Eksperter fundet en forbindelse mellem Carbanak og en af ​​de MageCart grupper

Forskere ved Malwarebytes rapporteret at de fandt en forbindelse mellem MageCart 5 gruppe og den berømte kriminelle gruppe Carbanak og bank Trojan Dridex.

RiskIQ eksperter, der har været at observere MageCart grupper i lang tid, skrev, at MageCart 5 er en af ​​de mest professionelle og seriøse grupper i dette område. minder om, I 2018, RiskIQ forskere identificeret 12 sådanne grupper, hvorimod nu, ifølge IBM, Der er allerede 38 af dem.

”Denne gruppering fine kombination da kun tredjeparts tjenesteudbydere, men ikke direkte angriber onlinebutikker. Denne særlige gruppe har allerede vist kreativitet og brugt CDN (levering af indhold netværk) og reklame at injicere sin skadelig kode i sites”, – sige RiskIQ eksperter.

Og i september i år, IBM eksperter opdagede, at MageCart 5 udviklede specielle scripts til placering på Layer 7 routere og den efterfølgende tyveri af bankkort. Dette gør det muligt at konkludere, at angriberne gik fra steder til angreb på routere.

Nu, Malwarebytes eksperter har rapporteret, at de formåede at forbinde MageCart 5 gruppe med den velkendte kriminel gruppe Carbanak og bank Trojan Dridex. At gøre dette, forskerne undersøgte otte topdomæner, der bruger Informaer navn og er forbundet med MageCart 5 ifølge RiskIQ.

Læs også: Forskerne identificerede en sammenhæng mellem Magecart Group 4 og Cobalt

Ved hjælp af WHOIS poster, der gik forud for fremkomsten af ​​den generelle databeskyttelse (BNPR), forskerne gik til en ”skudsikker” registrator i Kina kaldet BIZCN / CNOBIN.

I lighed med ”skudsikre” hosting, sådanne selskaber ignorere alle klager over ulovlige aktivitet af kunder, og brugeridentiteter holdes hemmelig. imidlertid, specialister lykkedes at identificere den niende Informaer domænet (informaer[.]info), som viste sig at være ikke så godt beskyttet, og førte eksperterne til den e-mailadresse (guotang323@yahoo.com) og telefonnummer (+86.1066569215).

”Dette domæne er registreret på samme tid som de andre Informaer domæner (bogstaveligt taler om sekunder), og blev næsten helt sikkert brugt i MageCart 5”, – rapport Malwarebytes eksperter.

Den nævnte emailadresse viste sig at være forbundet med andre domæner, der er registreret af den samme person. Blandt dem var flere domæner relateret til Dridex phishing kampagner, hvortil Swiss CERT talte i detaljer I 2017: corporatefaxsolutions[.]med, onenewpost[.]Com og xeronet[.]Org.

Interessant, eksperter har allerede mødt telefonnummeret. Sidste år, den berømte IS journalist Brian Krebs allerede nævnte dette spørgsmål i sin artikel om undersøgelse af Carbanak og teorier om oprindelsen af ​​gruppen.

På samme tid, Malwarebytes eksperter indrømme, at alle registreringsoplysninger informaer[.]Info kunne være specielt forfalsket for at forvirre forskere. imidlertid, alt dette skete i 2016, når tildelingen af ​​MageCart er endnu ikke blevet undersøgt. Analytikere mener, at det er usandsynligt, at Magecart 5 Deltagerne blev allerede forsøger at forvirre sporene, givet, at ingen havde jaget dem endnu.

Om Trojan Killer

Carry Trojan Killer Portable på din memory stick. Vær sikker på, at du er i stand til at hjælpe din pc modstå eventuelle cyber trusler, hvor du går.

Tjek også

Dacls RAT (Fjern Access Trojan)

Sådan slipper du af med Dacls RAT (Fjern Access Trojan)?

Dacls RAT, også kendt som en Dacls Remote Access Trojan, er ondsindet software, der er målrettet mod …

Sådan fjernes DirectXRunnable.exe let på kort tid

En ny, ekstremt usikker cryptocurrency miner infektion er faktisk blevet opdaget af beskyttelse forskere. Det …

Skriv et svar