Cybercriminelen lijken te werken aan een nieuwe manier om de betaling card gegevens te stelen. Volgens IBM security onderzoekers, een groep van hackers ontwikkelt op dit moment kwaadaardige scripts om te gebruiken tegen commercial-grade Layer 7 (L7) routers.
Dit zou volledig de werkwijzen gezien in skimming aanvallen als Magecart veranderen, zoals tot nu toe het kwaadaardige code wordt gebruikt door hackers werd geleverd op de website van niveau via JavaScript of PHP-bestanden. Het veranderen van de aanval oppervlak kan worden beschouwd als een evolutie in Magecart aangedreven aanvallen.
Allereerst, laten we eens kijken wat er precies een Layer 7 router is. Het is een vorm van commerciële, heavy-duty router typisch is voor grote netwerken, overheid degenen opgenomen. Het verschil met andere router is dat een laag 7 apparaat kan manipuleren verkeer op applicatieniveau, ook bekend als 7 level, van het OSI netwerkmodel. Met andere woorden, de router kan reageren op het verkeer niet alleen op basis van het IP-adres, maar ook cookies, domeinnamen, types browser, etc.
Dus, wat deed IBM onderzoekers ontdekken in hun analyse?
Het team heeft geïdentificeerd kwaadaardige activiteiten die zij toegeschreven aan het Magecart 5 cybercrimineel groep. Het onderzoek toont aan dat de Magecart hackers zijn “waarschijnlijk het testen van kwaadaardige code ontworpen voor injectie in goedaardige JavaScript-bestanden geladen commerciële kwaliteit Layer 7 routers, routersthat worden doorgaans gebruikt door de luchthavens, casino's, hotels en resorts”. De geanalyseerde aanval blijkt dat de aanslag tegen dit soort routers kwaadaardige ad injectie en toegang kan toestaan naar andere delen van het netwerk gecompromitteerde.
Hoe zou een aanval tegen L7 routers gebeuren?
Deze aanvallen zijn gebaseerd op het idee dat de aanvallers zou L7 routers benutten en misbruik maken van hun verkeer manipulatie kenmerken om kwaadaardige scrips te injecteren in de actieve browsersessies van gebruikers. In feite, IBM zegt dat de Magecart groep onlangs geïnjecteerd kwaadaardige code in een open source mobiele slider module:
MG5 gebruikt doorgaans JavaScriptandhas waarschijnlijk geïnjecteerd haar code in een JSlibrary diende om mobiele app-ontwikkelaars. Dat open source code wordt geleverd als een gratis, MIT licentie hulpmiddel designedto bieden vegen functies op mobiele apparaten. Door het infecteren van de code aan de bron, MG5 kunnen infecteren en in gevaar brengen van alle apps die die module te integreren in hun blokkenkeuze stelen gegevens van gebruikers die uiteindelijk de booby-traps apps downloaden.
Bovendien, de scrips de onderzoekers pakte bleek specifiek worden gecreëerd om creditcardgegevens van online winkels te halen, en upload geoogst aan een externe webserver. Het is merkwaardig om op te merken dat de scripts werden ontdekt, omdat de aanvallers de bestanden op VirusTotal geupload, die misschien werd gedaan voor het testen van redenen om te zien of de code zou worden gedetecteerd door antivirus-engines.
IBM ontdekt 17 zoals scripts, en gegroepeerd hen 5 secties afhankelijk van doel.
De onderzoekers gekeken naar YARA Rules
De onderzoekers gekeken naar YARA regels (een instrument dat een op regels gebaseerde aanpak maakt het mogelijk om beschrijvingen van malware families maken op basis van tekstuele of binaire patronen) en IOC (indicator van het compromis) gekoppeld aan de groep Magecart 5 werkzaamheid. Een VirusTotal alert van één van de geanalyseerde Yara regels aanvankelijk geïdentificeerd twee un-versluierd file monsters die erg lijken op samples gedeeld in eerdere analyses van Magecart activiteit waren.
De deskundigen opgemerkt dat deze twee monsters, die een gemeenschappelijke naamgeving gedeelde, werden geïdentificeerd als JavaScript skimming code. De recurrente bestand naamgeving, waar de string “test4” herhaalde, Ook kwam uit dezelfde uploaden lid en bronlocatie in Murino, Rusland, in het verslag staat.
Wat kunnen gebruikers doen om deze aanvallen te voorkomen?
Helaas, Er is niet veel van een gebruiker kan doen om een aanval op de router niveau te omzeilen. Het enige zekere ding is om te winkelen van verdachte online winkels of openbare netwerken te voorkomen, zoals die in hotels, winkelcentra, en luchthavens. Niettemin, winkelen vanuit huis brengt ook risico's.
Er is nog hoop, als zekerheid onderzoekers hebben het aanbevelen van een zogenaamde virtuele kaart. Deze benadering betekent dat de gebruiker in één betaalkaart nummer voor één transactie wordt alleen.
Wat is een virtuele kaart? Het is een prepaid credit card, waardoor winkelen vrij online. De virtuele kaart is voorzien van alleen een nummer en niet beschikt over een fysiek vervoerder. Met deze kaart gebruikers kunnen vertrouwen op de veiligheid en de bescherming van hun online betalingen.
Dit betekent dat zelfs als het kaartnummer wordt gebruikt op een gevaarlijke website, het kaartnummer is nutteloos zodra de transactie is voltooid. Het nadeel van de virtuele kaart is dat het nog steeds niet op grote schaal beschikbaar zijn voor gebruikers over de hele wereld, en het kan niet gemakkelijk te krijgen zijn.
De verandering in tactiek van Magecart hackers in hun skimming operaties is niet zo verwonderlijk, zoals aanvallen op router niveau zijn niet ongezien. Onveilige routers zijn gericht op vele aanvallen, zoals phishing, cryptomining, en malware downloads.
Kortom, router beveiliging moet niet worden vergeten. Voor het houden van de router veilig, moet u controleren of de router is voorzien van een sleutel of niet. Als u nog niet ingesteld op een willekeurige toets van de router, dan kunt u dit doen met behulp van het scherm van de draadloze beveiliging setup die in de router. Er zijn andere tips voor de router beveiliging die u moet overwegen toe te passen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: