Die Winterferien stehen vor der Tür, und so ist neue Skimming-Malware. Cyberkriminelle haben kürzlich Kampagnen veröffentlicht, in denen die Grelos-Malware verbreitet wird, eine übliche Magecart-Variante.
Von RiskIQ-Forschern analysiert, Dieser Stamm umfasst eine Wiederholung des ursprünglichen Codes, der zuerst entdeckt wurde 2015. Grelos besteht aus einem Lader und einem Skimmer, der eine base64-Verschleierung verwendet, die einen zweistufigen Skimmer verbirgt.
Der Grelos Skimmer im Detail
Tatsächlich, Der Grelos Skimmer gibt es seitdem 2015, mit seiner Originalversion, die Magecart Groups zugeordnet ist 1 und 2, der Bericht weist darauf hin. Es ist bemerkenswert, dass einige Bedrohungsakteure weiterhin einige der ursprünglichen Domänen verwenden, die zum Laden des Skimmers bereitgestellt wurden. Aber wie ist das Forschungsteam auf diese neueste Variante gestoßen??
Das Team stieß auf einen einzigartigen Cookie, der sie mit einer neueren Variante des Skimmers verband. Offenbar, Der Skimmer hat eine neuere Version, die ein gefälschtes Zahlungsformular verwendet, um Zahlungsdaten zu stehlen. Leider, Dutzende von Websites wurden bereits kompromittiert.
“In vielen jüngsten Magecart-Kompromissen, Wir haben zunehmende Überschneidungen in der Infrastruktur festgestellt, in der verschiedene Skimmer gehostet werden, die anscheinend von nicht verwandten Gruppen bereitgestellt werden, die verschiedene Techniken und Codestrukturen verwenden.” RiskIQ sagt.
Die überlappende Infrastruktur umfasst auch einen Hosting-Anbieter, der von einigen Skimming-Domains verwendet wird. Diese Domänen laden mehrere, nicht verwandte Skimmer, wie der Inter Skimmer und verschiedene Versionen von Grelos. RiskIQ “Sogar Domains haben den Inter-Skimmer und den Grelos-Skimmer von derselben IP-Adresse geladen.” Das Muster bedeutet möglicherweise, dass mehrere Skimming-Gruppen dieselbe Infrastruktur verwenden, um die Skimming-Domänen zu hosten und Hosting-Dienste von demselben Drittanbieter zu kaufen.
Online-Käufer sollten beim Überfliegen von Malware besonders vorsichtig sein
Sicherheitsforscher warnen vor einer Zunahme von Skimming-Angriffen, da die Weihnachtsgeschäftssaison nahe ist. In diesem Jahr kann das Online-Einkaufen von Geschenken noch gefährlicher sein, da die aktuelle Covid-19-Pandemie und Menschen zu Hause eingesperrt sind.
“Die beste Verteidigung gegen Magecart besteht darin, die Taktik im Auge zu behalten und den Code zu kennen, den Ihre Website ausführt, einschließlich Code von Drittanbietern. Das sofortige Patchen anfälliger Systeme kann Schäden für Ihre Kunden und Kunden verhindern, wie wir gesehen haben, eine hohe Geldstrafe,” RiskIQ kommt zu dem Schluss.
Viele von Magecart inspirierte Hacking-Gruppen in freier Wildbahn
Im Juli 2020, Keeper Magecart-Hacker sind erfolgreich in Online-Shop-Backends eingebrochen um ihren Quellcode zu ändern und schädliche Skripte einzufügen. In den Skripten wurden Zahlungskartendaten aus den Kassenformularen gestohlen. Mehr als 570 Online-Shops wurden in den letzten drei Jahren gehackt.
Die Keeper-Hacking-Gruppe hat Web-Skimming durchgeführt, E-Skimming, und Angriffe ähnlich wie Magecart. Zwillingsforscher, die die Angriffe analysierten, nannten die Gruppe Keeper Magecart. Der Keeper-Name ergibt sich aus der wiederholten Verwendung einer einzelnen Domain namens Fileskeeper[.]org, wird verwendet, um böswilliges JavaScript, das Karten stiehlt, in Websites von Opfern einzufügen’ HTML-Code und erhalten geerntete Kartendaten.