Группировка Magecart Group 4 регулярно совершенствует свои методы скимминга

В настоящее время существует несколько десятков киберпреступных группировок, объединенных ИБ-экспертами под общим названием Magecart. Группировки используют различные методы, но с одной и той же целью – похитить данные банковских карт пользователей сайтов электронной коммерции.

Не все группировки Magecart обладают одинаковым уровнем знаний и умений. По словам специалистов из RiskIQ, одна из них, Group 4, отличается особым профессионализмом. То, как киберпреступникам удается организовывать свой бизнес, внедрять новые методы работы, минимизировать риски и повышать эффективность, указывает на их весьма выдающиеся способности.

После отключения части используемой Group 4 инфраструктуры специалистам RiskIQ удалось продолжить мониторинг активности группировки и совершенствования используемых ею техник. В распоряжении Group 4 есть около сотни зарегистрированных доменов, пул серверов для маршрутизации трафика и доставки на системы жертв вредоносного ПО, пишут исследователи.

После реорганизации группировка оставила себе только пять доменов с одним IP-адресом. «Домены, связанные со скимминговыми операциями Group 4, просто являются прокси, указывающими на большую внутреннюю сеть. После применения некоторой начальной фильтрации скиммер направляет запросы конечной точке, предоставляющей скрипт скиммера (или легальный скрипт, если посетитель не осуществляет платеж)», - сообщили исследователи.

Для маскировки вредоносной активности группировка использует множество легальных библиотек, скрывающих скиммер на странице платежей до начала его активности. Более того, для защиты своей инфраструктуры от полного разрушения киберпреступники добавили пулы примерно из десяти последовательных IP-адресов примерно у пяти разных хостеров.

Сами скиммеры регулярно обновляются и получают новые функции, которые предварительно проходят тестирование. Новый функционал как правило отключен по умолчанию, отметили исследователи. В настоящее время код только проверяет наличие платежных форм и похищает данные. Благодаря столь ограниченному функционалу злоумышленникам удалось сократить объем кода всего до 150 строк – это в десять раз меньше по сравнению с тем, каким код был раньше.