Hjem » Sådan fjernes » ondsindet proces » Forskerne identificerede en sammenhæng mellem Magecart Group 4 og Cobalt

Forskerne identificerede en sammenhæng mellem Magecart Group 4 og Cobalt

Et team af sikkerhedseksperter fra Malwarebytes og HYAS opdaget en forbindelse mellem de cyberkriminelle fra Magecart Group 4 og Cobalt (også kendt som Carbanak, Fin7 og Anunak).

ENccording til analysen, Gruppe 4 skimming ikke kun på kundens side, men sandsynligvis fortsætter med at gøre det samme på serveren.

Magecart er et begreb, der forener mere end et dusin af cyberkriminelle grupper med speciale i implementering af scripts til at stjæle Bankcard data i indbetalingskort på hjemmesider. De er ansvarlige for angreb på sådanne selskaber som Amerisleep, MyPillow, Ticketmaster, British Airways, OXO og Newegg.

"Gruppe 4 er en af ​​de mest ”avancerede” grupperinger. Dens deltagere anvender avancerede metoder til at maskere trafik, for eksempel, ved at registrere domænenavne, der er forbundet med analytiske virksomheder eller annoncører. Gruppen har erfaring med bank malware, samt Cobalt gruppe”, – eksperter fra Malwarebytes fortælle.

Forskere sporede de forskellige Magecart grupper, ledt efter elementer i deres infrastruktur, samt forbindelser mellem domæner og IP-adresser. Baseret på indikatorer for kompromis, registrerede domæner, brugte taktik, metoder og procedurer, Forskerne konkluderede, at Cobalt kunne have skiftet til web-skimming.

Læs også: Echobot botnet iværksat omfattende angreb på IOT enheder

Domænerne, hvorfra skimers blev downloadet registreret til den mail-adresse i protonmail tjeneste, som RiskIQ forskere tidligere tilknytning til Magecart. Efter en analyse af data, eksperterne tilknyttet denne adresse med andre registreringsbogstaver og fundet generel karakter, i særdeleshed, ved oprettelse postkasser, skabelonen [navn], [initialer], [efternavn] var brugt, som Cobalt nylig anvendt til protonmail konti.

Ved analyse koncernen 4 infrastruktur, Forskerne opdagede en PHP script, der blev forvekslet med JavaScript-kode. Denne type af kildekode kan kun ses med adgang til serveren, scriptet interagerer udelukkende med serversiden.

”Det er usynligt for enhver scanner, fordi alt sker på selve hacket server. Magecart skimers blev normalt findes på browserens side, men på serveren side de er meget sværere at opdage”, – Said forsker Jeromen Segura.

Yderligere forskning viste, at uanset hvilken e-mail-tjeneste, der anvendes, i 10 særskilte regnskaber, kun to forskellige IP-adresser blev genbrugt, selv efter flere uger og måneder mellem registreringer.

LÆS  Remove SystemInfo.exe CPU Miner from Windows 10

En sådan postkasse er petersmelanie @protonmail, som blev anvendt til at registrere 23 domæner, herunder my1xbet[.]top. Dette domæne blev brugt i en phishing kampagne for at udnytte sårbarheden CVE-2017-0199 i Microsoft Office. Den samme mail-konto blev brugt til at registrere oraklet-business[.]com domæne og Oracle angreb, der var forbundet med den Cobalt gruppe.

[i alt: 0    Gennemsnit: 0/5]

Om Trojan Killer

Carry Trojan Killer Portable på din memory stick. Vær sikker på, at du er i stand til at hjælpe din pc modstå eventuelle cyber trusler, hvor du går.

Tjek også

ZoneAlarm hacket med vBulletin sårbarhed

ZoneAlarm fora hacket på grund af vBulletin sårbarhed

De fora på ZoneAlarm, which is owned by Check Point and whose products are used

RAT Trojan i WebEx invitationer

Kriminelle giver links til RAT trojan i WebEx invitationer

Information security specialist Alex Lanstein discovered an original vector for the distribution of the RAT

Skriv et svar