Onderzoekers van Malwarebytes gerapporteerd dat een verband gevonden tussen de MageCart 5 groep en de beroemde criminele groep Carbanak en de banktrojan Dridex.
RiskIQ experts, die zijn het observeren van MageCart groepen voor een lange tijd, schreef dat MageCart 5 is een van de meest professionele en serieuze groepen in dit gebied. Onder verwijzing naar, In 2018, RiskIQ onderzoekers geïdentificeerd 12 dergelijke groepen, terwijl nu, volgens IBM, er is al 38 van hen.“Deze groepering hacks alleen third-party service providers, maar niet direct aan te vallen online winkels. Deze groep heeft uitgewezen creativiteit en gebruikten de CDN (Content Delivery Network) en reclame om de kwaadaardige code te injecteren in sites”, – zeggen RiskIQ experts.
En in september van dit jaar, IBM experts ontdekten dat MageCart 5 ontwikkelde speciale scripts voor plaatsing op Layer 7 routers en de daaropvolgende diefstal van bankkaarten. Dit maakt het mogelijk te concluderen dat aanvallers ging van sites om aanvallen op routers.
Nu, Malwarebytes experts hebben gemeld dat ze erin geslaagd om de MageCart verbinden 5 groep met de bekende criminele groep Carbanak en de banktrojan Dridex. Om dit te doen, bestudeerden de onderzoekers acht top-level domeinen die de naam Informaer gebruiken en worden geassocieerd met MageCart 5 volgens RiskIQ.
Lees ook: Identificeerden de onderzoekers een verband tussen de Magecart Group 4 en Cobalt
Met behulp van WHOIS records die de komst van de algemene verordening gegevensbescherming voorafgegaan (GDPR), de onderzoekers ging naar een “kogelvrije” registrar in China genoemd BIZCN / CNOBIN.
Net zoals bij “kogelvrij” hosting, dergelijke bedrijven negeren alle klachten over de illegale activiteiten van de klanten, en gebruikersidentiteiten worden geheim gehouden. Echter, specialisten in geslaagd om de negende Informaer domein te identificeren (informaer[.]info), die bleek niet zo goed beschermd te zijn en leidde de deskundigen om het e-mailadres (guotang323@yahoo.com) en telefoonnummer (+86.1066569215).
“Deze domeinnaam is geregistreerd op hetzelfde moment als de andere Informaer domeinen (letterlijk het over seconden), en werd vrijwel zeker gebruikt in MageCart 5”, – verslag Malwarebytes experts.
De genoemde e-mailadres bleek geassocieerd te worden met andere domeinen door dezelfde persoon geregistreerd. Onder hen waren verschillende domeinen in verband met phishing campagnes Dridex, waarvan het Swiss CERT sprak in detail In 2017: corporatefaxsolutions[.]met, onenewpost[.]Com en xeronet[.]Org.
belangwekkend, experts hebben al voldaan aan het telefoonnummer. Afgelopen jaar, de beroemde IS journalist Brian Krebs nu al vermeld deze kwestie in zijn artikel over het onderzoek van Carbanak en theorieën over de oorsprong van de groep.
Tegelijkertijd, Malwarebytes experts geven toe dat alle registratie-informatie informaer[.]Info kan speciaal worden vervalst om onderzoekers te verwarren. Echter, Dit alles gebeurde in 2016, wanneer de toekenning van MageCart is nog niet onderzocht. Analisten geloven dat het onwaarschijnlijk is dat Magecart 5 deelnemers werden al aan het proberen om de tracks te verwarren, gezien het feit dat niemand ze nog had gejaagd.
