Investigadores de Malwarebytes reportado que encontraron una conexión entre el MageCart 5 grupo y el famoso grupo criminal Carbanak y el troyano bancario Dridex.
Rexpertos iskIQ, que han sido la observación de grupos MageCart durante mucho tiempo, escribió que MageCart 5 es uno de los grupos más profesional y serio en esta área. Recordando, En 2018, los investigadores identificaron RiskIQ 12 dichos grupos, mientras que ahora, de acuerdo con IBM, ya hay 38 de ellos.“Esta agrupación hacks únicos proveedores de servicios de terceros, pero no ataca directamente a las tiendas en línea. Este grupo en particular ya ha demostrado su creatividad y se utiliza el CDN (Red de entrega de contenidos) y la publicidad para inyectar su código malicioso en sitios”, – dicen los expertos RiskIQ.
Y en septiembre de este año, expertos de IBM descubrieron que MageCart 5 secuencias de comandos especiales desarrollados para la colocación en capa 7 routers y el posterior robo de tarjetas bancarias. Esto permite concluir que los atacantes iban de los sitios a los ataques en los routers.
Ahora, Malwarebytes expertos han informado de que se las arreglaron para conectar el MageCart 5 grupo con el grupo criminal conocido Carbanak y el troyano bancario Dridex. Para hacer esto, los investigadores estudiaron ocho dominios de nivel superior que utilizan el nombre Informaer y están asociados con MageCart 5 de acuerdo con RiskIQ.
leer también: Los investigadores identificaron un vínculo entre el Grupo Magecart 4 y cobalto
El uso de registros de WHOIS que precedieron a la llegada del Reglamento General de Protección de Datos (GDPR), los investigadores fueron a un registrador “prueba de balas” en China llamada BIZCN / CNOBIN.
Al igual que en “balas” de alojamiento, dichas empresas ignoran todas las quejas sobre la actividad ilegal de los clientes, y la identidad de los usuarios se mantienen en secreto. sin embargo, especialistas lograron identificar el noveno dominio Informaer (informaer[.]info), el cual resultó ser no tan bien protegido y llevó a los expertos a la dirección de correo electrónico (guotang323@yahoo.com) y número de teléfono (+86.1066569215).
“Este dominio se registró al mismo tiempo que los otros dominios Informaer (literalmente hablando segundos), y fue casi con toda seguridad se utiliza en MageCart 5”, – expertos Malwarebytes informe.
La dirección de correo electrónico mencionada resultó estar asociada con otros dominios registrados por la misma persona. Entre ellos se encontraban varios dominios relacionados con Dridex campañas de phishing, a la que el Suizo CERT habló en detalle En 2017: corporatefaxsolutions[.]con, onenewpost[.]Com y xeronet[.]org.
Curiosamente, expertos ya han cumplido con el número de teléfono. El año pasado, el famoso es un periodista Brian Krebs ya mencionado esta cuestión en su artículo sobre la investigación de Carbanak y teorías sobre el origen del grupo.
Al mismo tiempo, Malwarebytes expertos admiten que toda la información de registro informaer[.]Información podría ser especialmente falsificado con el fin de confundir a los investigadores. sin embargo, todo esto sucedió en 2016, cuando la atribución de MageCart aún no se ha investigado. Los analistas creen que es poco probable que Magecart 5 participantes ya estaban tratando de confundir a las pistas, teniendo en cuenta que nadie les había cazado sin embargo,.