Un equipo de investigadores de seguridad de Malwarebytes y Hyas descubierto un vínculo entre los delincuentes desde Magecart Group 4 y cobalto (también conocido como Carbanak, Fin7 y Anunak).
UNAe acuerdo con el análisis, Grupo 4 descremado no sólo en el lado del cliente, pero probablemente continúa a hacer lo mismo en el servidor.Magecart es un término que reúne a más de una docena de grupos de ciberdelincuentes especializadas en la ejecución de secuencias de comandos para robar datos de tarjetas bancarias en las formas de pago en los sitios web. Son los responsables de los ataques a las compañías tales como Amerisleep, Mi almohada, ticketmaster, British Airways, OXO y Newegg.
"Grupo 4 es una de las mayoría de las agrupaciones “avanzados”. Sus participantes utilizan métodos sofisticados para enmascarar el tráfico, Por ejemplo, mediante el registro de nombres de dominio asociados con empresas analíticas o anunciantes. El grupo tiene experiencia con malware bancario, así como el grupo de cobalto”, – expertos de Malwarebytes dicen.
Los investigadores dieron seguimiento a los diversos grupos Magecart, buscado elementos de su infraestructura, así como las conexiones entre dominios y direcciones IP. Sobre la base de los indicadores de compromiso, dominios registrados, tácticas usadas, métodos y procedimientos, los investigadores concluyeron que el cobalto podría haber cambiado a Web-descremado.
leer también: botnet Echobot lanzó ataques a gran escala en los dispositivos IoT
Los dominios desde los que los skimers se descargaron registrados en el correo electrónico en el servicio protonmail, el cual RiskIQ investigadores previamente vinculados a Magecart. Tras el análisis de los datos, los expertos asocian esta dirección con otras letras registro y ha encontrado un carácter general, En particular, al crear buzones, la plantilla [Nombre], [iniciales], [apellido] se utilizó, que Cobalt recientemente utilizado para las cuentas protonmail.
Al analizar el Grupo 4 infraestructura, los investigadores descubrieron un script PHP que fue confundido con el código JavaScript. Este tipo de código fuente sólo puede ser visto con el acceso al servidor, el guión interactúa exclusivamente con el lado del servidor.
“Es invisible a cualquier escáner, porque todo lo que sucede en el propio servidor hackeado. skimers Magecart se encuentran generalmente en el lado del navegador, pero en el lado del servidor que son mucho más difíciles de detectar”, – dijo el investigador Jeromen Segura.
La investigación adicional demostró que, independientemente del servicio de correo electrónico utilizada, En 10 cuentas separadas, Sólo se volvieron a utilizar dos direcciones IP diferentes, incluso después de varias semanas y meses entre los registros.
Uno de estos buzón es @protonmail petersmelanie, que fue utilizado para registrar 23 dominios, incluyendo my1xbet[.]parte superior. Este dominio se utilizó en una campaña de phishing para explotar la vulnerabilidad CVE-2017-0199 en Microsoft Office. La misma cuenta de correo electrónico se utiliza para registrar el oráculo-negocio[.]dominio .com y los ataques de Oracle que se asociaron con el grupo de cobalto.
