Beveiligingsonderzoekers van RiskIQ hebben onlangs een gedetailleerde analyse vrijgegeven van de MobileInter-skimmer, dat is "een gewijzigde en uitgebreide versie van de Inter skimmer-code",”Volledig gericht op mobiele gebruikers.
“Bijna drie van elke vier dollar die online wordt uitgegeven via een mobiel apparaat, het is geen wonder Magecart-operators willen zich richten op dit lucratieve landschap,”Aldus het rapport. Om de functionaliteit van MobileInter en links naar andere skimmeractiviteiten te bepalen, het RiskIQ-team presteerde een gedetailleerde analyse.
Een alleen-mobiel skimmer: MobielInterieur
Aangezien MobileInter zich volledig richt op mobiele gebruikers, de malware voert verschillende controles uit om het type apparaat te bepalen.
- Eerste, het voert een regex-controle uit op de vensterlocatie om te bepalen of het op een afrekenpagina staat.
- Een regex-controle bepaalt ook of de userAgent van de gebruiker is ingesteld op een van de verschillende mobiele browsers, zoals iPhone.
- De skimmer controleert ook de afmetingen van het browservenster om te zien of deze de grootte hebben die wordt verwacht voor een mobiele browser.
Zodra de controles zijn afgerond, de skimming-malware gaat door met het uitvoeren van zijn skimming en exfiltratie van gegevens met behulp van andere functionaliteiten. Om detectie te vermijden, de malware-auteurs noemden de processen als legitieme services.
"Bijvoorbeeld, 'rumbleSpeed',’ een functie die bepaalt hoe vaak de data exfil-functie wordt geprobeerd, is bedoeld om op te gaan in de jRumble-plug-in voor jQuery, die “rommelt” elementen van een webpagina om de aandacht van de gebruiker te trekken,'Zei RiskIQ.
Het is ook opmerkelijk dat de MobileInter-skimmer andere methoden gebruikt om zijn activiteiten te verbergen. Een van deze methoden is het vermommen van zijn domeinen als legitieme services. Blijkbaar, De lijst met domeinen van MobileInter is vrij lang en bevat namen die Alibaba nabootsen, Amazone, en jQuery. Echter, de meest recente focus is het imiteren van Google-services. "Beide exfil-URL's die door de skimmer worden gebruikt, bootsen Google na, met de WebSocket-URL die zich voordoet als Google Tag Manager,'Merkte het rapport op.
De onderzoekers constateerden ook een infrastructuuroverlap met andere skimmende cybercriminaliteitsgroepen. Het is zeker dat MobileInter tot een bredere, gedeelde skimming-infrastructuur en "bulletproof hosting die meerdere andere skimmers en malware bedient". Hetzelfde patroon is ook waargenomen bij het skimmen van malwarefamilies zoals Grelos.
Vorige Magecart Skimmers
Grelos werd uitgebracht in november, 2020. Ook geanalyseerd door RiskIQ-onderzoekers, deze stam omvat een herhaling van de oorspronkelijke code die voor het eerst werd opgemerkt 2015. Raapstelen bestaat uit een lader en een skimmer die base64-verduistering gebruikt die een tweetraps skimmer verbergt. Het is opmerkelijk dat de Grelos-skimmer er sindsdien is 2015, met de originele versie die is gekoppeld aan Magecart Groups 1 en 2, stelt het rapport. Sommige bedreigingsactoren blijven enkele van de oorspronkelijke domeinen gebruiken die zijn ingezet om de skimmer te laden.
Andere op Magecart gebaseerde skimmers zijn onder meer Keeper en MakeFrame.