Sikkerhedsforskere fra RiskIQ udgav for nylig en detaljeret analyse af MobileInter-skimmeren, som er ”en modificeret og udvidet optagelse af Inter skimmer-kode,”Helt fokuseret på mobilbrugere.
”Med næsten tre ud af hver fire dollars brugt online udført via en mobilenhed, det er ikke underligt Magecart-operatører søger at målrette mod dette lukrative landskab,”Hedder det i rapporten. At bestemme MobileInters funktionalitet og links til andre skimmeraktiviteter, RiskIQ-teamet udførte en detaljeret analyse.
En skimmer, der kun er mobil: MobileInter
Da MobileInter er målrettet mod mobilbrugere, malware udfører forskellige kontroller for at bestemme typen af enhed.
- Første, det udfører en regex-kontrol mod vinduesplaceringen for at afgøre, om den er på en kasseside.
- En regex-kontrol bestemmer også, om brugerens userAgent er indstillet til en af flere mobile browsere, såsom iPhone.
- Skimmeren kontrollerer også browservinduets dimensioner for at se, om de er i en størrelse, der forventes for en mobilbrowser.
Når kontrollen er afsluttet, skimmeprogrammet fortsætter med at udføre dets skimming og exfiltrering af data ved hjælp af andre funktioner. For at undgå at blive opdaget, malware-forfatterne navngav processerne som legitime tjenester.
"For eksempel, 'RumbleSpeed,’En funktion, der bestemmer, hvor ofte data exfil-funktionen forsøges, er beregnet til at blande sig med jRumble-pluginet til jQuery, hvilken “rumler” elementer på en webside for at trække brugerfokus,”Sagde RiskIQ.
Det er også bemærkelsesværdigt, at MobileInter-skimmeren anvender andre metoder til at skjule sine operationer. En af disse metoder er at skjule sine domæner som legitime tjenester. Tilsyneladende, MobileInters liste over domæner er ret lang og inkluderer navne, der efterligner Alibaba, Amazon, og jQuery. Men, dets seneste fokus er at efterligne Google-tjenester. “Begge exfil-webadresser, der bruges af skimmeren, efterligner Google, med WebSocket URL, der maskerer sig som Google Tag Manager,”Bemærkede rapporten.
Forskerne observerede også, at en infrastruktur overlapper hinanden med andre skummet cyberkriminalitetsgrupper. Det er sikkert, at MobileInter tilhører en bredere, delt skimminginfrastruktur og "skudsikker hosting, der servicerer flere andre skimmere og malware." Det samme mønster er også blevet observeret i skimming malware-familier som Grelos.
Tidligere Magecart Skimmere
Grelos blev frigivet i november, 2020. Også analyseret af RiskIQ forskere, denne stamme omfatter en genvask af den oprindelige kode, der først blev set i 2015. Majroer består af en læsser og en skimmer, der bruger base64-forvirring, der skjuler en to-trins skimmer. Det er bemærkelsesværdigt, at Grelos-skimmeren har eksisteret siden 2015, med sin oprindelige version tilknyttet Magecart Groups 1 og 2, rapporten påpeger. Nogle trusselsaktører fortsætter med at bruge nogle af de oprindelige domæner, der er brugt til at indlæse skimmeren.
Andre Magecart-baserede skimmere inkluderer Holder og MakeFrame.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: