Ein Team von Sicherheitsexperten von Malwarebytes und Hyas entdeckt eine Verbindung zwischen den Kriminellen aus Magecart Gruppe 4 und Cobalt (auch als Carbanak bekannt, FIN7 und Anunak).
EINN ach der Analyse, Gruppe 4 nicht nur auf Kundenseite Skimming, aber wahrscheinlich weiterhin das gleiche auf dem Server zu tun.Magecart ist ein Begriff, der in Zahlungsformulare auf Websites Datenbankkarte mehr als ein Dutzend von cyberkriminellen Gruppen spezialisiert auf die Implementierung von Skripten vereint zu stehlen. Sie sind verantwortlich für Angriffe auf Unternehmen wie Amerisleep, Mein Kissen, Ticket, British Airways, OXO und Newegg.
"Gruppe 4 ist einer der „fortgeschrittenen“ Gruppierungen. Seine Teilnehmer mit ausgeklügelten Methoden, um Besucher zu maskieren, Zum Beispiel, von Domain-Namen Registrierung mit analytischen Unternehmen oder Werbetreibende zugeordnet. Die Gruppe verfügt über Erfahrung mit Bank Malware, sowie die Cobalt-Gruppe“, – Experten von Malwarebytes sagen.
Die Forscher verfolgten die verschiedenen Gruppen Magecart, suchte Elemente ihrer Infrastruktur, sowie Verbindungen zwischen den Domänen und IP-Adressen. Basierend auf Indikatoren des Kompromisses, registrierten Domains, gebrauchte Taktik, Methoden und Verfahren, Die Forscher stellten fest, dass Cobalt auf dem Web-Skimming eingeschaltet haben könnte.
lesen Sie auch: Echobot Botnetz startete Großangriffe auf IOT-Geräte
Die Domänen, von denen wurden die Abschäumer in die an die Mail-Adresse registriert heruntergeladen Protonmail Service, die RiskIQ Forscher zuvor im Zusammenhang mit Magecart. Nachdem die Daten zu analysieren, die Experten diese Adresse mit anderen Kennbuchstaben zugeordnet und fand eine allgemeine, Im Speziellen, bei der Erstellung von Mailboxen, Die Vorlage [Name], [Initialen], [Nachname] wurde benutzt, die Cobalt vor kurzem verwendet für Protonmail-Konten.
Bei der Analyse der Gruppe 4 Infrastruktur, Forscher entdeckten einen PHP-Skript, das für JavaScript-Code irrte. Diese Art des Quellcodes kann nur mit dem Zugriff auf den Server zu sehen, das Skript interagiert ausschließlich mit der Server-Seite.
„Es ist unsichtbar für jeden Scanner, denn alles geschieht auf dem gehackten Server selbst. Magecart Abschäumer wurden in der Regel auf der Browser-Seite gefunden, aber auf der Server-Seite sind sie viel schwerer zu entdecken“, – sagte Forscher Jeromen Segura.
Weitere Untersuchungen zeigten, dass unabhängig von dem E-Mail-Dienst verwendet, Im 10 getrennte Konten, nur zwei verschiedene IP-Adressen wurden wiederverwendet, auch nach mehreren Wochen und Monaten zwischen Registrierungen.
Eine solche Mailbox ist petersmelanie @protonmail, die verwendet wurde, um zu registrieren, 23 Domains, einschließlich my1xbet[.]oben. Diese Domain wurde in einer Phishing-Kampagne verwendet, um die Sicherheitsanfälligkeit auszunutzen CVE-2017-0199 in Microsoft Office. Das gleiche Mail-Konto wurde verwendet, um die Orakel-Unternehmen registrieren[.]com-Domain und die Oracle-Attacken, die mit der Cobalt-Gruppe zugeordnet wurden.
