연구원은 Magecart 그룹 사이의 링크를 확인 4 코발트

Malwarebytes 및 HYAS에서 보안 연구자의 팀 발견 Magecart 그룹에서 사이버 범죄자 사이의 링크 4 코발트 (또한 Carbanak로 알려진, Fin7 및 Anunak).

에이분석에 ccording, 그룹 4 단지 클라이언트의 측면에없는 감추고, 그러나 아마 서버에서 동일한 작업을 수행하기 위해 계속.

Magecart 웹 사이트에 지불 형태로 은행 카드 데이터를 도용하는 스크립트의 구현을 전문으로 사이버 범죄 그룹의 다스 이상을 통합하는 용어입니다. 그들은 Amerisleep 등 회사에 대한 공격에 대한 책임이 있습니다, MyPillow, 티켓 마스터, 영국 항공 (BA), OXO과 뉴에 그.

"그룹 4 가장 "고급"그룹 중 하나입니다. 참가자는 트래픽을 마스크 정교한 방법을 사용, 예를 들면, 분석 기업이나 광고주와 관련된 도메인 이름을 등록하여. 이 그룹은 은행 악성 코드와 경험을 가지고, 뿐만 아니라 "코발트 그룹으로, – Malwarebytes의 전문가에게.

연구진은 다양한 Magecart 그룹을 추적, 인프라의 요소를 보았다, 뿐만 아니라 도메인과 IP 주소 사이의 연결로. 타협의 지표를 바탕으로, 등록 된 도메인, 사용 전략, 방법 및 절차, 연구진은 코발트는 웹 감추고로 전환했을 수도 있다는 결론을 내렸다.

또한 읽기: Echobot 봇넷은 IOT 장치에 대한 대규모 공격을 시작

skimers이의 메일 주소로 등록 다운로드 한있는 도메인 ProtonMail 서비스, 이는 이전에 Magecart에 연결 연구원 RiskIQ. 데이터를 분석 한 후, 전문가들은 다른 등록 문자로이 주소를 연결하고 일반적인 특성을 발견, 특히, 사서함을 만들 때, 템플릿 [이름], [머리 글자], [성] 사용, 이는 최근 ProtonMail 계정에 사용되는 코발트.

그룹을 분석 할 때 4 하부 구조, 연구진은 자바 스크립트 코드를 착각 한 PHP 스크립트를 발견. 소스 코드의이 유형은 서버에 액세스하여 볼 수 있습니다, 스크립트는 서버 측에 독점적으로 상호 작용.

"그것은 어떤 스캐너에 보이지 않는, 모든 해킹 된 서버 자체에서 발생하기 때문에. Magecart의 skimers은 일반적으로 브라우저 측에서 발견되었다, 하지만 서버 측에서 그들은 "감지하기가 훨씬 더 어렵다, – 사이드 연구원 Jeromen 구라.

또한 연구에 관계없이 이메일 서비스의 사용 것을 보여 주었다, 에서 10 별도의 계정, 두 개의 서로 다른 IP 주소가 재사용되었다, 심지어 등록 사이에 몇 주 몇 달 후.

하나 개는 이러한 사서함 petersmelanie @protonmail입니다, 등록에 사용 된 23 도메인, 포함 my1xbet[.]상단. 이 도메인은이 취약점을 악용하는 피싱 캠페인에 사용 된 CVE-2017-0199 마이크로 소프트 오피스의. 같은 메일 계정은 오라클 비즈니스를 등록하는 데 사용 된[.]COM 도메인과 코발트 그룹과 관련이 오라클 공격.

트로이 킬러 소개

메모리 스틱에 트로이 킬러 휴대용 운반. 당신은 당신이 어디를 가든 당신의 PC가 어떤 사이버 위협에 저항 도울 수 있는지 확인하십시오.

또한 확인

조커 악성코드를 유포하는 가짜 오징어 게임 앱

조커 악성코드를 유포하는 가짜 오징어 게임 앱

Joker 악성 코드 배포자는 인기 있는 Netflix 시리즈의 이름을 악용합니다.. It was found on

엉망 훔친 60 Acer의 GB 데이터

엉망 훔친 60 Acer의 GB 데이터

Acer는 첨단 전자 기술을 전문으로 하는 6번째로 큰 다국적 하드웨어 및 전자 기업입니다.. 이것의 …

회신을 남겨주