Forscher an Malwarebytes berichtet dass sie eine Verbindung zwischen dem MageCart gefunden 5 Gruppe und die berühmte kriminelle Gruppe Carbanak und die Banking-Trojaner Dridex.
RiskIQ Experten, die für eine lange Zeit zu beobachten MageCart Gruppen wurden, schrieb, dass MageCart 5 ist einer der professionellsten und schweren Gruppen in diesem Bereich. Hinweis, Im 2018, RiskIQ Forscher identifizierten 12 solche Gruppen, während jetzt, gemäß IBM, es gibt schon 38 von ihnen.„Diese Gruppierung hackt nur Drittdienstanbietern, aber greift nicht direkt Online-Shops. Diese besondere Gruppe hat Kreativität bereits gezeigt, und das CDN verwendet (Content Delivery Network) und Werbung seinen bösartigen Code in Webseiten zu injizieren“, – sagen Experten RiskIQ.
Und im September dieses Jahres, IBM Experten entdeckt, dass MageCart 5 entwickelte spezielle Skripte für die Platzierung auf Schicht 7 Router und die anschließende Diebstahl von Bankkarten. Dies ermöglicht dem Schluss, dass Angreifer von Websites, auf Angriffe auf Router ging.
Jetzt, Malwarebytes Experten haben berichtet, dass sie die MageCart verbinden verwaltet 5 Gruppe mit der bekannten kriminellen Gruppe Carbanak und der Banking-Trojaner Dridex. Um dies zu tun, Die Forscher untersuchten acht Top-Level-Domains, die die Informaer Namen und sind im Zusammenhang mit MageCart verwenden 5 nach RiskIQ.
lesen Sie auch: Die Forscher identifizierten eine Verbindung zwischen der Magecart Gruppe 4 und Cobalt
Mit WHOIS Aufzeichnungen, die das Aufkommen der Allgemeinen Datenschutzverordnung voraus (BIPR), Die Forscher gingen zu einem „wasserdichten“ Registrar in China genannt BIZCN / CNOBIN.
Ähnlich wie bei „wasserdichten“ Hosting, solche Unternehmen ignorieren alle Beschwerden über die illegalen Aktivitäten der Kunden, und Benutzeridentitäten werden geheim gehalten. jedoch, Spezialisten gelungen, die neunte Informaer Domäne zu identifizieren (informaer[.]Info), die erwies sich als nicht so gut geschützt zu sein und führte die Experten an die E-Mail-Adresse (guotang323@yahoo.com) und Telefonnummer (+86.1066569215).
„Diese Domain wurde zur gleichen Zeit wie die anderen Informaer Domains registriert (buchstäblich reden Sekunden), und wurde mit ziemlicher Sicherheit in MageCart 5” verwendet, – Bericht Malwarebytes Experten.
Die genannte E-Mail-Adresse stellte sich heraus, mit anderen Domänen von derselben Person registriert zugeordnet werden. Unter ihnen waren mehrere Domains im Zusammenhang Phishing-Kampagnen Dridex, zu dem der Swiss CERT sprach im Detail Im 2017: corporatefaxsolutions[.]mit, onenewpost[.]Com und xeronet[.]Org.
Interessant, Experten haben bereits die Telefonnummer erfüllt. Vergangenes Jahr, die berühmt ist Journalist Brian Krebs bereits erwähnt dieses Problem in seinem Artikel über die Untersuchung von Carbanak und Theorien über die Entstehung der Gruppe.
Zur selben Zeit, Malwarebytes Experten zugeben, dass alle Registrierungsinformationen informaer[.]Info könnte speziell um verfälscht werden Forscher zu verwirren. jedoch, all dies geschah in 2016, wenn die Zuschreibung von MageCart wurde noch nicht untersucht worden. Analysten glauben, dass es unwahrscheinlich ist, dass Magecart 5 Teilnehmer versuchten bereits die Titel zu verwirren, da niemand sie noch gejagt hatte.
