Forskere ved Malwarebytes rapporteret at de fandt en forbindelse mellem MageCart 5 gruppe og den berømte kriminelle gruppe Carbanak og bank Trojan Dridex.
RiskIQ eksperter, der har været at observere MageCart grupper i lang tid, skrev, at MageCart 5 er en af de mest professionelle og seriøse grupper i dette område. minder om, I 2018, RiskIQ forskere identificeret 12 sådanne grupper, hvorimod nu, ifølge IBM, Der er allerede 38 af dem.”Denne gruppering fine kombination da kun tredjeparts tjenesteudbydere, men ikke direkte angriber onlinebutikker. Denne særlige gruppe har allerede vist kreativitet og brugt CDN (levering af indhold netværk) og reklame at injicere sin skadelig kode i sites”, – sige RiskIQ eksperter.
Og i september i år, IBM eksperter opdagede, at MageCart 5 udviklede specielle scripts til placering på Layer 7 routere og den efterfølgende tyveri af bankkort. Dette gør det muligt at konkludere, at angriberne gik fra steder til angreb på routere.
Nu, Malwarebytes eksperter har rapporteret, at de formåede at forbinde MageCart 5 gruppe med den velkendte kriminel gruppe Carbanak og bank Trojan Dridex. At gøre dette, forskerne undersøgte otte topdomæner, der bruger Informaer navn og er forbundet med MageCart 5 ifølge RiskIQ.
Læs også: Forskerne identificerede en sammenhæng mellem Magecart Group 4 og Cobalt
Ved hjælp af WHOIS poster, der gik forud for fremkomsten af den generelle databeskyttelse (BNPR), forskerne gik til en ”skudsikker” registrator i Kina kaldet BIZCN / CNOBIN.
I lighed med ”skudsikre” hosting, sådanne selskaber ignorere alle klager over ulovlige aktivitet af kunder, og brugeridentiteter holdes hemmelig. imidlertid, specialister lykkedes at identificere den niende Informaer domænet (informaer[.]info), som viste sig at være ikke så godt beskyttet, og førte eksperterne til den e-mailadresse (guotang323@yahoo.com) og telefonnummer (+86.1066569215).
”Dette domæne er registreret på samme tid som de andre Informaer domæner (bogstaveligt taler om sekunder), og blev næsten helt sikkert brugt i MageCart 5”, – rapport Malwarebytes eksperter.
Den nævnte emailadresse viste sig at være forbundet med andre domæner, der er registreret af den samme person. Blandt dem var flere domæner relateret til Dridex phishing kampagner, hvortil Swiss CERT talte i detaljer I 2017: corporatefaxsolutions[.]med, onenewpost[.]Com og xeronet[.]Org.
Interessant, eksperter har allerede mødt telefonnummeret. Sidste år, den berømte IS journalist Brian Krebs allerede nævnte dette spørgsmål i sin artikel om undersøgelse af Carbanak og teorier om oprindelsen af gruppen.
På samme tid, Malwarebytes eksperter indrømme, at alle registreringsoplysninger informaer[.]Info kunne være specielt forfalsket for at forvirre forskere. imidlertid, alt dette skete i 2016, når tildelingen af MageCart er endnu ikke blevet undersøgt. Analytikere mener, at det er usandsynligt, at Magecart 5 Deltagerne blev allerede forsøger at forvirre sporene, givet, at ingen havde jaget dem endnu.
