Pada bulan Agustus 2020, Group-IB menerbitkan laporan “UltraRank: twist tak terduga dari ancaman 3 rangkap JS-sniffer”. Laporan tersebut menggambarkan operasi kelompok penjahat dunia maya UltraRank, yang dalam lima tahun aktivitasnya telah berhasil menyerang 691 toko eCommerce dan 13 penyedia layanan situs web.
Pada November 2020, pakar Grup-IB menemukan gelombang baru serangan UltraRank. Meskipun serangan baru terdeteksi pada saat itu, sebagian dari infrastruktur grup tetap aktif dan beberapa situs masih terinfeksi. Penjahat dunia maya tidak menggunakan domain yang ada untuk serangan baru tetapi beralih ke infrastruktur baru untuk menyimpan kode berbahaya dan mengumpulkan data pembayaran yang dicegat.
Sebagai bagian dari kampanye baru UltraRank, tim Group-IB Threat Intelligence dan Attribution menemukan 12 situs web eCommerce yang terinfeksi dengan JavaScript-sniffer. Delapan dari mereka tetap terinfeksi pada saat publikasi. Group-IB telah mengirimkan pemberitahuan ke situs web yang terinfeksi.
Kali ini kode sniffer JS dikaburkan menggunakan obfuscation Radix. Pola kebingungan ini telah digunakan hanya oleh beberapa kelompok penjahat dunia maya, salah satunya adalah kelompok UltraRank. Setelah menyederhanakan kode, Grup-IB menemukan bahwa serangan tersebut menggunakan sniffer dari keluarga SnifLite, yang sudah diketahui oleh para ahli Grup-IB dan digunakan oleh aktor ancaman UltraRank. Karena jumlah situs web yang terinfeksi relatif kecil, penyerang kemungkinan besar menggunakan kredensial di panel administratif CMS, yang, pada gilirannya, dapat disusupi menggunakan malware atau sebagai akibat dari serangan brute force.
Selama rangkaian serangan terbaru mereka, UltraRank menyimpan kode berbahaya mereka di situs web yang meniru domain Google Tag Manager yang sah. Analisis infrastruktur aktor ancaman mengungkapkan bahwa server utama dihosting oleh Media Land LLC, yang terhubung dengan perusahaan hosting antipeluru.
sumber : UltraRank
