Et team af sikkerhedseksperter fra Malwarebytes og HYAS opdaget en forbindelse mellem de cyberkriminelle fra Magecart Group 4 og Cobalt (også kendt som Carbanak, Fin7 og Anunak).
ENccording til analysen, Gruppe 4 skimming ikke kun på kundens side, men sandsynligvis fortsætter med at gøre det samme på serveren.Magecart er et begreb, der forener mere end et dusin af cyberkriminelle grupper med speciale i implementering af scripts til at stjæle Bankcard data i indbetalingskort på hjemmesider. De er ansvarlige for angreb på sådanne selskaber som Amerisleep, MyPillow, Ticketmaster, British Airways, OXO og Newegg.
"Gruppe 4 er en af de mest ”avancerede” grupperinger. Dens deltagere anvender avancerede metoder til at maskere trafik, For eksempel, ved at registrere domænenavne, der er forbundet med analytiske virksomheder eller annoncører. Gruppen har erfaring med bank malware, samt Cobalt gruppe”, – eksperter fra Malwarebytes fortælle.
Forskere sporede de forskellige Magecart grupper, ledt efter elementer i deres infrastruktur, samt forbindelser mellem domæner og IP-adresser. Baseret på indikatorer for kompromis, registrerede domæner, brugte taktik, metoder og procedurer, Forskerne konkluderede, at Cobalt kunne have skiftet til web-skimming.
Læs også: Echobot botnet iværksat omfattende angreb på IOT enheder
Domænerne, hvorfra skimers blev downloadet registreret til den mail-adresse i protonmail tjeneste, som RiskIQ forskere tidligere tilknytning til Magecart. Efter en analyse af data, eksperterne tilknyttet denne adresse med andre registreringsbogstaver og fundet generel karakter, I særdeleshed, ved oprettelse postkasser, skabelonen [Navn], [initialer], [efternavn] var brugt, som Cobalt nylig anvendt til protonmail konti.
Ved analyse koncernen 4 infrastruktur, Forskerne opdagede en PHP script, der blev forvekslet med JavaScript-kode. Denne type af kildekode kan kun ses med adgang til serveren, scriptet interagerer udelukkende med serversiden.
”Det er usynligt for enhver scanner, fordi alt sker på selve hacket server. Magecart skimers blev normalt findes på browserens side, men på serveren side de er meget sværere at opdage”, – Said forsker Jeromen Segura.
Yderligere forskning viste, at uanset hvilken e-mail-tjeneste, der anvendes, I 10 særskilte regnskaber, kun to forskellige IP-adresser blev genbrugt, selv efter flere uger og måneder mellem registreringer.
En sådan postkasse er petersmelanie @protonmail, som blev anvendt til at registrere 23 domæner, herunder my1xbet[.]top. Dette domæne blev brugt i en phishing kampagne for at udnytte sårbarheden CVE-2017-0199 i Microsoft Office. Den samme mail-konto blev brugt til at registrere oraklet-business[.]com domæne og Oracle angreb, der var forbundet med den Cobalt gruppe.
