Los investigadores de seguridad de RiskIQ publicaron recientemente un análisis detallado del skimmer de MobileInter, que es “una versión modificada y ampliada del código de skimmer de Inter,"Totalmente centrado en los usuarios de dispositivos móviles.
"Con casi tres de cada cuatro dólares gastados en línea a través de un dispositivo móvil, No es de extrañar Operadores de Magecart están buscando apuntar a este lucrativo paisaje,”Según el informe. Para determinar la funcionalidad de MobileInter y los enlaces a otras actividades de skimmer, el equipo de RiskIQ realizó una análisis detallado.
Un skimmer solo para dispositivos móviles: MobileInter
Como MobileInter se dirige completamente a los usuarios de dispositivos móviles, el malware realiza varias comprobaciones para determinar el tipo de dispositivo.
- Primero, realiza una comprobación de expresiones regulares contra la ubicación de la ventana para determinar si está en una página de pago.
- Una verificación de expresiones regulares también determina si el userAgent del usuario está configurado en uno de varios navegadores móviles., como el iPhone.
- El skimmer también verifica las dimensiones de la ventana del navegador para ver si son del tamaño esperado para un navegador móvil..
Una vez finalizados los controles, el malware de skimming procede a ejecutar su skimming y exfiltración de datos utilizando otras funcionalidades. Para evitar la detección, los autores de malware nombraron los procesos como servicios legítimos.
"Por ejemplo, "RumbleSpeed,"Una función que determina la frecuencia con la que se intenta la función de extracción de datos, está destinado a mezclarse con el complemento jRumble para jQuery, cual “retumba” elementos de una página web para atraer la atención del usuario,"Dijo RiskIQ.
También es de destacar que el skimmer de MobileInter despliega otros métodos para ocultar sus operaciones. Uno de estos métodos es disfrazar sus dominios como servicios legítimos.. Al parecer,, La lista de dominios de MobileInter es bastante larga e incluye nombres que imitan a Alibaba, Amazonas, y jQuery. Sin embargo, su enfoque más reciente es imitar los servicios de Google. "Ambas URL de exfil utilizadas por el skimmer imitan a Google, con la URL de WebSocket enmascarada como Google Tag Manager,”Señaló el informe.
Los investigadores también observaron una superposición de infraestructura con otros grupos de ciberdelincuencia.. Es cierto que MobileInter pertenece a un, infraestructura de skimming compartida y "alojamiento a prueba de balas que da servicio a muchos otros skimmers y malware". El mismo patrón también se ha observado en el rastreo de familias de malware como Grelos..
Skimmers anteriores de Magecart
Grelos fue liberado en noviembre, 2020. También analizado por investigadores de RiskIQ, esta cepa comprende un refrito del código original descubierto por primera vez en 2015. Hojas de nabo consta de un cargador y un skimmer que utiliza una ofuscación base64 que oculta un skimmer de dos etapas. Es de destacar que el skimmer Grelos ha existido desde 2015, con su versión original asociada a Magecart Groups 1 y 2, el informe señala. Algunos actores de amenazas continúan usando algunos de los dominios originales implementados para cargar el skimmer.
Otros skimmers basados en Magecart incluyen Guardián y MakeFrame.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: