Pesquisadores de segurança da RiskIQ divulgaram recentemente uma análise detalhada do skimmer MobileInter, que é “uma versão modificada e expandida do código Inter skimmer,”Totalmente focado em usuários de celular.
“Com quase três em cada quatro dólares gastos online por meio de um dispositivo móvel, não é nenhuma maravilha Operadores Magecart estão procurando atingir este cenário lucrativo,”Disse o relatório. Para determinar a funcionalidade do MobileInter e links para outras atividades do skimmer, a equipe do RiskIQ realizou um análise detalhada.
Um skimmer apenas para celular: MobileInter
Como o MobileInter está voltado inteiramente para usuários de celular, o malware realiza várias verificações para determinar o tipo de dispositivo.
- Primeiro, ele executa uma verificação de regex no local da janela para determinar se ela está em uma página de checkout.
- Uma verificação de regex também determina se o userAgent do usuário está definido para um dos vários navegadores móveis, como iPhone.
- O skimmer também verifica as dimensões da janela do navegador para ver se elas são do tamanho esperado para um navegador móvel.
Assim que as verificações forem finalizadas, o malware de skimming prossegue para executar sua skimming e exfiltração de dados usando outras funcionalidades. Para evitar a detecção, os autores do malware nomearam os processos como serviços legítimos.
"Por exemplo, ‘RumbleSpeed,'Uma função que determina com que frequência a função exfil de dados é tentada, destina-se a se misturar com o plugin jRumble para jQuery, qual “estrondos” elementos de uma página da web para atrair o foco do usuário,Disse RiskIQ.
Também é digno de nota que o skimmer MobileInter implanta outros métodos para ocultar suas operações. Um desses métodos é mascarar seus domínios como serviços legítimos. Pelo visto, A lista de domínios do MobileInter é bastante longa e inclui nomes que imitam o Alibaba, Amazonas, e jQuery. Contudo, seu foco mais recente é imitar os serviços do Google. “Ambos os URLs exfil usados pelo skimmer imitam o Google, com o URL WebSocket mascarado como Gerenciador de tags do Google,”O relatório observou.
Os pesquisadores também observaram uma sobreposição de infraestrutura com outros grupos de crimes cibernéticos.. É certo que MobileInter pertence a uma ampla, infraestrutura de skimming compartilhada e “hospedagem à prova de balas que atende a vários outros skimmers e malware”. O mesmo padrão também foi observado em famílias de malware skimming, como Grelos.
Skimmers Magecart anteriores
Grelos foi lançado em novembro, 2020. Também analisado por pesquisadores do RiskIQ, esta linhagem compreende uma nova versão do código original localizado pela primeira vez em 2015. Verduras consiste em um carregador e um skimmer que usa ofuscação base64 que esconde um skimmer de dois estágios. É digno de nota que o skimmer Grelos existe desde 2015, com sua versão original associada aos Grupos Magecart 1 e 2, o relatório aponta. Alguns agentes de ameaças continuam a usar alguns dos domínios originais implantados para carregar o skimmer.
Outros skimmers baseados em Magecart incluem Guardador e MakeFrame.