I ricercatori di sicurezza di RiskIQ hanno recentemente rilasciato un'analisi dettagliata dello skimmer MobileInter, che è “una versione modificata e ampliata del codice skimmer dell'Inter Inter,” interamente incentrato sugli utenti mobili.
"Con quasi tre dollari spesi online su quattro effettuati tramite un dispositivo mobile, non c'è da stupirsi Operatori Magecart stanno cercando di mirare a questo panorama redditizio,”Dice il rapporto. Per determinare la funzionalità di MobileInter e i collegamenti ad altre attività skimmer, il team di RiskIQ ha eseguito un analisi dettagliata.
Uno skimmer solo per dispositivi mobili: MobileInter
Poiché MobileInter si rivolge interamente agli utenti di dispositivi mobili, il malware effettua vari controlli per determinare il tipo di dispositivo.
- Primo, esegue un controllo regex sulla posizione della finestra per determinare se si trova su una pagina di pagamento.
- Un controllo delle espressioni regolari determina anche se l'userAgent dell'utente è impostato su uno dei diversi browser mobili, come iPhone.
- Lo skimmer controlla anche le dimensioni della finestra del browser per vedere se sono una dimensione prevista per un browser mobile.
Una volta conclusi i controlli, il malware di scrematura procede per eseguire la scrematura e l'esfiltrazione dei dati utilizzando altre funzionalità. Per evitare il rilevamento, gli autori del malware hanno chiamato i processi come servizi legittimi.
"Per esempio, 'rumbleSpeed','una funzione che determina la frequenza con cui viene tentata la funzione di estrazione dei dati, è pensato per fondersi con il plugin jRumble per jQuery, quale “rimbombi” elementi di una pagina web per attirare l'attenzione dell'utente,"RiskIQ ha detto.
È anche degno di nota il fatto che lo skimmer MobileInter utilizzi altri metodi per nascondere le sue operazioni. Uno di questi metodi è mascherare i suoi domini come servizi legittimi. Apparentemente, L'elenco dei domini di MobileInter è piuttosto lungo e include nomi che imitano Alibaba, Amazon, e jQuery. Tuttavia, il suo obiettivo più recente è imitare i servizi di Google. "Entrambi gli URL di estrazione utilizzati dallo skimmer imitano Google, con l'URL WebSocket mascherato da Google Tag Manager,"Osserva il rapporto.
I ricercatori hanno anche osservato una sovrapposizione di infrastrutture con altri gruppi di criminalità informatica. Certo è che MobileInter appartiene a un più ampio, infrastruttura di skimmer condivisa e "hosting a prova di proiettile che serve più altri skimmer e malware". Lo stesso schema è stato osservato anche nelle famiglie di malware skimming come Grelos.
Precedente Skimmer Magecart
Grelos è stato rilasciato a novembre, 2020. Analizzato anche dai ricercatori RiskIQ, questo ceppo comprende un rimaneggiamento del codice originale individuato per la prima volta 2015. Cime di rapa consiste in un caricatore e uno skimmer che utilizza l'offuscamento base64 che nasconde uno skimmer a due stadi. È interessante notare che lo schiumatoio Grelos è in circolazione da 2015, con la sua versione originale associata ai gruppi Magecart 1 e 2, sottolinea il rapporto. Alcuni attori delle minacce continuano a utilizzare alcuni dei domini originali distribuiti per caricare lo skimmer.
Altri skimmer basati su Magecart includono Custode e MakeFrame.