Casa » Como remover » proceso malicioso » Los investigadores identificaron un vínculo entre el Grupo Magecart 4 y cobalto

Los investigadores identificaron un vínculo entre el Grupo Magecart 4 y cobalto

Un equipo de investigadores de seguridad de Malwarebytes y Hyas descubierto un vínculo entre los delincuentes desde Magecart Group 4 y cobalto (también conocido como Carbanak, Fin7 y Anunak).

UNAe acuerdo con el análisis, Grupo 4 descremado no sólo en el lado del cliente, pero probablemente continúa a hacer lo mismo en el servidor.

Magecart es un término que reúne a más de una docena de grupos de ciberdelincuentes especializadas en la ejecución de secuencias de comandos para robar datos de tarjetas bancarias en las formas de pago en los sitios web. Son los responsables de los ataques a las compañías tales como Amerisleep, Mi almohada, ticketmaster, British Airways, OXO y Newegg.

"Grupo 4 es una de las mayoría de las agrupaciones “avanzados”. Sus participantes utilizan métodos sofisticados para enmascarar el tráfico, por ejemplo, mediante el registro de nombres de dominio asociados con empresas analíticas o anunciantes. El grupo tiene experiencia con malware bancario, así como el grupo de cobalto”, – expertos de Malwarebytes dicen.

Los investigadores dieron seguimiento a los diversos grupos Magecart, buscado elementos de su infraestructura, así como las conexiones entre dominios y direcciones IP. Sobre la base de los indicadores de compromiso, dominios registrados, tácticas usadas, métodos y procedimientos, los investigadores concluyeron que el cobalto podría haber cambiado a Web-descremado.

leer también: botnet Echobot lanzó ataques a gran escala en los dispositivos IoT

Los dominios desde los que los skimers se descargaron registrados en el correo electrónico en el servicio protonmail, el cual RiskIQ investigadores previamente vinculados a Magecart. Tras el análisis de los datos, los expertos asocian esta dirección con otras letras registro y ha encontrado un carácter general, en particular, al crear buzones, la plantilla [nombre], [iniciales], [apellido] se utilizó, que Cobalt recientemente utilizado para las cuentas protonmail.

Al analizar el Grupo 4 infraestructura, los investigadores descubrieron un script PHP que fue confundido con el código JavaScript. Este tipo de código fuente sólo puede ser visto con el acceso al servidor, el guión interactúa exclusivamente con el lado del servidor.

“Es invisible a cualquier escáner, porque todo lo que sucede en el propio servidor hackeado. skimers Magecart se encuentran generalmente en el lado del navegador, pero en el lado del servidor que son mucho más difíciles de detectar”, – dijo el investigador Jeromen Segura.

La investigación adicional demostró que, independientemente del servicio de correo electrónico utilizada, en 10 cuentas separadas, Sólo se volvieron a utilizar dos direcciones IP diferentes, incluso después de varias semanas y meses entre los registros.

LEER  Lo que es Acnom.exe y cómo solucionarlo? Virus o seguro?

Uno de estos buzón es @protonmail petersmelanie, que fue utilizado para registrar 23 dominios, incluyendo my1xbet[.]parte superior. Este dominio se utilizó en una campaña de phishing para explotar la vulnerabilidad CVE-2017-0199 en Microsoft Office. La misma cuenta de correo electrónico se utiliza para registrar el oráculo-negocio[.]dominio .com y los ataques de Oracle que se asociaron con el grupo de cobalto.

[Total:0    Promedio:0/5]

Acerca de Trojan Killer

Trojan Killer llevar portátil en su dispositivo de memoria. Asegúrese de que usted es capaz de ayudar a su PC resistir cualquier amenaza cibernética donde quiera que vaya.

también puedes ver

ZoneAlarm cortó con la vulnerabilidad vBulletin

Los foros de ZoneAlarm hackeado debido a la vulnerabilidad vBulletin

Los foros de ZoneAlarm, que es propiedad de Check Point y cuyos productos se utilizan …

RATA de Troya en WebEx invitaciones

Los criminales dan enlaces a troyanos RAT en WebEx invitaciones

Información especialista en seguridad Alex Lanstein descubrió un vector original para la distribución de la rata …

Deja una respuesta