I criminali informatici sembrano essere al lavoro su un nuovo modo per rubare i dati delle carte di pagamento. Secondo i ricercatori di sicurezza di IBM, un gruppo di hacker sta attualmente sviluppando script maligni da usare contro di tipo commerciale Strato 7 (L7) router.
Questo sarebbe del tutto cambiare i metodi visti in attacchi di skimming quali Magecart, come fino ad ora il codice maligno usato dagli hacker è stato consegnato a livello sito web tramite file PHP o JavaScript. La modifica della superficie di attacco può essere considerato come un'evoluzione negli attacchi Magecart alimentati.
Prima di tutto, vediamo cosa esattamente un layer 7 router è. Si tratta di un tipo di commerciale, router pesanti tipica per reti di grandi dimensioni, quelli governativi inclusi. La differenza di qualsiasi altro router è che uno strato 7 dispositivo è in grado di manipolare il traffico a livello di applicazione, conosciuto anche come 7 ° livello, del modello di rete OSI. In altre parole, il router in grado di rispondere al traffico non solo secondo l'indirizzo IP, ma anche i biscotti, nomi di dominio, tipi di browser, etc.
Così, cosa hanno fatto i ricercatori IBM scoprono nella loro analisi?
Il team ha identificato attività dannose che hanno attribuito al Magecart 5 gruppo criminale informatico. La ricerca mostra che gli hacker Magecart sono “probabili testare il codice maligno progettato per l'iniezione in file JavaScript benigni caricati dal layer di tipo commerciale 7 router, routersthat sono tipicamente usati per aeroporti, casinò, hotel e resort”. Lo scenario di attacco analizzato rivela che l'attacco contro questo tipo di router può permettere l'iniezione annuncio dannoso così come l'accesso ad altre parti della rete compromessa.
Come sarebbe un attacco contro i router L7 accadere?
Questi attacchi si basano sull'idea che gli aggressori avrebbero sfruttare i router L7 e l'abuso loro caratteristiche di manipolazione del traffico di iniettare scrips dannosi nelle sessioni del browser attiva degli utenti. Infatti, IBM afferma che il gruppo Magecart recentemente iniettato codice dannoso in un modulo di scorrimento open source mobile:
MG5 utilizza in genere JavaScriptandhas probabile iniettato il suo codice in un JSlibrary servita per gli sviluppatori di applicazioni mobili. Tale codice open source è fornito come un libero, MIT licenza designedto strumento di fornire caratteristiche strisciata su dispositivi mobili. Infettando che il codice alla fonte, MG5 può infettare e compromettere tutte le applicazioni che incorporano quel modulo nelle loro Codeand rubare i dati degli utenti che finalmente scaricare le applicazioni trappole esplosive.
Inoltre, i scrips i ricercatori entrato in possesso di sembrava essere creato appositamente per estrarre i dati della carta di pagamento da negozi online, e caricare le informazioni raccolte sia un server Web remoto. E 'curioso notare che gli script sono stati scoperti perché gli aggressori caricati i file sul VirusTotal, che è stato forse fatto per motivi di test per verificare se il codice verrebbe rilevato da antivirus.
IBM ha scoperto 17 tali script, e raggruppati in 5 sezioni sulla loro scopo.
Ricercatori hanno esaminato Regole YARA
I ricercatori hanno in regole YARA (uno strumento che consente un approccio basato su regole per creare le descrizioni delle famiglie di malware basato su modelli testuali o binari) e CIO (indicatore di compromissione) associato al gruppo Magecart 5 attività. Un allarme VirusTotal da una delle regole Yara analizzati inizialmente individuate due campioni di file non-offuscato che erano molto simili ai campioni condivisi nelle analisi precedenti di attività Magecart.
Gli esperti notato che questi due campioni, che condividevano una convenzione di denominazione comune, sono stati identificati come codice JavaScript skimming. La convenzione di denominazione del file ricorrenti, dove il “test4” stringa ripetuta, è venuto anche dalla stessa membro uploading e posizione di origine in Murino, Russia, il rapporto dice.
Che cosa gli utenti possono fare per prevenire questi attacchi?
Sfortunatamente, non c'è molto che un utente può fare per aggirare un attacco al livello del router. L'unica cosa certa è quello di evitare lo shopping nei negozi online sospette o di reti pubbliche, come quelli di alberghi, centri commerciali, e aeroporti. Ciò nonostante, shopping da casa pone anche rischi.
C'è ancora speranza, come ricercatori di sicurezza hanno raccomandato una cosa chiamata una cartolina virtuale. Questo approccio significa che l'utente riceve un numero di carta di uno-di pagamento utilizzato per una transazione solo.
Che cosa è una carta virtuale? Si tratta di una carta di credito prepagata, che permette lo shopping on-line liberamente. La carta virtuale presenta solo un numero e non dispone di un supporto fisico. Con questa carta gli utenti possono contare sulla sicurezza e la tutela dei loro pagamenti online.
Ciò significa che anche se il numero di carta viene utilizzato su un sito web pericoloso, il numero della carta è inutile una volta che la transazione è completata. Lo svantaggio della carta virtuale è che non è ancora ampiamente disponibile per gli utenti di tutto il mondo, e non può essere facile da ottenere uno.
Il cambiamento di tattica di hacker Magecart nelle loro operazioni di scrematura non è così sorprendente, gli attacchi a livello di router non sono invisibili. I router non sicure sono stati presi di mira in molti attacchi, come ad esempio il phishing, cryptomining, e download di malware.
In breve, sicurezza del router non deve essere trascurato. Per mantenere la sicurezza del router, si dovrebbe verificare se il router ha una chiave o no. Se non hai un tasto qualsiasi configurazione del router, allora si può farlo utilizzando la schermata del setup sicurezza wireless che è presente nel router. Ci sono altri suggerimenti per la sicurezza del router che si dovrebbe prendere in considerazione l'applicazione.