Sicherheitsforscher von RiskIQ haben kürzlich eine detaillierte Analyse des MobileInter-Skimmers veröffentlicht, das ist "eine modifizierte und erweiterte Version des Inter-Skimmer-Codes".,” ganz auf mobile Nutzer ausgerichtet.
„Fast drei von vier Dollar, die online über ein mobiles Gerät ausgegeben werden, es ist kein Wunder Magecart-Betreiber suchen nach dieser lukrativen Landschaft,“So der Bericht. Um die Funktionalität von MobileInter und Links zu anderen Skimmer-Aktivitäten zu bestimmen, das RiskIQ-Team führte a Detaillierte Analyse.
Ein Abschäumer nur für Mobilgeräte: MobileInter
Da MobileInter vollständig auf mobile Nutzer abzielt, die Malware führt verschiedene Prüfungen durch, um den Gerätetyp zu bestimmen.
- Erste, Es führt eine Regex-Prüfung gegen die Fensterposition durch, um festzustellen, ob es sich auf einer Checkout-Seite befindet.
- Eine Regex-Prüfung bestimmt auch, ob der userAgent des Benutzers auf einen von mehreren mobilen Browsern eingestellt ist, wie iPhone.
- Der Skimmer überprüft auch die Abmessungen des Browserfensters, um zu sehen, ob es sich um eine Größe handelt, die für einen mobilen Browser erwartet wird.
Sobald die Prüfungen abgeschlossen sind, die Skimming-Malware führt ihre Datenskimming- und Exfiltration mit anderen Funktionalitäten aus. Um nicht entdeckt zu werden, Die Malware-Autoren nannten die Prozesse als legitime Dienste.
"Beispielsweise, 'RumbleSpeed,’ eine Funktion, die bestimmt, wie oft die Datenexfil-Funktion versucht wird, soll sich in das jRumble-Plugin für jQuery einfügen, was “rumpelt” Elemente einer Webseite, um den Benutzerfokus zu ziehen,”Sagte RiskIQ.
Es ist auch bemerkenswert, dass der MobileInter-Skimmer andere Methoden einsetzt, um seine Operationen zu verbergen. Eine dieser Methoden besteht darin, ihre Domänen als legitime Dienste zu tarnen. Offenbar, Die Liste der Domains von MobileInter ist ziemlich lang und enthält Namen, die Alibaba imitieren, Amazonas, und jQuery. Jedoch, Ihr jüngster Schwerpunkt liegt auf der Nachahmung von Google-Diensten. „Beide vom Skimmer verwendete Exfil-URLs imitieren Google, mit der WebSocket-URL, die sich als Google Tag Manager tarnt,”Stellte der Bericht fest.
Die Forscher beobachteten auch eine Überschneidung der Infrastruktur mit anderen Skimming-Gruppen für Cyberkriminalität. Es ist sicher, dass MobileInter zu einem breiteren gehört, geteilte Skimming-Infrastruktur und „kugelsicheres Hosting, das mehrere andere Skimmer und Malware bedient“. Das gleiche Muster wurde auch bei Skimming-Malware-Familien wie Grelos beobachtet.
Vorherige Magecart Skimmer
Grelos wurde im November freigelassen, 2020. Auch von RiskIQ-Forschern analysiert, Dieser Stamm umfasst eine Wiederholung des ursprünglichen Codes, der zuerst entdeckt wurde 2015. Rübengrün besteht aus einem Lader und einem Skimmer, der eine Base64-Verschleierung verwendet, die einen zweistufigen Skimmer verbirgt. Es ist bemerkenswert, dass es den Grelos-Skimmer seitdem gibt 2015, mit seiner Originalversion, die Magecart Groups zugeordnet ist 1 und 2, der Bericht weist darauf hin. Einige Bedrohungsakteure verwenden weiterhin einige der ursprünglichen Domänen, die zum Laden des Skimmers bereitgestellt wurden.
Andere Magecart-basierte Abschäumer umfassen Hüter und MakeFrame.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: