Τρίτη, 1 Δεκεμβρίου, 20:41
Αρχική security Το skimmer Grelos δείχνει την δυσκολία εντοπισμού των επιθέσεων Magecart

Το skimmer Grelos δείχνει την δυσκολία εντοπισμού των επιθέσεων Magecart

Η ανακάλυψη μιας νέας παραλλαγής skimmer – το Grelos – αποκαλύπτει τις δυσκολίες που σχετίζονται με τον εντοπισμό διαφόρων καμπανιών της Magecart.

Την Τετάρτη, οι ερευνητές της RiskIQ περιέγραψαν πώς ένα νέο Skimmer Grelos έδειξε ότι υπάρχει “αυξημένη αλληλοκάλυψη” στην υποδομή και τις ομάδες της Magecart, με αυτό το κακόβουλο λογισμικό – μαζί με άλλες μορφές skimmer – να φιλοξενείται τώρα σε υποδομές domain που χρησιμοποιούνται από πολλές ομάδες ή συνδέονται μέσω εγγραφών WHOIS, γνωστών καμπανιών ηλεκτρονικού ψαρέματος (phishing) και της ανάπτυξης άλλων κακόβουλων προγραμμάτων, δημιουργώντας «ενώσεις» που μπορεί να είναι δύσκολο να διαχωριστούν.

Magecart skimmer

Το Magecart είναι ένας όρος που χρησιμοποιείται για να περιγράψει τις εκστρατείες κλοπής πληροφοριών και απειλών με παράγοντες που ειδικεύονται στην κλοπή δεδομένων καρτών πληρωμής από ιστότοπους ηλεκτρονικού εμπορίου.

Πριν από αρκετά χρόνια, γνωστά brand όπως η British Airways και η Ticketmaster έγιναν τα πρώτα μεγάλα θύματα αυτής της μορφής επίθεσης και από τότε, αμέτρητοι ιστότοποι έχουν πέσει θύματα της ίδιας τεχνικής.

Η νέα παραλλαγή του Grelos skimmer, malware που υπάρχει τουλάχιστον από το 2015 και σχετίζεται με τις ομάδες Magecart 1 και 2, μοιάζει με ένα ξεχωριστό στέλεχος που περιγράφηκε από τον ερευνητή @AffableKraut τον Ιούλιο. Αυτή η παραλλαγή είναι ένα skimmer που βασίζεται στο WebSocket και χρησιμοποιεί το base64 για να κρύψει τις δραστηριότητες του.

“Πιστεύουμε ότι αυτό το skimmer δεν σχετίζεται άμεσα με τη δραστηριότητα του Group 1-2 από το 2015-16, αλλά αντ ‘αυτού είναι μια επανάληψη κάποιου από τον κώδικα τους”, λέει η RiskIQ. “Αυτή η έκδοση του skimmer διαθέτει ένα «loader stage» και ένα «skimmer stage» – και τα δύο έχουν πενταπλή κωδικοποίηση base64.”

Μετά από μια επίθεση Magecart στο Boom! Mobile, η RiskIQ εξέτασε την επίθεση, στην οποία η ομάδα Fullz House φόρτωσε κακόβουλο JavaScript στον πάροχο δικτύου κινητής τηλεφωνίας για να “περιμαζέψει” τα δεδομένα των πελατών.

Τα domain που χρησιμοποιήθηκαν σε αυτήν την επίθεση στον κυβερνοχώρο οδήγησαν την ομάδα σε ένα cookie και σε σχετικούς ιστότοπους skimmer, συμπεριλαμβανομένων των facebookapimanager [.] Com και googleapimanager [.] Com.

Ωστόσο, αντί να βρουν το Sκimmer Fullz House, οι ερευνητές ανακάλυψαν μια νέα παραλλαγή skimmer το Grelos. Αυτό το στέλεχος έχει ένα παρόμοιο “loader stage” με κωδικοποίηση base64, αλλά διαθέτει μόνο ένα επίπεδο κωδικοποίησης, διπλότυπα script tags, ορθογραφικά λάθη και περιλαμβάνει ένα λεξικό που ονομάζεται “translate” το οποίο περιέχει φράσεις που χρησιμοποιούνται από ψεύτικες μορφές πληρωμής που δημιουργήθηκαν από το malware. Τα web sockets εξακολουθούν να χρησιμοποιούνται για data exfiltration.

H RiskIQ έχει παρατηρήσει διάφορες νέες παραλλαγές skimmer που σχετίζονται με το Magecart τα τελευταία χρόνια. Η εταιρεία λέει ότι το Fullz House skimmer έχει επιλεγεί και από άλλες ομάδες hacking, αξιοποιώντας ακόμη και ορισμένες από τις ίδιες υποδομές – όπως οι πάροχοι hosting – για να φιλοξενήσει άλλους skimmers, συμπεριλαμβανομένου του Grelos, το οποίο επίσης μοιράζεται IPs με το Inter skimmer.

Αυτό, με τη σειρά του, δημιουργεί ένα “murkiness” όσον αφορά την παρακολούθηση των δραστηριοτήτων ξεχωριστών ομάδων Magecart, πολλές από τις οποίες ξεκινούν ενεργά νέες επιθέσεις εναντίον εταιρειών ηλεκτρονικού εμπορίου σε καθημερινή βάση.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Developers:Day :Digital- Καλύτερες θέσεις εργασίας στις Νέες Τεχνολογίες

Developers:Day :Digital- Καλύτερες θέσεις εργασίας στις Νέες Τεχνολογίες Οι Νέες Τεχνολογίες κερδίζουν έδαφος καθημερινά, ενώ η επιτακτική ανάγκη για απομακρυσμένη εργασία λόγω...

Πώς θα κρατήσετε ασφαλή τον Apple λογαριασμό σας

Ο λογαριασμός Apple ή αλλιώς το Apple ID, είναι απαραίτητος σε κάθε χρήστη καθώς επιτρέπει την πρόσβαση σε διάφορες συσκευές και υπηρεσίες...

Gootkit malware: Επιστρέφει και στοχεύει μαζί με το REvil τη Γερμανία!

Το Gootkit, ένα trojan που κλέβει πληροφορίες από τα συστήματα των θυμάτων του, κάνει την επανεμφάνισή του στο τοπίο των απειλών, ύστερα...

AspenPointe: Ο πάροχος υγειονομικής περίθαλψης των ΗΠΑ υπέστη data breach

Ο πάροχος υγειονομικής περίθαλψης των ΗΠΑ “AspenPointe” ενημέρωσε τους ασθενείς του για data breach που προήλθε από μία κυβερνοεπίθεση του Σεπτεμβρίου, με...

Βερμόντ: Τα νοσοκομεία του ακόμα ανακάμπτουν από την επίθεση του Ryuk ransomware

Τα νοσοκομεία του Βερμόντ συνεχίζουν να ανακάμπτουν από τον Οκτώβριο που υπέστησαν επίθεση από το Ryuk ransomware, επαναφέροντας σιγά-σιγά τις υπηρεσίες τους...

Αύξηση των malware που στοχεύουν Docker συστήματα

Προς το τέλος του 2017, οι ερευνητές ασφαλείας παρατήρησαν μια μεγάλη αλλαγή στις malware επιθέσεις. Καθώς οι τεχνολογίες που βασίζονται στο cloud...

Τέσσερις κορυφαίες ευπάθειες στα σημερινά αυτοκίνητα

Τα αυτοκίνητα στις μέρες μας, διαθέτουν αρκετά τεχνολογικά μέσα. Ακόμα και πριν βάλετε μπροστά το αυτοκίνητό σας, εκείνο επικοινωνεί ενεργά με τον...

WebKit: Ευπάθειες επιτρέπουν εκτέλεση κώδικα μέσω κακόβουλων sites

Σύμφωνα με τους ερευνητές ασφαλείας της Cisco Talos, το WebKit browser engine είναι αυτή τη στιγμή ευάλωτο...

ΗΠΑ: Πρώτες στον κόσμο στις παραβιάσεις δεδομένων

Σύμφωνα με μία αναφορά της Uswitch, οι ΗΠΑ κατέχουν την πρώτη θέση στις παραβιάσεις δεδομένων στον κόσμο, ξεπερνώντας την Κίνα, την Ινδία...

Microsoft: Συνδέει κρατικούς hackers του Βιετνάμ με crypto-mining εκστρατεία

Σύμφωνα με μια έκθεση της Microsoft, μια hacking ομάδα που συνδέεται με τη κυβέρνηση του Βιετνάμ, άρχισε να χρησιμοποιεί ένα crypto-mining malware...