De wintervakantie staat voor de deur, en dat geldt ook voor nieuwe skimming-malware. Cybercriminelen hebben onlangs campagnes uitgebracht om de Grelos-malware te verspreiden, een veel voorkomende Magecart-variant.
Geanalyseerd door RiskIQ-onderzoekers, deze stam omvat een herhaling van de oorspronkelijke code die voor het eerst werd opgemerkt 2015. Grelos bestaat uit een lader en een skimmer die base64-obfuscatie gebruikt die een tweetraps skimmer verbergt.
De Grelos Skimmer in detail
In feite, de Grelos skimmer bestaat sindsdien 2015, met de originele versie die is gekoppeld aan Magecart Groups 1 en 2, stelt het rapport. Het is opmerkelijk dat sommige bedreigingsactoren enkele van de oorspronkelijke domeinen blijven gebruiken die zijn ingezet om de skimmer te laden. Maar hoe kwam het onderzoeksteam deze nieuwste variant tegen??
Het team kwam een uniek koekje tegen dat hen verbond met een recente variant van de skimmer. Blijkbaar, de skimmer heeft een nieuwere versie die een nepbetalingsformulier gebruikte om betalingsgegevens te stelen. Helaas, Tientallen sites zijn al gecompromitteerd.
“In veel recente Magecart-compromissen, we hebben toenemende overlappingen gezien in de infrastructuur die wordt gebruikt om verschillende skimmers te hosten die lijken te worden ingezet door niet-gerelateerde groepen die verschillende technieken en codestructuren gebruiken.,” RiskIQ zegt.
De overlappende infrastructuur omvat ook een hostingprovider die wordt gebruikt door sommige skimming-domeinen. Deze domeinen laden meerdere, niet-verwante skimmers, zoals de Inter skimmer en verschillende versies van Grelos. RiskIQ “zag zelfs domeinen de Inter skimmer en de Grelos skimmer vanaf hetzelfde IP-adres laden.” Het patroon betekent mogelijk dat verschillende skimming-groepen dezelfde infrastructuur gebruiken om de skimming-domeinen te hosten en hostingservices van dezelfde externe provider te kopen..
Online shoppers moeten extra voorzichtig zijn met het skimmen van malware
Beveiligingsonderzoekers waarschuwen voor een toename van skimming-aanvallen naarmate het kerstinkopenseizoen nadert. Dit jaar kan online cadeaus kopen nog gevaarlijker zijn met de huidige Covid-19 pandemie en mensen die thuis worden opgesloten.
“De beste verdediging tegen Magecart is door hun tactieken te volgen en de code te kennen die uw website gebruikt, inclusief code van derden. Het onmiddellijk patchen van kwetsbare systemen kan schade aan uw klanten en, zoals we hebben gezien, een flinke boete,” RiskIQ concludeert.
Veel door Magecart geïnspireerde hackgroepen in het wild
In juli 2020, Hackers van Keeper Magecart hebben met succes ingebroken in backends van online winkels om hun broncode te wijzigen en kwaadaardige scripts in te voegen. De scripts stalen betaalkaartgegevens uit afrekenformulieren. Ruim 570 online winkels zijn de afgelopen drie jaar gehackt.
De Keeper-hackgroep heeft web skimming uitgevoerd, e-skimming, en aanvallen vergelijkbaar met Magecart. Gemini-onderzoekers die de aanvallen analyseerden, noemden de groep Keeper Magecart. De Keeper-naam is afgeleid van het herhaaldelijk gebruik van een enkel domein genaamd fileskeeper[.]org, gebruikt om kwaadwillende kaart-stelende JavaScript in websites van slachtoffers te injecteren’ HTML-code en ontvang geoogste kaartgegevens.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: