ГлавнаябезопасностьСкиммер Грелос показывает сложность обнаружения атак Magecart

Скиммер Грелос показывает сложность обнаружения атак Magecart

Открытие нового варианта скиммера - Грелоса - раскрывает трудности, связанные с поиском различных кампаний Magecart.

В среду исследователи RiskIQ описали, как новый скиммер Grelos показал «повышенное перекрытие» в инфраструктуре и командах Magecart, причем это вредоносное ПО - вместе с другими формами скиммера - теперь размещается в инфраструктуре домена, используемой многими группы или связанные через подписки WHOIS, известные кампании электронной рыбалки (фишинг) и разработка других вредоносных программ, создающих «ассоциации», которые может быть трудно разделить.

Скиммер Magecart

Magecart - это термин, используемый для описания кражи информации и кампаний по угрозам с агентами, специализирующимися на краже данных платежных карт с сайтов электронной коммерции.

Несколько лет назад такие известные бренды, как British Airways и Ticketmaster стали первыми крупными жертвами этой формы нападения, и с тех пор бесчисленное количество сайты стали жертвой той же техники.

Новый вариант скиммера Grelos, вредоносного ПО, которое существует по крайней мере с 2015 года и относится к группам Magecart 1 и 2, выглядит как отдельный штамм, описанный исследователем @AffableKraut в июле. Этот вариант представляет собой скиммер на основе WebSocket, который использует base64 для их скрытия. деятельность из.

«Мы полагаем, что этот скиммер не имеет прямого отношения к деятельности Группы 1-2 в 2015-16 годах, но вместо этого является повторение один из их кодов », - говорит RiskIQ. «Эта версия скиммера имеет« ступень загрузчика »и« ступень скиммера »- обе имеют пятикратное кодирование base64».

После атаки Magecart на Boom! Mobile, RiskIQ расследовала атаку, в которой команда Fullz House злонамеренно взяла на себя ответственность JavaScript провайдеру мобильной сети, чтобы «обслужить» данные клиентов.

Домены, использованные в этой кибератаке, привели команду к файлам cookie и связанным с ними скиммерам, включая facebookapimanager [.] Com и googleapimanager [.] Com.

Однако вместо того, чтобы найти Скиммер Fullz House, исследователи обнаружили новый вариант скиммера, Grelos. Этот штамм имеет аналогичный этап загрузчика с кодировкой base64, но имеет только один уровень кодирования, дублирует теги скрипта, орфографические ошибки и включает словарь "перевод", который содержит фразы, используемые в поддельных формах оплата создано вредоносным ПО. Веб-сокеты по-прежнему используются для кражи данных.

В последние годы RiskIQ заметил несколько новых вариаций скиммеров, связанных с Magecart. Компания заявляет, что скиммер Fullz House был выбран другими хакерские группы, даже используя часть той же инфраструктуры - например, хостинг-провайдеров - для размещения других скиммеров, включая Grelos, который также использует IP-адреса для скиммера Inter.

Это, в свою очередь, создает «непрозрачность» в отслеживании действий отдельных команд Magecart, многие из которых активно запускают новые атаки на компании. Электронная торговля на ежедневной основе.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.
spot_img

ЖИВЫЕ НОВОСТИ