://billgetstatus.com/react.js Authorize.Net Obfuscated
https://maxstatics.com/site.js USAePay Obfuscated
https://mxcounter.com/c.js?v=1.2 PayPal Plain
https://mxcounter.com/c.js?v=1.3 Authorize.Net Plain
https://mxcounter.com/c.js?v=1.4 Stripe Payments by Cryozonic Plain
https://mxcounter.com/c.js?v=1.7 eWAY Plain 53
https://mxcounter.com/c.js?v=1.8 Sage Pay Obfuscated

https://mxcounter.com/c.js?v=2.1 Braintree Plain
https://mxcounter.com/c.js?v=2.10 Braintree Plain
https://mxcounter.com/c.js?v=2.2 PayPal Obfuscated
https://mxcounter.com/c.js?v=2.3 Sage Pay Plain
https://mxcounter.com/c.js?v=2.31 Sage Pay Obfuscated
https://mxcounter.com/c.js?v=2.32 Authorize.Net Obfuscated
https://mxcounter.com/c.js?v=2.33 PayPal Obfuscated
https://mxcounter.com/c.js?v=2.35 Verisign Obfuscated
https://mxcounter.com/cnt.js Authorize.Net Obfuscated
https://reactjsapi.com/api.js?v=0.1.0 Authorize.Net Obfuscated
https://reactjsapi.com/api.js?v=0.1.1 PayPal Obfuscated
https://reactjsapi.com/api.js?v=4.1.2 Flint Obfuscated
https://reactjsapi.com/api.js?v=4.1.5 Sage Pay Obfuscated
https://reactjsapi.com/api.js?v=4.1.51 Verisign Obfuscated
https://reactjsapi.com/api.js?v=4.1.8 Stripe Obfuscated
https://reactjsapi.com/api.js?v=4.1.9 Fat Zebra Obfuscated
https://reactjsapi.com/api.js?v=4.2.2 First Data Global Gateway Obfuscated
https://reactjsapi.com/api.js?v=4.2.4 eWAY Obfuscated
https://reactjsapi.com/api.js?v=4.2.5 Adyen Obfuscated
https://reactjsapi.com/api.js?v=4.2.8 Quickbooks Merchant Services Obfuscated
https://reactjsapi.com/api.js?v=4.5 Sage Pay Obfuscated
https://reactjsapi.com/react.js Authorize.Net Obfuscated
https://tagsmediaget.com/react.js Authorize.Net Obfuscated
54
https://tagstracking.com/tag.js?v=2.1.2 ANZ eGate Obfuscated

https://tagstracking.com/tag.js?v=2.1.3 PayPal Obfuscated
https://tagstracking.com/tag.js?v=2.1.5 CyberSource Obfuscated
https://tagstracking.com/tag.js?v=2.1.7 Authorize.Net Obfuscated
https://tagstracking.com/tag.js?v=2.1.8 Sage Pay Obfuscated
https://tagstracking.com/tag.js?v=2.1.9 Realex Payments Obfuscated
https://tagstracking.com/tag.js?v=2.2.0 CyberSource Obfuscated
https://tagstracking.com/tag.js?v=2.2.4 Verisign Obfuscated
https://tagstracking.com/tag.js?v=2.2.5 eWAY Obfuscated
https://tagstracking.com/tag.js?v=2.2.9 Verisign Plain
https://tagstracking.com/tag.js?v=2.3.2 First Data Global Gateway Obfuscated
https://tagstracking.com/tag.js?v=2.3.5 Moneris Solutions Obfuscated
Сниффер паролей
Одним из преимуществ JavaScript-снифферов, работающих на клиентской сто-
роне сайта, является универсальность: внедренный на сайт вредоносный код
способен похитить данные любого типа, будь то платежные данные или логин и
пароль от пользовательского аккаунта. Специалисты Group-IB обнаружили об-
разец сниффера, относящегося к семейству ReactGet, который предназначен для
кражи адресов электронной почты и паролей пользователей сайта.
55
Пересечение со сниффером ImageID

В ходе анализа одного из зараженных магазинов было установлено, что этот сайт
подвергся заражению дважды: помимо вредоносного кода сниффера семейства
ReactGet, был обнаружен код сниффера семейства ImageID. Данное пересечение
может свидетельствовать о том, что операторы, стоящие за использованием обо-
их снифферов, применяют схожие техники для внедрения вредоносного кода.
Универсальный сниффер
В ходе анализа одного из доменных имен, относящихся к инфраструктуре сниф-
феров этого семейства, установлено, что тот же пользователь зарегистриро-
вал три других доменных имени. Эти три домена имитировали домены реально
существующих сайтов и ранее использовались для размещения снифферов. При
анализе кода трех легитимных сайтов был обнаружен неизвестный сниффер, а
дальнейший анализ показал, что это усовершенствованная версия сниффера
ReactGet. Все ранее отслеженные версии снифферов этого семейства были наце-
лены только на одну определенную для этой версии сниффера платежную систе-
му, однако в данном случае была обнаружена универсальная версия сниффера,
способная похищать информацию из форм, относящихся к 15 разным платежным
системам и модулям ecommerce-сайтов для проведения онлайн-платежей.
Итак, в начале работы сниффер осуществлял поиск базовых полей формы, содер-
жащих персональную информацию жертвы: полное имя, физический адрес, номер
телефона.
56
Затем сниффер осуществлял поиск более чем по 15 разным префиксам, соответ-

ствующим разным платежным системам и модулям для онлайн-платежей.
Далее персональные данные жертвы и платежная информация собирались вое-

дино и отправлялись на подконтрольный злоумышленнику сайт: в этом конкрет-
ном случае было обнаружено две версии универсального сниффера ReactGet,
расположенные на двух разных взломанных сайтах. Однако обе версии отправля-
ли украденные данные на один и тот же взломанный сайт zoobashop.com.
Анализ префиксов, используемых сниффером для поиска полей, содержащих пла-

тежную информацию жертвы, позволил определить, на какие именно платежные
системы нацелен этот образец сниффера.
•• Authorize.Net
•• Verisign
•• First Data
•• USAePay
•• Stripe
•• PayPal
•• ANZ eGate
•• Braintree
•• DataCash (MasterCard)
•• Realex Payments
•• PsiGate
•• Heartland Payment Systems
57

adsgetapi.com 15/06/2017
simcounter.com 14/08/2017
mageanalytics.com 22/12/2017
maxstatics.com 16/01/2018
reactjsapi.com 19/01/2018
mxcounter.com 02/02/2018
apitstatus.com 01/03/2018
orderracker.com 20/04/2018
tagstracking.com 25/06/2018
adsapigate.com 12/07/2018
trust-tracker.com 15/07/2018
fbstatspartner.com 02/10/2018
billgetstatus.com 12/10/2018
aldenmlilhouse.com 20/10/2018
balletbeautlful.com 20/10/2018
bargalnjunkie.com 20/10/2018
payselector.com 21/10/2018
tagsmediaget.com 02/11/2018
Семейство G-Analytics Расширяет

Первая активность, связанная с доменным именем, используемым данным се-

мейством снифферов, была обнаружена в сентябре 2016 года. Отличительная
особенность этого семейства — использование разных способов похищения пла-
тежной информации пользователя.
В текущей кампании группа использует доменные имена, имитирующие реально

существующие сервисы, такие как Google Analytics и jQuery, маскируя активность
снифферов легитимными скриптами и похожими на легитимные доменными име-
нами. В ходе вредоносной кампании по заражению онлайн-магазинов сниффе-
рами банковских карт операторы этого семейства снифферов атаковали сайты,
работающие под управлением CMS Magento.
Описание
Первый домен, ассоциируемый с этим семейством, dittm.org, был использован в
ранних атаках группы. Важной отличительной чертой преступной группы, ис-
пользующей семейство снифферов G-Analytics, является то, что помимо вне-
дрения вредоносного кода в клиентскую часть сайта группа также применяла
технику внедрения кода в серверную часть сайта, а именно PHP-скрипты, об-
58
рабатывающие введенные пользователем данные. Эта техника опасна тем, что

затрудняет обнаружение вредоносного кода сторонними исследователями.
Также была обнаружена ранняя версия сниффера, использующего для сбора

украденных данных домен dittm.org, но эта версия предназначена уже для уста-
новки на клиентской стороне онлайн-магазина.
59
Позднее группа изменила свою тактику, уделив больше внимания сокрытию вре-
доносной активности и маскировке.
В начале 2017 года группа начала использовать домен jquery-js.com, маскирую-

щийся под CDN для jQuery: при переходе на сайт злоумышленников пользователя
перенаправляет на легитимный сайт jquery.com.
А в середине 2018 года группа взяла на вооружение доменное имя g-analytics.com

и начала маскировать деятельность сниффера под легитимный сервис Google
Analytics.
60
Анализ версий
В ходе анализа доменов, используемых для хранения кода снифферов, было уста-
новлено, что на сайте располагается большое количество версий, которые разли-
чаются наличием обфускации и наличием или отсутствием недостижимого кода,
добавленного в файл для отвлечения внимания и сокрытия вредоносного кода.
Всего на сайте jquery-js.com было выявлено шесть версий снифферов. Украден-

ные данные эти снифферы отправляют на адрес, расположенный на том же сайте,
что и сам сниффер, — https://jquery-js.com/latest/jquery.min.js:
•• https://jquery-js.com/jquery.min.js
•• https://jquery-js.com/jquery.2.2.4.min.js
Более поздний домен g-analytics.com, используемый группой в атаках с середины

2018 года, служит хранилищем для большего числа снифферов. Всего было обна-
ружено 16 разных версий сниффера. В этом случае гейт для отправки украденных
данных был замаскирован под ссылку на изображение формата GIF: http://g-
analytics.com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr
=2560x1440&vp=2145x371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936
&cid=1283183910.1527732071:
•• https://g-analytics.com/libs/1.0.1/analytics.js
•• https://g-analytics.com/libs/analytics.js

gooqleapi.com 09/04/2018
61
Семейство Qoogle Описан

впервые
Данное семейство снифферов банковских карт используется в атаках на сайты

онлайн-магазинов, работающие под управлением CMS Magento. Скрипт сниф-
фера, внедряемого в код сайтов, имитирует CDN-сервис Google, используемый
для хранения JavaScript-библиотек. Злоумышленники зарегистрировали домен,
напоминающий легитимный: ajax.gooqleapi.com. Основное доменное имя было за-
регистрировано 09.04.2018, именно эта дата, предположительно, является датой
начала кампании.
Описание
Для сокрытия следов вредоносной активности сниффер первым делом подключа-
ет легитимную библиотеку, под которую и маскируется.
Другой особенностью этого сниффера является способность обнаружить ана-

лиз — сниффер определяет факт открытия окон Developer Tools и Firebug, которые
теоретически могли бы позволить заметить вредоносный код на сайте.
URL-адрес, используемый для хранения сниффера, выглядит следующим образом:

https://ajax.gooqleapi.com/media/js/s.<32 hex chars>.1525369842.js. Подстрока,
по формату напоминающая MD5-хэш, также является идентификатором версии
сниффера для определенного онлайн-магазина, причем для разных магазинов
эта подстрока различается на 1–2 символа.
62
Собранные данные сниффер отправляет на тот же хост, на котором хранится,

по пути /modules/ajax.php.
ПОСТАВЩИКИ СНИФФЕРА
КАК СЕРВИСА
Сниффер от poter
Сервис, основанный пользователем с ником poter, появился 17.07.2016, это самый
ранний обнаруженный сервис по продаже снифферов кредитных карт, который
был найден в рамках анализа подпольных форумов. Именно этот сервис постав-
ляет своим клиентам сниффер, названный специалистами Group-IB ImageID, раз-
работчик же называет свой продукт panel+ или просто JS Sniffer.
Сниффер, написанный на чистом JavaScript, может работать с промежуточными

серверами-прокладками, которые сохраняют полученные от сниффера данные —
затем они будут отправлены в административную панель и сохранены в базу дан-
ных. Во время экспорта из административной панели вся платежная информация
будет проверена на валидность и приведена к единому формату.
Этот сниффер поддерживает обновление записей: если пользователь использу-

ет одну и ту же карту несколько раз, административная панель будет сохранять
в соответствующую запись только актуальную информацию, к примеру, если
жертва сменила адрес. Также этот сниффер поддерживает определение откры-
тия консоли браузера, чтобы в этот момент скрыть свою активность и оставаться
недетектируемым для жертвы.
63
Начальная цена этого сниффера составляла $400, на данный момент цена увели-
чена до $5000, чтобы сделать сервис доступным только для опытных покупате-
лей.
Сниффер от cyber_g
Сниффер кредитных карт был представлен 25.08.2018 разработчиком с ником
cyber_g. Он утверждает, что его сниффер создан на чистом JavaScript без сто-
ронних зависимостей.
Клиентская часть сниффера, которая должна быть установлена на скомпромети-

рованном сайте, поддерживает валидацию введенных данных по алгоритму Луна.
Административная панель или серверная часть сниффера осуществляет шиф-

рование хранимых данных по алгоритму RSA 2048, а также предоставляет
интерфейс для разработчиков, отвечающих за внедрение скриптов на сайты
онлайн-магазинов.
Дополнительная часть сервиса — модуль для сканирования сайтов и поиска

уязвимостей, основанный на сканере уязвимостей Netsparker Web Application
Security Scanner, а также список сервисов, предоставляющих в аренду серве-
ры, которые не банят за массовые сканирования и поиск уязвимостей, плюс
скрипт-прокладка на PHP для сокрытия адреса административной панели сниф-
фера и модуль для уведомлений через Telegram и Jabber.
Немаловажной частью предоставляемого сервиса является сканер, позволяющий

обнаружить сайты, на которые уже был внедрен сниффер, что сильно упрощает
проведение массовых кампаний по его внедрению.
Дополнительно cyber_g оказывает помощь в обфускации кода сниффе-

ра при помощи коммерческого продукта Caesar+ (https://jscrypt.in/).
Цена всего набора программного обеспечения составляет $1500.
Данный сервис также предоставляет возможность работы в партнер-

стве: клиент открывает доступ к магазину и получает 80% дохода, а
создатель сервиса отвечает за серверы для хостинга, техподдержку и
административную панель для клиента.
64
Сниффер от roshen
Сервис, созданный 13.08.2018 пользователем с ником roshen, предоставляет
клиентам классический сниффер кредитных карт со следующим списком харак-
теристик: написан на чистом JavaScript, поддерживает работу с административ-
ной панелью. Оригинальное имя продукта от разработчика — Voldemort CC js sniff
panel.
Одна из главных функций этого сниффера — обновление данных: если ввод пла-
тежной информации осуществляется на нескольких страницах, то эти данные
будут консолидированы в одну запись в административной панели.
Начальная цена этого продукта составляла $250, текущая цена $300.
Сниффер от DR.PREDATOR
DR.PREDATOR — владелец сервиса по разработке веб-приложений, фишинговых
страниц, административных панелей, лендингов для распространения вредо-
носного ПО и т. д. Как часть своего сервиса этот пользователь предоставляет
возможность покупки специализированного скрипта для внедрения на сайты, ра-
ботающие под управлением CMS Magento. Данный скрипт собирает всю платеж-
ную информацию, введенную жертвой, и отправляет ее на сервер злоумышлен-
ника или на подконтрольный адрес электронной почты. Также скрипт собирает и
записывает информацию об IP-адресе жертвы и ее устройстве через заголовок
User-Agent.
Сниффер от themike
Сервис, созданный пользователем с псевдонимом themike, предоставляет своим
клиентам написанный на JavaScript сниффер кредитных карт. Сервис основан
22.09.2018. Сниффер поддерживает все функции, свойственные этому классу
программного обеспечения: несколько способов отправки украденных данных в
административную панель, включая работу с сайтом-прокладкой, а также пере-
дачу информации посредством HTTP GET запросов через запрос изображения со
стороны клиентской части для передачи украденной информации в URL. Допол-
нительно сниффер умеет определять факт открытия консоли браузера, чтобы
приостановить свою активность и оставаться незамеченным для пользователя.
Начальная цена сниффера $450, текущая цена $650.
65
СПИСОК ЗАРАЖЕННЫХ
САЙТОВ
В данных списках содержатся веб-сайты онлайн-магазинов, в ходе анализа которых
было обнаружено присутствие вредоносного кода. На момент публикации данного
отчета вредоносный код мог быть уже удален.
GMO
https://store.bluerosemusic.com
https://www.fila.co.uk
https://store.captainbeefheart.com
http://jungleeny.com
https://store.dianakrall.com
https://forshaw.com
https://store.dirtwire.net
https://mim-pi.com
https://store.elviscostello.com
https://www.absolutenewyork.com
https://store.fidlarmusic.com
https://www.cajungrocer.com
https://store.frampton.com
https://www.getrxd.com
https://store.jackiegreene.com
https://www.sharbor.com
https://store.journeymusic.com
TokenLogin https://store.lylelovett.com
http://piazzaitaliashop.com https://store.osnsgear.com
http://www.adooq.cn https://store.santana.com
http://www.bagelspice.com https://store.shredaloha.com
http://www.glassmechanix.com https://store.springtimecarnivore.com
http://www.myshofar.com https://store.testamentlegions.com
http://www.profiautolacke.de https://store.zappa.com
http://www.salonsavings.com https://suppz.com
http://www.sonsoflibertytees.com/shop https://thebuzzexperience.com
http://www.ultrafragrances.com https://truefoodsmarket.com
http://www.voiplink.com https://watchit.ca
https://drcollins.com https://www.365garagedoorparts.net
https://hifi247.com https://www.3dlasergifts.com
https://lat56.com https://www.americansafety.com
https://store.alexandrasavior.com https://www.aquacave.com
66
https://www.austincoins.com https://50-ml.eu/
https://www.autobadges.com https://agenaastro.com
https://www.blacksmithsdepot.com https://b2b.fitoproducts.com
https://www.cookunity.com https://bishopseventregistrations.com
https://www.craft-e-corner.com https://bonitasnaweb.com.br
https://www.goldprices.com https://bows-n-ties.com
https://www.gundamplanet.com https://brandnex.com
https://www.homeplacemall.com https://candlemore.co.uk/
https://www.impressmanicure.com https://clausporto.com
https://www.pf-828.com https://clock-central.com.au
https://www.profiautolacke.de https://cobbco.co.uk
https://www.ridgewayleather.com https://controlconsultantsinc.com
https://www.theblindscompany.com.au https://crisbarros.com.br/
https://www.txbrewing.com https://dancedepot.co.uk
https://www.upperlimitsinc.com https://daysjewelers.com
https://www.warehousedirectusa.com/ https://desguacesvelazquez.com/
https://dev.newroomdesign.de/
TokenMSN
https://ebikedongle.co.uk
http://www.foodsupplydepot.com/
https://eleganthair.co.uk
http://grownuphydroponics.com/
https://events.balldrop.com
https://www.jomso.com/
https://featheredfriends.com
https://www.supcase.com/
https://flobeds.com
https://www.truthinaging.com/
https://fxsupply.com
https://www.i-blason.com/
https://gs1us.org
https://www.majorsurplus.com/
https://gtomegaracing.com
https://www.fitbull.com/
https://gunbelts.com
https://www.fakeid.co.uk/
https://h2owear.com
https://www.umbro.com.br
https://hdmilitarysales.com
ImageID https://highimpactmanufacturing.com
https://50-ml.co.uk/ https://hoobam.co.uk/
https://50-ml.com/ http://smokelessimage.com/
67
http://store.gomohu.com/ https://netknacks.com
http://www.hidevolution.com/ https://packagingsupplies.com
http://www.ifloor.com/ https://pearlpet.net
http://www.theglutenfreeshoppe.com/ https://pinnacle-plus.com
http://www.veryj.com/ https://pjxray.com
https://iesmasterpublications.com/ https://plumbingoverstock.com
https://lhbeads.com/ https://pvcfittingsonline.com
https://sweatcentral.com.au/ https://rainraps.com
https://touchupdirect.com/ https://register.locoraces.com
https://www.chiclook.co.uk/ https://register.runtheedge.com
https://www.croydon.com.co/ https://register.savagerace.com
https://www.ironmanstore.com/ https://rigemright.com
https://www.recoactiv.de/ https://rustbullet.com
https://www.rufflebuns.com/boys https://sattvastore.com
https://www.sirchie.com/ https://screenanddigitalsupply.com
https://ironmongeryexperts.co.uk/ https://secure.compperformance.com
https://jmweston.com https://secure.detroitsocialevents.com
https://joyfolie.com https://secure.thelanternfest.com
https://koreanbikeparts.com https://secure.ticketdini.com
https://ledsale.dk https://shave-lab.com
https://ledsale.fi https://shop.meinespielzeugkiste.de
https://ledsale.no https://shop.real-mieten.de
https://liquidnicotinewholesalers.com https://shop.sunoco.com
https://m-eu.ironmanstore.com https://shop.uscabinetdepot.com
https://manidifata.it https://signspecialist.com
https://mgxcopy.com https://smokelessimage.com
https://mhpvitamins.com https://store.gomohu.com
https://mightyskins.com https://store.nationalww2museum.org
https://mitakosbooks.gr https://tickets.centralfloridafair.com
https://monstersuplementos.com.br https://tickets.eventsdcembassychefchallenge.com
https://motorcitynye.ticketsocket.com https://tickets.nyehawaii.com
68
https://tickets.ontaponline.com https://www.flanagans.ie
https://tickets.supershrinecircus.com https://www.flaskdirect.co.uk/
https://tirecrazy.com https://www.fumari.com
https://tiresensorwarehouse.com https://www.furnisheduk.com
https://tmsparts.com https://www.giftsforlittleones.com/
https://toledo-tools.com/ https://www.glowsticksltd.com.au
https://toledofireprotection.com/ https://www.gotomedsupply.com
https://trackpro.com.au/ https://www.greencollection.ca
https://troquer.com.mx https://www.hdridez.com
https://waterbom-bali.com https://www.healthyfitcanada.ca
https://wholesale.elementeliquids.com https://www.hidevolution.com
https://wholesaleuk.elementeliquids.com https://www.hobbybase.co.uk
https://www.220-electronics.com https://www.ifloor.ca
https://www.actionbikeski.com.au https://www.ifloor.com
https://www.actionbikeski.com.au/ https://www.ilovehopscotch.com/
https://www.americancvstore.com https://www.inglese.com
https://www.badfaszination.com https://www.inlovewith.es/
https://www.bike-trailers.com.au https://www.ironmanstore.com
https://www.bmw-motorrad-bohling.com https://www.jaloucity.de
https://www.calimodstore.com https://www.jetskiplus.com
https://www.chiclook.co.uk https://www.jimnybits.com
https://www.christopeit-sport.com https://www.jimnybits.com/contactus
https://www.clarkcolor.com https://www.kaldi.com
https://www.croydon.com.co https://www.lafleurfloreria.com.mx
https://www.desguacesvelazquez.com/ https://www.laptoppower.ca
https://www.dualeyewear.com https://www.madamglam.com
https://www.earthlite.com https://www.midselec.co.uk
https://www.electricals247.co.uk https://www.monnierfreres.com
https://www.esourceparts.ca https://www.moto24.co.uk
https://www.fitopets.com https://www.moto24.de
https://www.fitoplus.com https://www.moto24.es
69
https://www.moto24.fr
PreMage
https://www.moto24.it
http://www.fishingtackleunlimited.com/
https://www.moto24.org
https://www.vbeltsupply.com/
https://www.mr-shoes.co.uk/
https://starwarscos.com/
https://www.naditek.com
https://www.prestigeimportgroup.com/
https://www.newroomdesign.de/
https://www.dollamur.com/
https://www.oringen.eu/
https://www.picturehardware.com MagentoName
https://www.pratimaskincare.com https://101classics.de
https://www.rcauto.es/ https://10-vins.com
https://www.recoactiv.de http://140.fr
https://www.relocationelectronics.com https://1888adultdiapers.com
https://www.shoptrustwave.com https://1888scales.com
https://www.sirchie.com https://1poundstore.com
https://www.snapetail.com/ https://24gastro.de
https://www.stahlfreak.de https://2laser3d.com
https://www.taxatucoche.com/ https://360deals.co.zm
https://www.tciauto.com https://360hdmi.com
https://www.testingmom.com https://3ibazar.com
https://www.theglutenfreeshoppe.com https://44glasspipes.com
https://www.thetravelwrapcompany.com https://4dummies.ro
https://www.toesoxcanada.ca https://4ucom.nl
https://www.urwild.com/ https://6boost.eu
https://www.vapeicon.com https://9monthsmaternity.com
https://www.veryj.com https://a1searches.com
https://www.wallywine.com/ https://aabstyle.com
https://www.waterbom-bali.com https://aa-e.com
http://www.westhollowfloors.com https://aamedicalstore.com
https://www.whitestores.co.uk https://aar.sg
https://www.yorkphoto.com https://aazhivion.com
https://www.zex.com http://abycine.com
70
https://acanthe.in https://almosauto.in
http://accutechautomation.com http://alphachemikaapp.com
https://adam-tools.com https://alpinebear.com
https://wwww.adbeauty.pl https://alshulauae.com
https://adessa-cosmetics.de https://altswag.com
https://adskite.com http://alunar.net
https://advanced-pixel-shuttle.com https://amardesheshop.com
https://aerodromeaccessories.com https://amazingclock.me
https://affordableceilingtile.com https://ambienteskateshop.com.br
https://afloor.co.uk https://ammerer.com
http://agatha-magasin.com http://anabolictemple.co
http://agrofabric.cz https://anabolictemple.net
https://agu.ng https://anamorphose.fr
https://agufashion.com http://andek.com
http://aidangus.com.au https://angelcigs.com
https://aimbike.com http://angelfantastic.com
https://airmalltech.com https://angelsgearstore.com
https://airsoftdirect.uk.com https://anglersall.com
https://airsoftlegend.com https://anhaenger-hauk.de
https://airsprings24.com https://anythingeverything.com
https://ajinca.com https://apepola.lk
https://akinneycourt.com https://apexcarrental.co.uk
https://aktgear.com http://apioverde.com
https://alardiya.instasalla.com https://apparelprousa.com
https://alivemoto.biz https://appliancedepot.com
https://allflooringstore.com https://aprodz.com
https://alliedonlineshop.com https://aquaticlife.com
https://allscalesusa.com https://aquavistainc.com
https://allteamauto.com http://aradmetal-p.com
http://alltechwarehouse.com https://ararat-co.com
https://almansooragames.com https://archerythai.com
71
https://arnoldproducts.de https://babylissmen.es
https://arrazofashion.com.br http://babysoft.co.il
https://arredoshop.it https://b-aerospace.com
https://artisanat-design.com https://bagzworld.com
https://aryamorris.com http://balabellahair.com
http://asmirestore.com https://balaxidominica.com
https://assistenciacuritiba.com.br https://bandhej.com
https://atcledlight.com https://baqala.me
https://athales.com https://baradariarts.com
https://atlantasofas.co.uk https://barbieritdelux.ro
https://atomicslotcars.com.au https://basalt.fr
https://atpohor.com https://bassbuds.net
http://ats-green.com https://bathroomly.co.uk
https://au.newhollandpublishers.com https://bayanafashion.com
http://aukgaaf.com https://bdbbuy.com
http://aumeionline.com.au https://beachsidesurgicalsupplies.com
https://aumeiworld.com https://beanbagwala.co.in
https://aurellie-store.com https://bearboardlumber.com
https://aurora-eos.com https://bearingsource.co.uk
https://auszweiterhand-md.de https://beautysolutions-me.com
https://autoextreme.co.uk https://beaverlogcabins.co.uk
https://autopot.fr https://bebeformosura.com.br
https://avivadress.co.uk http://www.bedrunka-hirth.de
https://avtomatika.com https://bellb2b.com
https://ayurvedacart.com https://belloshopping.com
https://ayurvedacart.in https://bestiehair.com
https://azilion.com https://bestlawireless.com
https://azpoolsupplies.com https://bestofusb.com
https://azuryfashion.com https://bestpatio.net
https://b2b.merida-bikes.fr https://bestphonestore.net
https://babimart.com https://bettersleeppillow.com
72
https://bicimotos.com.mx https://bristal.com
https://bigbangsale.com.au https://brooklynbrigade.us
https://bikeman.ee https://brooksleather.com
http://binaryengg.com https://brunnergetraenke.ch
https://biogreenshop.com.br https://bspokedesign.co.uk
https://biometricsandbeyond.com http://btaytd.com
https://bjainbooks.com https://bubbasink.com
https://bjainpharma.com https://bugtreat.com
https://blackmillclothing.co.uk https://bulldogsfootballjerseys.com
https://blosberry.eu https://buyacamera.com.mt
https://bluecactus.co http://buybandhani.com
http://bluejacketsofficial.com https://buytvparts.com
http://bluezonline.com https://buytyresindia.com
http://bmwshoponline.dk https://buyusa.co.ke
http://boardlifecentrum.eu https://buyusacigs.com
http://boddingtons.com.au https://bxsportsny.com
https://boheco.org https://cabletiesupply.com
https://bonsaipots.com https://cachecoeurlingerie.us
https://boostnimports.com https://cafecaps.com
https://bostonoliveoilcompany.com https://caffeborghi.it
https://boutiqueengland.co.uk https://callowayhouse.com
https://boxedonline.com https://calsouthstore.com
https://braddford.com https://camobluu.com
https://break.breakprogram.org http://www.camomilla.it
https://breker.de https://camping-trend.de
https://brella.com.au https://campusmall.in
https://bricodiscount.be https://canada-gooseuk.com
http://bridesmarch.com https://candidlycouture.com
https://briefmarken-sieger.at https://candycakes.com
https://briefmarken-sieger.de https://cardquest.com
http://b-rightglobal.com https://cargoholdinc.com
73
https://carncompany.com https://chembio.co.uk
https://carnegiesurgical.com https://cheshirepineandoak.com
https://carrerapecas.com.br https://chiclook.co.uk
https://carrousel-kids.at https://chiflen.com
https://carrousel-kids.com http://www.chinesepharm.com.hk
https://cartouchesarabais.com https://chipo.in
https://casada-massagesessel.com https://chonghing.com
http://casadebolsahandbags.com https://chrisan.com.br
https://casadiseno.com.br https://chronoworld.com
https://casebase.com https://chuchilade.ch
https://castclassics.com https://ciaweldingovens.co.uk
http://castellioutlet.co.uk http://cigarettedutyfree.com
https://catchymarket.com http://citiwide-online.com
https://cat-shop.ch https://cityhuntercap.com
https://ccawear.com.au https://citysoles.com
https://cctvbidder.com https://cityspecs.co.uk
https://cctvbrands.com https://cizerl.com
https://cctv-mall.com https://clariancy.com
https://cefstore.ca https://classicmens.com
https://celloworld.com https://classicspacollection.com
http://centralcomputers.co.uk https://classictouchdecor.com
http://centraltouch.com https://clearlyoptics.com
https://cereswholesale.com https://cobrafashions.com
https://ces-shop.ch https://cochesdemetal.es
https://cetaceacorp.com https://code2a.de
http://cgslife.com https://code510.com
https://chakar.co https://coinlode.com
https://challengerpage.in http://collegefootballpro.com
http://chaussures-des-basket.com https://collegejewelry.com
https://checkersbay.com https://collinsadapters.com
https://cheddarstamper.co.uk https://colordragon.com
74
https://colouredbathrooms.co.uk https://crissbella.ro
https://colourgossipnails.com https://crossinstruments.com
https://colourvine.com https://crowngroup.net.au
http://commerce-lab.com https://crubher.com.pe
https://commonwealthaircraft.com https://csiled.com
https://commonwealthboatbrokers.com https://cuoieriashop.com
https://commonwealthrv.com https://curadellascarpa.it
https://compraok.com.br http://customprotectionsecurity.com
https://conceptmueble.com https://cybera.in
https://conceptmuebles.com https://cyprusitstore.com
https://condomerie.com https://czarny-czosnek.net
https://coolersparts.com https://dacia-art.ro
https://coppeneur.de https://dadsguitars.com
https://coppersinks.com https://dae.co.nz
https://copyprintscansolutions.com http://daleelamerica.net
https://coripa.com https://dalo3ah.com
https://coripa.net https://danatsouq.com
https://corvettespecialty.com https://dantona.com
https://cosgalaxy.com https://daphdaph.com
https://costumes.la https://dcpowerinc.com
https://costumesrock.com https://ddcnyc.com
https://costway.de https://deallegends.com
https://cotronika.com https://deandigitalworld.com
http://courseguruapp.com https://deavesonsjewellers.co.uk
http://cowboycleaners.com https://decoalfresco.co.uk
http://cowboysteamofficialshop.com https://decorasian.co.uk
https://craftacase.com https://decorish.com
https://creativeproductsource.com http://decorli.ru
https://crew-shoes.com https://decosalonfurniture.com
https://cricstore.in https://decosdumonde.com
https://crippaecanali.it https://degoedkoopstenl.nl
75
https://delex.es https://drinkssuperstore.com
https://deliciasurpresasvovo.com.br https://drivenracingoil.com
https://deliziedelpassato.it https://drtrendy.com
https://demo.epromooffice.de https://dubaikaftans.com
https://demopundit.com https://duoptic.com.ar
https://demosoap.com https://dz-tech.com
https://dentavision.com.au https://earth-communications.com
https://designerroom.com.au https://earthsedgeusa.com
https://dev.hinelix.com https://easistat.co.uk
https://devdantona.com https://eastertrees.com
http://dfz.com.br http://easyshoppingplace.com
https://diabeticpick.com https://ebuyjordans.com
https://diacan.com https://ecob2b.de
https://diamondbladedealer.com https://ecom2.amcsramnode.co.uk
https://dilanjewels.com https://econabrasives.com
https://discountadvancednutrients.net https://economyhandicrafts.com
https://discountfurnacefilter.com http://edgeelectricinc.com
https://distinctiveimage.com.au http://eduaro.com
https://distributorpertanian.co.id https://ehituskaup.com
https://dizdude.com https://ejuicewholesale.net
https://dogwoodbuildingsupply.com https://elacucos.com
https://domitp.com http://eldersweb.com
https://domowatt.it https://eldersweb.net
https://dotoco.com https://electriccherryhair.com
https://dotsport24.de https://electricpowerwheel.com
https://doughnutofficial.com http://electronabli.tn
https://drakesboutique.com https://elementsoftucson.com
http://drcsmichael.com https://eliswesternwear.com
https://dreamhardware.com https://elitechusa.com
https://dress4fun.ru http://www.elite-straps.com
https://dresscostume.com https://ellenbehome.com
76
https://elmerguitar.com https://ewent-online.com
https://elpasoimportco.com https://ewholesale.com.au
https://elyplast.com.br https://excellentstorestt.com
https://eminent-online.com https://expotradeexhibits.com
https://emistores.com https://extremeeyewear.com
http://emmybag.cn https://eyewear69.my
https://en.basalt.fr https://e-zihorse.fr
https://en.lileauxbrocantes.com https://fabcartz.com
https://en-garde.info https://fabelle-london.com
https://enginerebuilding.eu https://fahrradtotal.de
https://enhancedviewhd.com https://familienbande.com
https://envolventejoias.com.br https://familyeyeglasses.com
https://eoqo.com https://fan.ee
https://eposcomputer.com https://fanshonor.com
https://epsplasticsolutions.com https://farmacia3mont.com
https://epumps.com https://farma-web.it
http://equineconsign.net https://farook.com
https://eravos.com https://farsanwala.in
https://esde.ro https://fashionfoureyes.com
https://esengines.com https://fashionparkoutlet.rs
https://eshsheds.com https://fashionstore18.com
https://eskape.ca https://fashionwarehouseusa.com
https://espagnepromo.com https://fasma-optica.gr
https://estarer.com http://www.favomode.com
https://esteticaunghiediscount.it https://fcs-store.com
https://estore.com.sg https://fengshuiorganizers.com
https://esupplybox.com http://ferlamsrl.com
https://eurostyleyourlife.com https://ferma-gradina.ro
https://eurosurpluss.com https://fernwoodbotanical.org
https://eveque.co.uk https://fesal.com
https://evolutionsalt.com https://fesal.com.au
77
https://fetamapatchwork.com https://fruernes.dk
https://fiberinstrumentsales.com http://fryetile.com
https://fillplus.com https://ftasecurity.com
https://firesidefireplaces.co.uk https://fuelairspark.com
https://firstbtq.com https://fugco.com
http://fit4flex.com https://full-ops.com
https://fitdango.com https://full-parts.com
https://fitwarm.com https://funcart.in
https://fixagadget.co.uk https://funwirks.com
https://flaircosmetics.co.uk https://futuresupplier.com
http://flaming-queen.com https://fyne.in
https://fleuristenini.com https://fz-forza.com
https://flexikaart.com https://gadgetgiant.co.uk
https://floracake.in https://gamehoops.com
https://floraceuticalnaturals.com https://gamesquest.co.uk
https://florariamobila.ro https://garageland.fi
https://flowersngiftonline.com https://gastrodish.nl
https://flyonit247.com.au http://gazdainsurance.net
https://focom.cz https://gbyliquidations.com
https://folkreps.com https://geantcomputer.com
https://fonelink.com.au https://gen-parts.com
https://forzaups.com https://geometra.ch
http://fotozzoom.com http://www.geotechsys.com
https://frameandoptic.com https://gguimi.com
http://francesturnerltd.com https://ghulamali.com.pk
https://frankana.de https://gigablockshop.com
https://franklinbronze.com https://gina-und-fritz.ch
https://frenchfootwear.com https://gina-und-fritz.com
https://frix-air.nl https://gina-und-fritz.de
https://frontrow.uk.com https://giogjoias.com.br
https://frozenwave.gr https://giovannaimperia.com
78
http://giselleboutique.com https://hafnerlaw.com
https://gjertsensport.no http://hairextensionslove.com
https://glassblockgallery.com https://hairinthebag.com
https://glassdistributorsinc.com https://halloweenhallway.com
https://glassnow.com https://hancosmetics.com
https://globalgiftdelivery.com https://happyclicks.co.uk
https://globalliving.in https://happyfabric.de
https://globalmanagement-ark.com https://hardwareresources.com
https://glolibrary.com https://hardwaretrading.nl
https://goesgreenstore.com https://harley-davidsoncaribbean.com
https://golden-state.net https://harmony.co.il
http://goldfitflops.com https://harpy.com.ua
https://golf2golf.co.uk https://hascollections.com
https://gonefishin.net.au https://hawaiiandthings.com
https://gorillawear.com http://hawaiiproducts.net
https://gosport-furniture-shop.co.uk https://hb-fachhandel-shop.ch
https://gotokicks.com http://hcqs.com.cn
https://grabcessories.com https://hdmilitarysales.com
https://gracebeads.com http://headlinehosting.com
https://grafipronto.pt https://heilemann.de
https://gramton.com https://heimwerkertools.com
https://graphitshop.de https://hellolulu.com.sg
http://greatchinaproducts.com https://helmexpress.com
https://grifgraf.ca https://hemmesschoenen.nl
https://grilllade.ch https://hetbakkertje.nl
https://gro.dk https://hibahealthfoods.co.uk
https://gyongyhorgaszbolt.hu http://highlasers.com
http://h20life.us https://highperformanceuniforms.com
https://hablatinamerica.com https://hillcrestsports.com
https://hackersmancave.com http://hindsemi.com
https://hadson.com https://hoangmyjewelry.com
79
https://hobbybase.co.uk https://www.todayspatio.com
https://hollywoodexoticshop.com https://www.todayspatio.com/
http://homeandlifestyle.de https://huffmansecurity.com
https://homeautomation.ph https://hydraulicsonline.co.uk
https://homecityonline.com https://hypercom.sg
https://homedone.co.uk https://i-buy.ro
https://homehardwareexpo.com http://iceartva.com
https://howorths-shoes-online.co.uk https://iconicpineapple.com
http://hotelcathedrale.be https://ifrink.com
http://newadega.com.br/ https://igood.com.vn
http://truefriendshoppe.com/ https://ihnken-rollen.de
http://www.bagelspice.com/ https://iklinikstore.ch
http://www.ewrjuant.com https://ikonicsimaging.com
http://www.innckordz.com https://ikonmotorsports.com
http://www.mwedealers.com/ https://illumepartyware.com
http://www.simplygems.com.au https://illuminazione-a-led.com
http://www.stylefiesta.com/ https://independentink.com
http://www.tassi.hu/ https://indiameetsindia.org
https://espressoresource.com/ https://indianfashionfollower.com
https://focushaircare.com https://indiangroceryonwheels.com
https://melhoreschocolates.com.br https://inglese.com
https://myworldphone.com http://inkocean.in
https://shelfadditions.com/ http://www.innergeek.co.uk
https://thekoshercook.com https://instasalla.com
https://www.arnotteurope.com https://ipzmall.com
https://www.cachecoeurlingerie.us/ https://iqra-read.com
https://www.petremedies.co.uk https://isaacjoestore.com
https://www.petremedies.co.uk/ http://it4y.com.ua
https://www.powercellular.net https://italco.com
https://www.riccifashions.com/ https://itt.com.mx
https://www.smallworldtoys.com https://jamieyoung.com
80
http://japebth.com https://kanamusic.com
https://jardimsantamartha.com.br https://karcher-tienda-lecasa.es
http://jasnek.com http://kart247.com
https://jaycompanies.com https://kashidadesign.com
https://jeezapparel.com https://kbshop.co.uk
https://jendeindustries.com https://kdlinks.com
https://jerob.com.hk https://keepcell.com.br
https://jerrysmusic.com https://keyinstant.com
https://jessieboutique.com https://keytonex.com
http://jeway.net https://khimaronline.co.uk
https://jgtopshop.bkihost.net https://khodaeidiet.com
https://jjlashproduct.com https://kicksnova.com
https://joalheriadeautor.com.br https://kidder.ca
https://johnnyroadhouse.co.uk http://kiddle.com.hk
https://joinedandjointed.com https://kidis.ch
https://jordansaleol.com http://kigu.org
https://jtplaza.com https://kingpalm.com
http://judyshomedaycare.com https://kingstaronline.com
https://jugnionline.com https://kinslager.com
https://justbathvanities.com https://kipling-il.co.il
https://justchargerplates.com https://kitchenwareking.com
https://justgreencn.com https://kitmaniamodels.com
https://jutehome.co https://klamottenfabrik.com
https://jzk-jzk.com https://klaviyo.com
https://k12-solutions.com https://klipxtreme.com
https://k9crew.co.uk http://klunderskafe.com
https://kaajalsarees.com https://knaitek.ee
https://kaaten.fr https://knifelegend.com
https://kalendershop-marktecke.de https://komat.fr
https://kalyansilks.com http://konovaphoto.com
https://kamsat.co.uk https://koramzi.com
81
https://kosbest.com https://lekiaan.com
https://kosher-wine.eu https://lellal.com
https://kosmetik-schilling.de https://lemonbest.com
https://koturltd.com https://leneavesupply.com
https://krainafilcu.pl https://lfcarmona.com
http://kranichakku.de https://lifestylestore.com.au
https://kruzinfootwear.ae https://lifeteeshirts.com
https://kumplast.si http://liftavis.it
https://labrazel.com http://lightingwill.com
https://labrazelitalia.com https://lightsaberpromotions.com
https://laceandme.com https://lightsoftuscany.com
https://lacnehry.sk https://lightuptoys.com
https://ladeesseshop.com https://lilliputweb.net
http://ladobasic.com.br https://lilydalesafetywear.com.au
https://ladoudounesolde.com https://linendressesonline.com
https://ladyluxury.co https://linkingcharms.com
https://lalcointeriors.com https://linoleum.com.br
https://laleela.com https://liquorishonline.com
https://lambertynet.com https://litesource.com
https://lamicci.com https://live.jatalo.com
http://landmarkhomestore.com https://livimports.com.au
https://lasaladaferia.com https://ljzhomeliving.com
http://laserto.com https://lo2lo2.net
https://lather.com https://locachapiteau.com
https://latorre.com.au https://loco.ie
https://leadfootdiesel.com https://logcabinssussex.co.uk
https://leatheronedirect.com https://loja.rockvest.com.br
https://ledlightingshop.ca http://lopezeser.com
http://ledlightupshoes.com https://loversire.com
https://ledworld.nl https://loveurns.com
https://lehorganics.com https://ltstonesupplies.co.uk
82
https://luggagemama.com https://manamotor.com
https://lummax.com.au https://manchesterfireplaces.co.uk
https://lunchorders.co.nz http://mannadistributors.com
https://luthermusic.com https://mantragoldcoatings.com
https://lvshoesandmore.com http://maozua.net
https://lxbattery.pt https://maplepools.com.au
https://lyfetaste.pt https://mapyshop.com
https://lynxsupply.com http://marenja.com
https://lysse.com.au https://margobonita.com.br
https://lytrasmusic.com https://martynsbargains.com
https://mabylone.com https://matchahills.com
https://macinbag.com https://materialtree.com
https://macleodsfurniture.com.au http://matexbuyer.com
https://maclinestore.com https://mauricekain.com
https://madamekorner.com https://mauzan.com
https://maddhome.com http://mavenco.com
http://madeincire.cat https://mavimarvels.com
https://magbg.com https://mavinsfurniture.com
https://magenmagic.com https://maxtracsuspension.com
https://magento.com https://mazestyle.com
https://magento.p113923.webspaceconfig.de https://mccallsavonline.com.au
https://magesolution.com https://mcdcctv.co.uk
https://maginsynch.com https://mcentre.lk
http://magnametal.in https://mcjbazaar.com
https://mail.mybrochure.it https://mcpiccadilly.com
https://mail.tooldepotireland.ie https://mecque.com.au
https://maiomall.com https://medeo-kosmetik.de
https://maiortek.it https://medoaffinity.com
https://majsterpapier.eu https://medvital.si
https://maldivesoriginals.com https://meineschnitte.at
https://mami-and-me.com https://memorywholesalers.com
83
https://mentalgamesonline.com https://mostcashforphones.com
http://metae.ru https://motorenrevisie.net
https://metrocart.ca https://motoweb24.com
https://mexcandy.co.uk https://mozilifestyle.com
https://michelsons.london https://mpphouse.com
https://midasiawatches.com https://mrcurtain.co.th
https://midtownwatch.com https://mrhardwoods.com
https://midwestmailingsupplies.com https://mrjewelersonline.com
http://midwestsporthockey.com http://mrswhitez.com
http://migisboutique.com https://mserviss.lv
https://miibox.com https://mugigae.com
https://mikimodel.com https://multiprises.fr
http://mikimodel.net https://multybuy.com
http://milkywaytshirts.com https://mundodeljoyero.com
https://milwaukeemarble.com https://murad.com.my
https://minhestebutikk.no https://muscatcart.com
https://minogue-med.com https://musiciansmall.in
https://minskytux.com https://musicworld.co.il
https://miragebeachwear.com https://mustthai.com
https://mirrors-online.com.au https://myangelickids.com
https://mitratenkaufen.de https://myasho.com
https://mobilecadsurveying.co.uk https://mydialand.com
https://mobileparadise.de https://myshayo.com
https://mobilephoneaccessories.org https://myspoga.com
https://modelerolnicze.pl http://mytannery.net
https://modularackusa.com http://mytoolbag.in
http://monclerofficialoutletol.com https://myvitibox.com
https://montanawesthouston.com https://n2j.fr
http://mookiepromotions.com https://n2overstock.com
https://morgan-softair.com https://nakoosh.com
https://morsepoint.co.uk https://nationalcargocontrol.com
84
http://nationaldrygoods.com https://notinshops.com.au
https://nationalteaexchange.com https://novadistributors.com
https://nativecustombaggers.com https://novastar.gr
http://natradingcompany.com https://nowtostyle.com
https://naturalkidz.com https://nrimint.com
https://naturellindia.com https://numchai.com
http://neatorobotics.com.sg https://nurserydecalsandmore.com
https://neodimio.com.br https://nuttybuddy.com
https://neptunetradinginc.com https://nuvocig.com
https://netsportique.de https://nvboxes.co.uk
https://netsportique.es https://nvncbl.com
https://netsportique.uk https://nydj.com.au
https://newlifecardioequipment.com https://o2eliminators.com
https://newtemptations.co.uk http://oakcovemarina.com
https://nexus.com.au https://obddiagnose.com
https://ngf.co.za https://obigate.pt
https://ngiko.co.ke https://oceanpointtackshop.com
https://nicassosports.com https://ocfuncycles.com
https://nicengentle.nl https://ocloz.com
https://nicetoget.com https://oesonline.net
https://nicka.com http://oestemarine.com.br
https://nicolaouelectronics.com https://officeflux.com
https://niftyconcept.com https://ohmycs.com
https://njdumpsterrentals.com https://oilpaintingshops.com
http://nldb.gov.lk https://okbridalshop.co.uk
https://nobeljuwelier.nl https://olba.com
http://nogakhallagh.com https://old.alinacernatescu.fashion
https://nomenu.pt https://oleomac.ie
https://northbaytrading.com https://olliella.com
https://northlandcedar.com https://ombhakti.in
https://notebookplatz.de https://omega.ba
85
https://omifind.com https://patriot-armory.com
https://omniscrubs.com https://paulsmilkonline.co.uk
https://onecarpart.com https://pavingonline.co.uk
https://onlyfororganic.com https://payalenterprise.com
https://openhaat.com https://paypal.com
https://opheliehats.com http://pcrdist.com
https://optica-alfa.gr http://pdlmaryland.com
http://optiko.pl https://pearlpet.net
https://organicandwholesale.com https://pedicurechairparts.com
https://ortoroca.es https://peipeiscooter.com
https://oss.maxcdn.com https://pekebebe.es
https://ouchonline.com https://perennialparkproducts.com
http://outeccbattery.com https://perfectwines.eu
http://ov8e.com https://personalisedluggage.com
https://pager99.com https://petremedies.co.uk
http://paintedrhythmag.com https://pharmacytomydoor.co.uk
https://paliwaljewelers.com http://phoenixcuration.com
http://www.palmettosclemson.com https://phonehub.us
http://parajumpersjackas.se https://phonewear.dk
https://parajumpersjacke.ch https://phonexcases.com
https://parajumpersoutlet.es https://picl3n.com
https://parfemi-online.com https://pilotengines.com
https://parfumdeo.nl https://pinet.ma
http://parfumeursdefrance.com https://pittadress.com
https://parkandwillow.com https://pittetarch.com
https://parkwoodmiddlegear.com https://piuicalcados.com.br
https://partido.co.uk https://plasterline.co.uk
https://parts.creativebussales.com https://plateaucorp.com
https://partspro.ph https://plumbedright.com
https://partyinabox.co.in https://pncsports.net
https://pathsupply.com https://pneusdepot.ca
86
https://pokemoncos.com https://quality1trader.co.uk
https://policegear.ca https://quickvit.co.uk
https://pollyproducts.com https://ra-airsoft.com
https://polo.kemanastaging.com https://radio-abe.nl
https://polytunnelsupplies.co.uk https://railwayrecycling.co.uk
https://popsilingerie.com https://rainpharm.com
http://po-selected.com http://www.randymatusowphoto.com
https://powercellular.net https://rattan-house.com
https://powerhouseproducts.com https://ravin.com.br
https://prestigedental.co.uk https://rawtonica.com
https://prestigioplaza.co.uk https://realityrealtystore.com
https://prestigioplaza.com https://reciclarfactory.com
http://pricebuy.ru http://renofran.com
https://pricecrashfurniture.co.uk https://replacementlenses.com.au
https://pricedepot.com https://resources.tewhanake.maori.nz
https://printerribbonsnow.com http://restauranggrossisten.com
https://printerscopiersandmore.com https://retailbanking-academy.org
https://printgenius.org https://retfordgenerators.co.uk
https://privatelabelnutra.com https://retfordpressurewashers.co.uk
https://pro-army.com http://ribboncandy.in
https://procontractorsupplyinc.com https://riccifashions.com
https://productstore.savaglobal.com http://rifarma.lt
https://pro-man.fr https://rjcricket.co.in
https://promobranding.co.uk https://rntplus.si
https://promusica.ie https://rockchef-original.de
https://prosport-ferrari.com https://roiiiii.com
https://prostuntstep.nl https://rolsue.com
https://ptcomputers.com.au https://rosenberryrooms.com
https://purewell.co.uk https://roshestyle.com
https://pyrostopsecurity.ro https://rossishoes.com.br
http://qtelecom.com.br https://rotarymowers.com.au
87
https://royalimports.com https://schermerhornbrosco.com
https://royalmale.com https://schwabensoccer-shop.de
https://rrdiapers.com https://scontimania.com
https://rrjewels.com https://scopemedicalsupply.com
https://rtc-electronics.com.kw https://sdvirgo.com
https://rti-industries.com https://seagearmarine.com
https://ruggeddestination.com http://www.seavib.com
https://ruglegend.com https://secomoto.com
https://rusticwesternusa.com https://secure.compperformance.com
https://s016.instasalla.com https://seduce.com.au
https://s208.instasalla.com https://segura-moto.fr
https://s7.addthis.com https://sellsspares.com
http://sac-et-montre.com https://semencesdupuy.com
https://sachewellness.com http://severins.se
https://salesindia.com https://sgomezfragrances.com
https://salonfurniturewarehouse.com https://sgruber.com.br
https://salvagemanagers.com https://shanestestwebsite.com
https://salwartales.com https://shawnvenson.com
https://samedaysigns.com.au https://shayowinedirect.my
https://samoa-hallbauer.de https://shishu.online
https://samosahouse.dk https://shoeloungeatl.com
https://sandblastingcabinets.co.uk http://shoetastic.co.uk
https://sangeetsarees.com https://shop.albertofasciani.it
https://sanitaire-express.fr https://shop.coburgaquarium.com.au
http://sanjosestrokers.com https://shop.coffeeduck.com
https://santachi.net https://shop.ironnetworks.com
https://saray-brautmoden.de https://shop.kupferecke.de
https://sareegalaxy.com https://shop.mirbeau.com
http://sareekart.in https://shop5.sg
https://sareemall.in https://shopatsimba.com
http://sb3at.com https://shopcrownhouse.com
88
https://shopjinie.com https://solowsports.com
https://shopmambaby.com https://solution4magento.com
https://shopmefast.com https://somatropintherapy.com
https://wwww.shop-primosport.de https://soniinteriorssupply.com
https://shopthecart.com https://sopriscomputerparts.com
https://shopvapes.com https://soulengraver.com
https://showoffyourwrist.com https://soundasleepbeds.com
https://sibirskozdravlje.net https://souscharme.com
https://sidrahleather.com https://southernvapor.com
https://silmebag.com https://sozaiya.com
https://sitgeshouses.com https://spanishpassion.es
https://sizzlingsilver.com http://specialdaystore.co.uk
https://skids.com https://sportlowcost.it
https://skillvalue.com https://spyeyes.co.in
https://ski-roller.com https://stainlesssteel-ballvalve.com
https://ski-roller.de https://star-beautysupply.com
https://sklep.dafi.pl https://starkennbikes.com
https://skyteccostura.com.br https://starlingsa.co.za
https://slic.com.br http://starmodernfurniture.com
https://slidegood.com https://static.bestofusb.com
https://smallworldtoys.com https://static.usbmegastore.com
http://smart4gwifi.com https://steeladdictionknives.com
https://smartpractice.ro http://steelcityroofers.com
https://smokers-lounge.co.uk https://stencilsforwalls.com
https://sodastream.dk https://stevenstractor.com
https://sodastream.fi https://store.clubstuff.com
https://sodastream.no https://store.curiousinventor.com
https://sodastream.se https://store.gnsdvr.com
https://solarinfrasystems.com https://store.heraldentertainment.com
http://soldessalomonfr.com https://store.loontjens.com
https://solovethailand.com https://store.uggtasman.com.au
89
https://storestork.com http://tacticaldata.net
https://streetandsurfwear.com https://tailspinwaterfowl.com
https://streetfightversand.de https://talebtyres.com.au
https://strikeon.com https://tallerheels.com
http://stripedshirt.com https://tamaraofny.com
https://strongrr.com https://tapecentral.com
http://stvincentrow.com https://targetbahamas.com
https://stylefiesta.com http://taxprintindia.com
https://stylehq.com.au https://tbde.com.vn
https://stylishfashionusa.com https://tciauto.com
https://styropor24.com https://teamrevolutionwireless.com
https://sucredorge.com https://teamrpmwireless.com
https://suedaleydesigns.com https://techspec-usa.com
https://sueno.co.uk https://tecmapro.com
https://sumashop.ro https://teentees.in
https://sumitdua.com https://tekfinland.fi
https://sunglasso2o.com https://tel-loc.com
https://sunsetbamboo.com https://tesoro.pk
https://sunteak.com https://texaspecancakes.com
https://superiorhomegoods.com https://tgsaudi.co
http://superstarensoldes.com https://thea2zfurniture.com
https://supreminox.com https://thebabyspecialist.com.sg
https://suvelsport.si https://thebeddingdepot.com
https://svpmobilesystems.com https://thebestmusic.com.br
https://svtmjewels.com http://thebutterflies.in
https://swankyprints.net https://thecarcover.com
https://sweetdiary.com.my https://thecatacombz.com
https://swiatbiegacza.pl https://theclimatemakers.com
https://sylvantutch.co.za http://thecosmebox.com
https://symmetryppg.com https://thedollhousexoxo.com.au
https://symselect.com http://thefatdoctorclinic.com
90
https://thefootspot.com https://transporter-footwear.com
https://thefursourceofny.com https://travel-blue.com
https://theglassescompany.co.uk https://treasuresofmorocco.com
http://thegourmetnutcompany.com https://trendiez.eu
https://thehuskyappliances.com https://trendy-workshop.com
http://theorganic.life https://trgovina.atlantis-vodnomesto.si
https://the-paddle-store.com https://trgovina.vendo.si
https://theplotterdepot.com http://tripleplaywis.com
https://thetiredepot.com https://tudoparafotografia.com.br
https://thetravelstore.com.my https://tuffatanks.fr
https://thewellyshop.com http://www.tusentack.de
https://thingstodobahrain.com https://twistedshotz.com
http://thinkmobility.com.au https://tymusiccenter.com
http://thirdeyephoto.net https://uhe.fr
https://thomaspumps.net https://uhfrfidtag.com
https://threel.co.uk https://uk.newhollandpublishers.com
http://tiogaterritory.com http://ultim-tech.com
http://www.tipmacau.com https://ultrashop.in
https://tiskajpoceni.com https://uneeka.com
https://tituli.fr https://unitechcomputersltd.co.uk
https://todayspatio.com https://unitedfurnishinginc.com
http://www.tomandjey.com https://universalbooksellers.in
https://toneramainc.com https://universalbumpkeys.com
http://tooraunchyonline.com https://upmarketpets.com
https://topquestinc.com https://urbangalleria.com
http://toyotaweb.com https://urbansalida.com
https://wwww.tpp-shop.com https://urfreaky.com
https://tradewindsstudio.com https://us.hairextensionsale.com
https://tranhtheutayhason.com https://usa.rhinorugby.com
https://transfer-paper.net https://usbmegastore.com
https://transintl.com https://usnbo.com
91
https://uspreciousmetals.com https://waltertool.com
https://uzi.com https://wantoffer.com
https://v2.zopim.com https://watchtowatches.com
https://valleygaming.com https://waterbom-bali.com
https://vanbuckengland.com https://weartowin.com
https://vandrugboards.com https://weberstyl.pl
https://vanguardoffroad.com https://webmail.nationalboiler.com
https://vanoutlet.nl https://weldingsuppliesdirect.co.uk
https://varangersportslager.no https://wesleyswholesale.com
https://vareza.mx https://westonebathrooms.com
http://vbauctions.com http://whitening-expert.com
https://veari.com https://wh-kontor.de
https://vente-beaute.com https://wholesalethatch.com
https://venue5.com https://wholesalewesternbling.com
https://venusaccessories.net http://wigshow.co.uk
http://via-la-boutique.fr https://williamsknife.com
https://vialleshop.de http://www.winepeers.com
https://videosorveglianza.com https://winerackus.com
https://vitalhemp.com https://winsoft.lk
https://vitalyte.com http://wolfandtennant.com
https://vjvfashions.com https://wonderbag.co.za
https://vonino.eu http://www.woodpeckerfurniture.com
https://vranken-pommery-shop.de http://woopick.com
https://vriddhisales.com https://worldofdrinks.ro
https://vrsdigital.co.za https://worldofsinks.com
https://vulinedirect.com https://wpad.franklinbronze.com
https://vupromo.com https://wpad.nbrealm.nationalboiler.com
https://vxlondrina.com.br https://wraparts.com
https://walkawaywithfurniture.com https://wrkny.com
https://wallerbmx.co.uk https://www.soldessalomonfr.com
https://wallpaperworldwide.com http://xoxoing.com
92
https://xpandasox.com http://baracemento.com.ar/
https://xpeditionready.com http://bcuniverse.com/
https://xtechamericas.com http://boardwalkceleb.com/
https://xtremevisionhid.com http://bobmen.com/
https://yantra.nl http://bookmartgcc.com/
http://yellowmeds.com http://bovinifrills.com/
https://ynjtrading.com http://boxenlive.de/
https://yogalove.dk http://businessgifts.in/
https://yogastore.co.il http://buzziday.net/
http://yumold.com http://choufmedias.com/
https://zak-designs.fr http://choufmedias.net/
https://zalewskirtv.pl http://cosmedicalsolutions.com.au/
https://zdsoo.com http://cretantreasure.gr/
https://zevic.in http://cwwilliamshomes.com/
http://ziegldfro.com http://dast-saz.com/
https://zola.in http://delasallejrlfc.com.au/
https://zuzugadgets.com http://dentalmartindia.com/
http://deziregoodlife.com/
GetBilling
http://dharohartheheritage.in/
http://www.screenplay.com/
http://dhyeyaias.com/
http://www.eclipseallsports.co.uk/
http://ditfeshop.com/
http://www.vikud.com/
http://elnegrito.net/
https://www.lumenco.ca/
http://emartu.com/
WebRank http://euromenu.com.ua/
http://2intelligent.com/ http://excelglobaltravel.com/
http://aantra.com/ http://falakartjewels.com/
http://aegeandeal.com/ http://fidypay.com/
http://arihantbooks.com/ http://finebijou.com.cn/
http://ariyakudiiyengars.com/ http://flamy.com.ua/
http://autoreflection.in/ http://freewebsitemockup.net/
http://baggskart.com/ http://freywille.com
93
http://gahlotenterprises.com/ http://materialhub.in/
http://globetrotterpost.com/ http://maxxonline.ro/
http://gosabji.com/ http://mepstock.net/
http://greenrockhosting.com/ http://mnitstore.com/
http://greenrockhosting.net/ http://mobilserv.ro/
http://greenrockhosting.org/ http://morpheclothing.co.za/
http://gridcarts.com/ http://morpheclothing.com/
http://gyanbinduacademy.com/ http://motorpumpkart.com/
http://handoninc.com/ http://mtpkits.com/
http://healthporter.net/ http://mtpkits.net/
http://helensampson.com/ http://mtpkitusa.com/
http://hindustanholograms.com/ http://namuscreations.com/
http://hotelakshaya.in/ http://nms.hu/
http://humanitiespoint.com/ http://ogmep.com/
http://idawz.org/ http://onshoppi.com/
http://infomatism.com/ http://pleasureshop.net/
http://irctcticket.com/ http://publicacionesadventistas.com/
http://itilwiki.com/ http://rentalcache.com/
http://itune-up.ro/ http://rseriesmusic.com/
http://jomso.com http://sbakelas.gr/
http://kalyabeauty.fr/ http://shop.andersenstokke.com/
http://karalibal.com/ http://shop.themodern.org/
http://kashmirkit.com/ http://shoppinanny.biz/
http://laddrinternational.co.uk/ http://shoppinanny.net/
http://leafypetals.com/ http://shoppingekart.com/
http://league-shirts.com/ http://shopvapes.com/
http://lowpriceshop.in/ http://simhasthayatra.com/
http://macinbag.com/ http://smartmeerut.com/
http://maedatakashi.com/ http://smartnshop.com/
http://mall.sfe77.com/ http://snapshopy.com/
http://malttec.com/ http://starfive.ir/
94
http://stayathomecreativeservices.com/ http://www.apnaedu.ind.in/
http://stonelantern-highlands.com/ http://www.bboyss.com/index.php
http://supersheathy.loan/ http://www.bellavitatile.com.cn/
http://sutledhaga.com/ http://www.bigom.lviv.ua/
http://techstarpetro.com/ http://www.bigsoftwarebargains.com/
http://terra-incognita.co.ua/ http://www.biswajayfoundation.com/
http://thetailorynyc.com/ http://www.bjeshopee.com/index.php
http://thjewels.com/ http://www.bostonsolux.com/
http://transformations.co.in/ http://www.bostonsoluxedu.com/
http://uncommonwondersent.com/ http://www.brandvenus.com/
http://uniqestuff.com/ http://www.buymedicine247.com/en/
http://uniqueweddingcards.in/ http://www.buzziday.com/
http://utopiagraphix.com/ http://www.ckhomoeopathic.com/
http://valleygaming.com/ http://www.corenetworkssolution.com/
http://vaperlikit.com/ http://www.craftxitservices.com/
http://videotemplatespro.com/ http://www.deepalibhayani.com/
http://villagemart.in/ http://www.deliverysells.com/index.php
http://villapac.co.uk/ http://www.dellmaart.com/index.php
http://villapac.com/ http://www.denzon.com/index.php
http://w3cinfotech.com/ http://www.dezirenatural.com/
http://wigsfor-women.net/ http://www.dhamakabaazar.com/
http://wildanniaga.com/ http://www.diabetesindiastore.com/
http://www.abchome.com/ http://www.discountapp.website/index.php
http://www.ad9mall.com/index.php http://www.eetcafebuurmanenbuurman.nl/
http://www.afloorcarpettiles.co.uk/ http://www.emartubookstore.com/
http://www.ajitkart.com/index.php http://www.en.etemaaddaily.com/
http://www.akshayapatra.com/ http://www.estorebook.com/index.php
http://www.akshayapatra.in/ http://www.etaretail.com/
http://www.alborzcd.ir/ http://www.etestninja.com/
http://www.alldatesheetnic.co.in/ http://www.fashionkiya.com/index.php
http://www.alphawholesale.co.uk/ http://www.filippo-biagioli.com/
95
http://www.foodsupplydepot.com/ http://www.revereshoes.com.au/
http://www.funkysocks.com/ http://www.ru486pill.com/
http://www.genesislabs.cc/ http://www.ru486pills.com/en/
http://www.giftemoji.com/index.php http://www.sabzivabzi.com/index.php?
http://www.goldsgear.com/ http://www.sanatorial.com/
http://www.harishpurtea.com/ http://www.sbrulzzshop.com/
http://www.hympremium.com/ http://www.shopfik.com/index.php
http://www.ibda3vision.com/ http://www.shoppingciti.com/
http://www.ibpsdisha.com/ http://www.shubhmall.com/index.php
http://www.kidsbrooks.com/index.php http://www.solidrockcustomhomes.com/
http://www.laptopwala.com/index.php http://www.soothingminds.com.au/
http://www.mensfashion.com.mx/ http://www.ssc-nic.com/
http://www.mifeprexpill.com/ http://www.sscdisha.com/
http://www.mmochamps.com/ http://www.styleinstaa.com/
http://www.mobilo99.com/ http://www.sunpackprint.com/
http://www.mocktell.com/ http://www.sunsetwestusa.com/
http://www.moeshastore.com/index.php http://www.surattextilemarket.com/index.php
http://www.mogulcon.com/ http://www.timetableadmitcard.co.in/
http://www.mtpkit.us/en/ http://www.tonygasparphotography.com/fullscreen/
home/
http://www.mycaf.com/
http://www.unitycrown.com/
http://www.namkeenwale.in/
http://www.v4b.gr/
http://www.narilok.com/
http://www.velohome.nl/
http://www.naturahorta.com.br/
http://www.worldlearnshere.co.uk/
http://www.nexshops.com/index.php
http://www.wpemy.com/
http://www.orangepoppin.com/
http://www.zohokart.com/index.php
http://www.ownersadvantageproperty.com/
http://zanduhealth.co.uk/
http://www.plumbingoverstock.com/
https://3h-art.space/
http://www.porosmoni.com/index.php
https://aamoni.com/
http://www.postsovhighered.org/
https://andamen.com
http://www.printfly.co.in/
https://arkinadiamonds.com/
http://www.rangholy.com/
96
https://bankexamportal.com/ https://maikahwin.com/
https://bcnashop.org.au/ https://medicaretulsi.com/
https://beotaku.eu/ https://moliae.com/
https://bigcreekexpansion.com/ https://optics-trade.eu
https://campusawoof.com/ https://parkbanyo.com/
https://cashflow.nl https://picturetheprint.com/
https://cauchosya.com https://reaction-bg.com/
https://cbseportal.com/ https://rezidentdesign.com/
https://ccresidentialcleaning.net/ https://rocketstarmedia.com/
https://cleverativity.com/ https://rohnudeln.de
https://crayons.com.au https://rrbportal.com/
https://createappshere.com/ https://shareconomy.in/
https://designrattan.co.uk/ https://sincuentos.es/
https://digistore.fr https://spontieapp.com/
https://ebuy.gr/ https://sport-kamera.hu/
https://estogai.lt/ https://srsmicrosystems.co.uk
https://freywille.com https://sscportal.in/
https://gazeto.in/ https://stalion.com.my/
https://goldgalorebd.com/ https://timetablenicresults.co.in/
https://goodglassphoto.club/ https://tolexo.com
https://helpinu.com/ https://topdietplansformen.com/
https://henalilu.com/ https://trampting.com/
https://iasexamportal.com/ https://travelformedicaltreatment.com/
https://instasanta.com/insta/ https://utahskis.com/
https://jombiz.com/ https://vitalforce.lt/
https://kmtparts.com/ https://warentuin.nl
https://lecoqsportif.co.za https://woodyshomebrew.com/
https://lendingluxury.com/ https://www.7hox.com/index.php
https://loja3as.com/ https://www.akena.es/
https://lojadopescador.pt/ https://www.akshayapatra.org/
https://magrar.hu/ https://www.amintafabiasticuneo.com/
97
https://www.apexsupplies.co.uk/ https://www.segredosdecasais.com/
https://www.aplustopper.com/ https://www.sfplanet.com/
https://www.bharatplaza.com/ https://www.shoppinanny.com/
https://www.botmakerscafe.com/ https://www.starindiaresearch.com/
https://www.cbsetuts.com/ https://www.surpresadoamor.com.br/
https://www.chotababu.com/ https://www.theloom.in/
https://www.deepshoppers.com/index.php https://www.torredepapellivros.com/
https://www.dermokozmetik.com.tr/ https://www.totalphase.com/
https://www.direct-peru.co/ https://www.vedji.com/
https://www.dlonra.co.za/ https://www.xpertshoppie.in/index.php
https://www.e-karali.com/ https://www.yantralive.com/
https://www.entrancedisha.com/
PostEval
https://www.greennbrown.com/
https://dispetch.com
https://www.healthfood-warehouse.co.za/
https://firstsuit.com
https://www.indne.com/index.php
https://fortismfg.com
https://www.koshurcart.com/
http://musicfromouterspace.com/
https://www.learncbse.in/
http://pigeonsproducts.com/
https://www.lechocolatier.com/
http://www.fataliiseeds.net/
https://www.letsstudytogether.co/
https://dispetch.com/
https://www.linguagemdeinfluencia.com/
https://fortismfg.com/
https://www.manempire.com/
https://synthcube.com
https://www.missionmpsc.com/
https://www.sachii.com.br/
https://www.motherearthproducts.com/
https://thegreenthumbers.com
https://www.ncb.cl/
https://thepartysource.com
https://www.nia-art.com/
https://www.all2gig.com
https://www.oceano.com.do/
https://www.allgeovision.com
https://www.optiodata.com/
https://www.allpelco.com
https://www.polyfurniture.com/
https://www.asianfoodgrocer.com
https://www.primetravels.com/
https://www.dvdporn.com.au
https://www.royaliving.com/
https://www.jasmineusaclothing.com
https://www.sabichi.co.uk/
98
https://www.pigeonsproducts.com http://www.myhummy.no
https://www.sachii.com.br
FakeCDN
https://www.safetyproductswholesale.com
https://www.apexraceparts.com/
https://www.worldtriathlonstore.com
https://www.furnitureexpressions.co.uk/
Illum https://www.lobstergram.com
http://www.perinbaba.sk/ https://www.christiecookies.com/
https://www.security-camera-warehouse.com
CoffeMokko
http://www.perinbaba.sk/
https://1000servers.com
https://www.ernolaszlo.com/
https://2smok.com
https://www.ernolaszlo.com/
https://58surf.com
http://buytropicalife.com/
https://aabworld.com
https://nunshen.com/fr/
https://affordabletool.com
http://buytropicalife.com/
https://airwaterice.com
https://nunshen.com/fr/
https://anayaonline.com
https://www.sevtprerodinu.sk/
https://aussietraveller.com.au
https://www.visiondirect.co.uk/
https://beertees.com
https://www.topdierenshop.nl/
https://blendityourself.com
https://www.tiendalenovo.es/
https://burmabibas.com
https://www.pro-bolt.com/
https://cnkdigital.com
https://www.plae.co/
https://compubizusa.com
https://ottolenghi.co.uk/
https://coupdoc.com
https://www.oldtimecandy.com/
https://edengardens.com.au
https://www.mylook.ee/
https://emistores.com
https://www.luluandsky.com/
https://erecycleronline.com
https://www.julep.com/
https://fetamapatchwork.com
https://www.gymcompany.es/
https://flyingwawards.com
https://grotekadoshop.nl
https://harmanaudio.in
https://www.fushi.co.uk/
http://assets.my-spexx.de/
http://fareastflora.com/
http://aus.xtrons.com/
https://www.compuindia.com/
http://fetamapatchwork.com
http://www.debaitashop.com.br
99
http://fetamapatchwork.com/ https://idsupplies.com.au/
http://old.jekoshop.com/ https://kik.co.uk/
http://www.campersun.com/ https://krainaksiazek.pl
http://www.cecomil.com.br/ https://lamodern.com
http://www.comodo.ro/ https://nationaldiscountvitamins.com
http://www.depozituldecosmetice.ro/ https://no.co/
http://www.hifiheadphones.co.uk/ https://noco-thenococompany.netdna-ssl.com/
http://www.jekoshop.de/ https://ottocap.com/
http://www.jekoshop.fr/ https://pharmacyonweb.co.nz/
http://www.kis-boutique.fr https://saharacase.com/
http://www.kis-boutique.fr/ https://shop.collingwoodfc.com.au/
http://www.knog.com.au/ https://shop.parraeels.com.au/
http://www.labbe.de/ https://shop.pneudart.com
http://www.labohemecafe.cz https://shop.rnib.org.uk/
http://www.marathon-sport.it/ https://shop.vossen.com
http://www.my-spexx.de/ https://store.amazinghealth.com
http://www.onlinebooksstore.in/ https://tirecovers.com
http://www.serverhome.nl/ https://uae.danubehome.com/
http://www.showroomvip.com/ https://www.acacialabel.com
http://www.videoguys.com/ https://www.adorebeauty.com.au/
http://xtrons.co.uk/ https://www.airbrushmakeup.com
http://xtrons.com/ https://www.annunci69.it/
https://2smok.com/ https://www.becksteiner-winzer.de
https://angel-secret.com https://www.betersport.nl/
https://aus.xtrons.com/ https://www.biershop-baden-wuerttemberg.de/
https://battery-force.co.uk/ https://www.biershop-bayern.de/
https://broadfield.com/ https://www.blackriverimaging.com/
https://buyfauxstone.com https://www.bliv.com/
https://editoracontexto.com.br/ https://www.bollywoodkart.com/
https://eng.fitmax.it/ https://www.bombershop.com.au/
https://give.microbit.org/ https://www.cat-shop.ch
100
https://www.cauchosya.com/ https://www.hardwarecity.nl
https://www.chamaripashoes.com/ https://www.hardwarecity.nl/
https://www.childsplayclothing.co.uk/ https://www.harmanaudio.in/
https://www.clearance-king.co.uk/ https://www.hifiheadphones.co.uk/
https://www.closetlondon.com/ https://www.hopfenschale.de/
https://www.countrybaskets.co.uk https://www.hotleathers.com
https://www.cypressbooks.com https://www.irepare.com
https://www.daedo.com https://www.iscsport.com/
https://www.daedo.com/ https://www.isx.ca
https://www.davidsfootwear.com/en/ https://www.jabonariumshop.com/
https://www.direnza.co.uk/ https://www.japspeed.co.uk
https://www.dobell.co.uk/ https://www.japspeed.co.uk/
https://www.dollamur.com/ https://www.jejoue.com/
https://www.dormando.de/ https://www.jekoshop.com/
https://www.downetc.com https://www.juicejunkies.be
https://www.elegrina.es/ https://www.kitchenstuff.com
https://www.elegrina.gr/ https://www.kitronik.co.uk/
https://www.elegrina.pl/ https://www.knog.com.au
https://www.exileaudio.com/store/ https://www.labsource.com/
https://www.felix-matras.nl/ https://www.lamoodbighats.com/
https://www.felix-matratze.de/ https://www.langatun.ch
https://www.finewineshop.com https://www.lensesforless.com
https://www.flashrouters.com/ https://www.lifeinteriors.com.au/
https://www.fluesupplies.com https://www.lifespanfitness.com/
https://www.freshlabelz.nl https://www.lindybop.co.uk
https://www.freshlabelz.nl/ https://www.lovelize.com/
https://www.genevievelethu.com https://www.manzara.ro/
https://www.genevievelethu.com/ https://www.manzara.si/
https://www.greatfurnituretradingco.co.uk/ https://www.maroonsshop.com/
https://www.greendotdot.com https://www.maxtondesign.co.uk
https://www.grupovgl.com/ https://www.miasuite.it/
101
https://www.misshaus.com/ https://www.storageshedsoutlet.com/
https://www.molifthoistsandparts.co.uk https://www.sunsvision.com
https://www.my-spexx.de/ https://www.tandem-sante.com
https://www.nahodsa.sk https://www.tandem-sante.com/
https://www.nallucollection.com https://www.thefridgefiltershop.com
https://www.narbonneaccessoires.fr/ https://www.thegardenvillage.co.uk
https://www.nililotan.com/ https://www.ultracyclingshop.com
https://www.nordicmotorcenter.se/ https://www.vegware.com
https://www.oakandfort.com/ https://www.viceroyappliancespares.co.uk
https://www.ocdskateshop.com.au/ https://www.videoguys.com/
https://www.onlinebooksstore.in/ https://www.walletgear.com/
https://www.onlinetattoowholesale.com https://www.yolenis.com
https://www.packaginggb.co.uk https://xtrons.co.uk/
https://www.pageinsider.org/ https://xtrons.com/
https://www.petcenter.cz/ https://zestproducts.co.nz
https://www.petcenter.sk/ https://idsupplies.com.au
https://www.pexsuperstore.com https://ispeeches.com
https://www.pixelmarket.net/ https://jejoue.com
https://www.plasterers1stopshop.co.uk http://kermanigbakery.com
https://www.pmtonline.co.uk/ https://locksmithstore.com
https://www.polymer80.com/ https://m.curediva.com
https://www.pool-discount.at https://m.ispeeches.com
https://www.remaluxe.com https://melindamaria.com
https://www.rhondashear.com https://mtmstore.hr
https://www.riegele-shop.de/ https://mundodafa.com
https://www.savemyface.com https://niftyconcept.com
https://www.schoenramer-shop.de/ https://powerrideoutlet.com
https://www.schrijfwinkel.com/ https://presentsimple.co.il
https://www.siamflorist.com https://saharacase.com
https://www.soulstarclothing.com https://secure.compperformance.com
https://www.stix-office.at https://shop.aero-sense.com
102
https://shop.lombardiadrinks.com https://www.depozituldecosmetice.ro
https://store.leedsrugby.com https://www.direnza.co.uk
https://toolzunlimited.com https://www.dollamur.com
https://venum.com.br https://www.ebulb.com
https://www.achillesfpv.com https://www.elpalaciodehierro.com
https://www.acresusa.com https://www.endurapartsstore.com
https://www.arizonadiamonddistrict.com https://www.everfilters.com
https://www.atoodeal.com https://www.exileaudio.com
https://www.babyhaven.com https://www.fastarshop.nl
https://www.beekwilder.com https://www.fightclubstore.com
https://www.bigmusicshop.com.au https://www.fusion-paddle.fr
https://www.bliv.com https://www.gensace.de
https://www.blodgett-parts.com https://www.ggbongs.com
https://www.bollywoodkart.com https://www.gilliclothing.com
https://www.boozingear.com https://www.globalbullionsuppliers.com
https://www.briefmarken-sieger.at https://www.gnoce.com
https://www.briefmarken-sieger.de https://www.greatearth.com
https://www.briefmarken-sieger.li https://www.heatingspares247.com
https://www.campiamoda.com https://www.helidirect.com
https://www.caremax.com.au https://www.herbauk.co.uk
https://www.carolinekuchkarian.com.br https://www.hideflifestyle.com
https://www.casterdepot.com https://www.horusrc.com
https://www.caterbox.co.uk https://www.huntdowngears.com
https://www.cecomil.com.br https://www.intuinen.nl
https://www.chinalacewig.com https://www.jademine.com
https://www.clearance-king.co.uk https://www.jejoue.com
https://www.coffeetime.com.br https://www.jetpro.com
https://www.coolercleanse.com https://www.jomso.com
https://www.cpapusa.com https://www.juicer-sectionizer-parts.com
https://www.cupidonlingerie.fr https://www.jump4fun.fr
https://www.curediva.com https://www.kimon.gr
103
https://www.kis-boutique.fr https://www.storageshedsoutlet.com
https://www.labohemecafe.cz https://www.tciauto.com
https://www.labohemecafe.eu https://www.trip-dist.com
https://www.ledsky.be https://www.triple-ecig.com
https://www.luminus-leds.be https://www.turtlecase.com
https://www.makitagear.com https://www.vapir.com
http://www.metaplay.com https://www.venusbeauty.com.sg
https://www.milkywayshop.it https://www.verisana.com
https://www.mruncit.com https://www.viennaconcert-tickets.com
https://www.muenzen-sieger.de https://www.visdealshop.nl
https://www.mundodeljoyero.com https://www.yoyomelody.com
https://www.musicworldbrilon.de
ReactGet
https://www.nordicmotorcenter.se
https://aldenmillhouse.com
https://www.nuvasivegear.com
https://allusaclothing.com
https://www.pacoesportes.com
https://apinkprincess.com
https://www.pharmacytomydoor.co.uk
https://bargainjunkie.com
https://www.podaraci.bg
https://bbqgaskets.com
https://www.regalosparasorprender.es
https://bloomkonnect.com
https://www.royalnatural.ca
https://ca-cycleworks.com
https://www.sakhifashions.co.uk
https://cc.bingj.com
https://www.sakhifashions.com
http://yogasmoga.com
https://www.sakhifashions.in
https://roommatesdecor.com
https://www.saldomar.com.br
https://customwovenlabels.com
https://www.schrijfwinkel.com
https://displaysolution.ca
https://www.sebrasports.com
https://es.utsource.net
https://www.serverhome.nl
https://everydaycashmere.com
https://www.servusapotheke.at
https://futuresfins.com
http://www.showroomvip.com
https://gearexpress.com
https://www.sicomputers.nl
https://geissele.com
https://www.simplepaddle.com
https://gorilafitness.com
https://www.socameradigital.com.br
https://hamcity.com
104
https://hampersandco.com https://www.ada-inc.com
https://hifonics.com https://www.aggielandoutfitters.com
https://jwasadmin.johnnywas.com https://www.argco.com
https://kor.utsource.net https://www.asianfoodgrocer.com
https://lablancaswim.com https://www.autorimshop.com
https://melindamaria.com https://www.bestglide.com
https://mhpvitamins.com https://www.bmw-motorrad-bohling.com
https://mim-pi.com https://www.bowlifi.com
https://nebology.com https://www.cavhooah.com
https://outdoorsportingproducts.com https://www.centurydiamonds.com
https://ph.utsource.net https://www.cheapcpapsupplies.com
https://pt.utsource.net https://www.chemexcoffeemaker.com
https://raffinalla.ca https://www.choccywoccydoodah.com
https://sg.utsource.net https://www.christopherward.co.uk
https://sheabutter.com https://www.christopherward.com
https://shop.pneudart.com https://www.christopherward.eu
https://shopbedding.com https://www.chromebattery.com
https://sinalite.com https://www.cigarhumidors-online.com
https://sothebyshome.com https://www.cookunity.com
https://store.stylebooks.com https://www.cookunity.us
https://subterraneanpress.com https://www.cushionconnection.com
https://themotley.com http://www.dallas-foam.com
https://topvitamindiscount.com https://www.donnabeleza.com.br
https://udsparts.com https://www.easybathrooms.com
https://zopim.com https://www.evelynfaye.com.au
https://val-u-care.com https://www.ezprogear.com
https://viyet.com https://www.foundationarmor.com
https://www.1stclasshumidors.com https://www.gearexpress.com
https://www.3dlasergifts.com https://www.geocolouredlenses.com
https://www.abdulwahed.com https://www.gopetclub.com
https://www.acresusa.com https://www.greatwesternwine.co.uk
105
https://www.gusset.com https://www.sierranevadagiftshop.com
https://www.herbfarmacy.com https://www.simonjersey.com
https://www.houseofswim.com https://www.speranzaonline.com
https://www.johnnywas.com https://www.stanfields.com
https://www.lablancaswim.com https://www.stealthbelt.com
https://www.lifegear.com https://www.stepstoliteracy.com
https://www.livingitup.co.uk https://www.stovegaskets.com
https://www.livingitupsalon.co.uk https://www.superdenim.com
https://www.luxdeco.com https://www.sydneysalonsupplies.com.au
https://www.matthiasmedia.com https://www.teddyblake.com
https://www.mightyskins.com https://www.tonbobio.com
https://www.monodsports.com https://www.turtlecase.com
https://www.moto24.co.uk https://www.utsource.net
https://www.moto24.de https://www.witrigs.com
https://www.moto24.es https://www.wolfautoparts.com
https://www.moto24.fr https://www.wolfes.com
https://www.moto24.it https://www.yeswellness.com
https://www.moto24.org https://www.zteusa.com
https://balletbeautiful.com https://yourbabycanlearn.com
https://www.noseodavi.com http://ada-inc.com/
https://www.projectblitz.com http://cookandloveshoes.com/
https://www.prokituk.com http://crankandstroker.com/
https://www.raineyscloset.com http://ministrygrounds.com.au/
https://www.ramybrook.com http://raffinalla.ca/
https://www.russellandchapple.co.uk http://simonjersey.resultspage.com/
https://www.saffronpharmacy.com http://truefoodsmarket.com/
https://www.schoollockers.com http://www.affuniforms.com/
https://www.scooterwest.com http://www.artonglobes.com/
https://www.sh-womenstore.com http://www.autorimshop.com/
https://www.shelterdist.com http://www.canadamats.ca/
https://www.shopbedding.com http://www.cobocycling.com/
106
http://www.crazyhobbies.com.au/ https://www.bmw-motorrad-bohling.com/
http://www.customshop.com/ https://www.chemexcoffeemaker.com/
http://www.detours.us/ https://www.choccywoccydoodah.com/
http://www.energyconscious.com/ https://www.chocoliciousny.com/
http://www.fueltankparts.com/ https://www.dessertlady.ca/
http://www.hqrp.com/ https://www.epiccrowdcontrol.com/
http://www.jrosspub.com/ https://www.firesidechimneysupply.com/
http://www.kissandmakeupny.com/ https://www.foundationarmor.com/
http://www.macronsafety.com/ https://www.gearboxsports.com/
http://www.monkeyswag.com/ https://www.herbfarmacy.com/
http://www.organickingdom.com/ https://www.justjeeps.com/
http://www.schnellautosports.com/ https://www.kegnbottle.com/
http://www.seattlesportsco.com/ https://www.lablancaswim.com/
http://www.sharkleathers.com.au/ https://www.launchingsuccess.com/
http://www.silhouettone.us/ https://www.lifegear.com/
http://www.stepstoliteracy.com/ https://www.lilylolo.us/
http://www.torchstar.us/ https://www.magichaircompany.com/
https://allusaclothing.com/ https://www.mightyskins.com/
https://bibelotshops.com/ https://www.monodsports.com/
https://de.chantelle.com/de/ https://www.moto24.de/
https://displaysolution.ca/ https://www.moto24.fr/
https://fashion.payporte.com/ https://www.pipettes.com/
https://flyingwings.co.uk/ https://www.punkstuff.com/
https://geissele.com/ https://www.realhawaiianice.com/
https://gliptone.com/ https://www.richardsonathletics.com/
https://lkcsupplies.com/ https://www.scaliagroup.net/
https://mbs-standoffs.com/ https://www.scooterwest.com/
https://melindamaria.com/ https://www.speranzaonline.com/
https://robertasgardens.net/ https://www.stealthbelt.com/
https://theraderm.net/ https://www.sydneysalonsupplies.com.au/
https://www.aggielandoutfitters.com/ https://www.technogym.ru/
107
https://www.teddyblake.com/ http://www.thirdcoastsoccer.net/
https://www.themakogroup.com/ https://wellnessbriefs.com/
https://www.travisfamilyfarm.com/ https://www.communitygardenshop.com/
https://www.trishnewbery.com/
https://www.turtlecase.com/
https://www.unravelindia.com/
https://www.wistexllc.com/
https://www.witrigs.com/
https://www.yeswellness.com/
G-Analytics
http://valleygaming.com/
http://www.qualityreplicamall.com/
http://store.pqlabs.com/
https://store.livescribe.com/
http://www.royalcaribbeanbeddingcollection.com
http://www.surefire.com/
https://www.stairservice.com/
http://us.acon24.com
http://gearwrench.com/
https://www.visiondirect.co.uk/
https://www.visiondirect.es/
https://www.groworganic.com/
https://www.energymuse.com/
https://www.curediva.com/
http://www.hsnstore.com
http://www.totalphase.com
Qoogle
https://www.solutiontree.com/
http://www.plumbingoverstock.com/
https://www.amoktime.com/
108

Анализ Семейства Js Сниферов Gib 2019

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Анализ Семейства Js Сниферов Gib 2019

Загружено:

Авторское право:

Доступные форматы

МАРТ 2019

Как работают снифферы 7

Атаки через поставщиков 10

Сниффер как сервис 13

Масштабы заражений и жертвы 13

Рекомендации для пострадавших сторон 15

Детальные описания каждого семейства  16

Поставщики снифферов как сервиса  63

Список зараженных сайтов  66

Андеграундный рынок продажи и аренды вредоносного программного обеспе-

Во всех описываемых случаях злоумышленники

Специалисты направления Threat Intelligence Group-IB постоянно фиксируют

ботанных под определенные CMS. Принимая во внимание растущие объемы

В этом отчете эксперты Group-IB раскрывают неизвестные ранее семейства

В партнерстве с компанией Flashpoint аналити-

Каждое семейство обладает уникальными признаками и, скорее всего, управ-

Исследование продолжается: описания проанализированных снифферов по-

TokenLogin Март 2016 Illum Конец 2016 MagentoName Декабрь 2017

TokenMSN Середина 2016 WebRank Конец 2016 ImageID Конец 2017

G-Analytics Сентябрь 2016 ReactGet Июнь 2017 GetBilling Начало 2018

PreMage Ноябрь 2016 PostEval Середина 2017 Qoogle Апрель 2018

FakeCDN Ноябрь 2016 CoffeMokko Сентябрь 2017 GMO Май 2018

Актуальность проблемы определяется потенциально огромной аудиторией

•• компрометация данных •• репутационный ущерб, отток

•• возмещение ущерба клиентам

ПЛАТЕЖНАЯ СИСТЕМА ИЛИ БАНК-ЭМИТЕНТ КАРТЫ

•• возмещение ущерба клиентам

•• Классификация снифферов - эксперты описали универсальные и специа-

•• Факты взаимосвязи между семействами и признаки «конкурентной борьбы» -

•• Классические и новые схемы использования снифферов - использо- 12

•• Общее количество зараженных снифферами сайтов с подтвержденной

Как работают снифферы

•• Вариант 1 — получение логина и пароля к административной панели с

•• Вариант 2 — поиск уязвимых сайтов (эксплоиты популярных CMS, известные

•• Вариант 3 — покупка доступа к сайту у другой группы злоумышленников.

2 шаг: получение сниффера

•• Вариант 1 — собственная разработка;

•• Вариант 2 — покупка/аренда готового варианта на андеграундном форуме.

3 шаг: установка сниффера

установленный через панель управления или веб-шелл сниффер соби-

•• добавление в легитимную библиотеку скриптов;

•• механизм приостановки активности сниффера в момент использования

•• Вариант 1 - продажа данных кардерам и получение от $1 до $5

•• Вариант 2 - оплата чужими банковскими картами товаров,

Собранные платежные данные и персональную информа-

панель расположена на том же хосте, что и гейт для сбора

Конечный сервер злоумышленников, предназначенный для отслеживания

Схема работы сниффера

1) Эксплуатация уязвимостей CMS

Вредоносный код может внедряться в код сайтов онлайн-магазинов при по-

•• Загрузка веб-шелла на сайт при помощи эксплуатации уязвимости с последующей

•• внедрение кода сниффера при помощи эксплуатации уязвимости, позволяющей

Статистика CMS, используемых на зараженных сайтах

2) Взлом административной панели сайта

Сниффер может быть установлен путем получения доступа в административ-

•• использование стилеров — программ, позволяющих извлекать пароли, сохраненные

•• использование вредоносных программ для перехвата вводимых данных (в том числе

•• брутфорс - метод перебора паролей

3) Взлом сторонних сервисов

Сниффер может попасть на сайт через взлом сторонних сервисов, скрипты

•• внедрение вредоносного кода через код скриптов сайтов, предоставляющих услуги

•• взлом аккаунтов CDN-сервисов с возможностью модификации скриптов, подгружа-

Атаки через поставщиков

Такая техника доставки также делает возможным вытеснение конкурирующих

Детальные описания каждого семейства 16

Поставщики снифферов как сервиса 63

Список зараженных сайтов 66