Новый вариант скиммера Grelos пролил свет на инфраструктуру Magecart

Новый вариант скиммера Grelos пролил свет на инфраструктуру Magecart

Специалисты обнаружили сходство между различными скиммерами, использующими одну и ту же инфраструктуру.

Исследователи кибербезопасности из RiskIQ рассказали о новом варианте скиммера Grelos. Экспертам удалось узнать, как одна и та же инфраструктура может использоваться различными группировками Magecart или быть задействована в фишинговых кампаниях или кампаниях по распространению вредоносного ПО, в связи с чем ИБ-экспертам становится сложнее отслеживать отдельные группировки.

Скиммер Grelos был обнаружен в 2015 году и ранее был связан с группировками Magecart 1 и 2, однако скиммер также был зафиксирован в ходе атак других злоумышленников. Новый вариант Grelos представляет собой скиммер на основе протокола WebSocket, который использует обфускацию в кодировке base64 для сокрытия действий. Как полагают эксперты, скиммер не имеет прямого отношения к версиям 2015 и 2016 годов, но использует некоторые фрагменты кода и закодирован с помощью base64.

Новый вариант скиммера был обнаружен при исследовании доменов, связанных с атакой Magecart на оператора мобильной связи Boom! Mobile. Группировка Full(z) House загрузила вредоносный JavaScript-код в сеть провайдера мобильной сети для хищения данных о клиентах. Домены, использованные в ходе кибератаки, привели команду к cookie-файлам и связанным со скиммером web-сайтам. Однако, к своему удивлению эксперты обнаружили совсем не скиммер Full(z) House, а новую версию Grelos.

Данный вариант имеет аналогичный этап загрузчика в кодировке base64, но содержит только один уровень кодирования, аналогичные теги сценария, орфографические ошибки и включает словарь под названием translate с фразами, используемыми поддельными платежными формами, созданными вредоносным ПО. Для кражи данных скиммер использовал протокол WebSockets.

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться