RiskIQのセキュリティ研究者は最近、MobileInterスキマーの詳細な分析を発表しました, これは「Interスキマーコードの修正および拡張されたテイクです,」は完全にモバイルユーザーに焦点を当てています.
「モバイルデバイスを介してオンラインで費やされた4ドルのうち3ドル近くが, 当たり前だ Magecartオペレーター この儲かる風景をターゲットにしようとしています,」レポートは言った. MobileInterの機能と他のスキマーアクティビティへのリンクを確認するには, RiskIQチームは 詳細な分析.
モバイル専用スキマー: MobileInter
MobileInterは完全にモバイルユーザーをターゲットにしているため, マルウェアはさまざまなチェックを実行して、デバイスの種類を判別します.
- 初め, ウィンドウの場所に対して正規表現チェックを実行して、チェックアウトページにあるかどうかを判断します.
- 正規表現チェックは、ユーザーのuserAgentがいくつかのモバイルブラウザの1つに設定されているかどうかも判断します, iPhoneなど.
- スキマーはまた、ブラウザーウィンドウのサイズをチェックして、モバイルブラウザーに期待されるサイズであるかどうかを確認します。.
チェックが完了したら, スキミングマルウェアは、他の機能を使用してデータスキミングと抽出を実行します. 検出を回避するには, マルウェアの作成者は、プロセスを正当なサービスと名付けました.
"例えば, 'rumbleSpeed,'データ抽出機能が試行される頻度を決定する関数, jQuery用のjRumbleプラグインと融合することを目的としています, どれの “ランブル” ユーザーの焦点を引くためのウェブページの要素,」RiskIQは言った.
MobileInterスキマーがその操作を隠すために他のメソッドを展開することも注目に値します. これらの方法の1つは、ドメインを正当なサービスに見せかけることです。. どうやら, MobileInterのドメインリストは非常に長く、Alibabaを模倣した名前が含まれています, アマゾン, およびjQuery. でも, その最新の焦点はGoogleサービスを模倣することです. 「スキマーが使用する両方のexfilURLはGoogleを模倣しています, GoogleTagManagerを装ったWebSocketURLを使用,」と報告書は述べています.
研究者はまた、インフラストラクチャが他のスキミングサイバー犯罪グループと重複していることを観察しました. MobileInterがより広い範囲に属していることは確かです, 共有スキミングインフラストラクチャと「他の複数のスキマーやマルウェアにサービスを提供する防弾ホスティング」。同じパターンは、Grelosなどのスキミングマルウェアファミリーでも観察されています。.
以前のMagecartスキマー
グレロスは11月にリリースされました, 2020. RiskIQの研究者によっても分析された, この株は、最初に発見された元のコードの再ハッシュで構成されています 2015. グレロス ローダーと、2ステージスキマーを非表示にするbase64難読化を使用するスキマーで構成されます. グレロススキマーがそれ以来存在していることは注目に値します 2015, Magecartグループに関連付けられた元のバージョンで 1 と 2, レポートは指摘している. 一部の脅威アクターは、スキマーをロードするために展開された元のドメインの一部を引き続き使用します.
他のMagecartベースのスキマーには次のものがあります キーパー と MakeFrame.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: