Een team van security onderzoekers van Malwarebytes en Hyas ontdekt een verband tussen de cybercriminelen Magecart Group 4 en Cobalt (ook bekend als Carbanak, Fin7 en Anunak).
EENolgens de analyse, Groep 4 skimming niet alleen aan de kant van de klant, maar waarschijnlijk nog steeds om hetzelfde te doen op de server.Magecart is een term die meer dan een dozijn van cybercrimineel groepen die gespecialiseerd zijn in de uitvoering van scripts om bankkaart gegevens te stelen bij de betaling formulieren op websites verenigt. Zij zijn verantwoordelijk voor aanvallen op bedrijven zoals Amerisleep, Mijn kussen, Ticketmaster, British Airways, OXO en Newegg.
"Groep 4 is een van de meest “geavanceerde” groeperingen. De deelnemers maken gebruik van geavanceerde methoden om het verkeer te maskeren, Bijvoorbeeld, door het registreren van domeinnamen in verband met analytische bedrijven of adverteerders. De groep heeft ervaring met banking malware, evenals de Cobalt groep”, – experts van Malwarebytes vertellen.
De onderzoekers volgden de verschillende Magecart groepen, gezocht naar elementen van hun infrastructuur, en de verbindingen tussen domeinen en IP-adressen. Op basis van de indicatoren van een compromis, geregistreerde domeinen, gebruikte tactiek, methoden en procedures, de onderzoekers geconcludeerd dat Cobalt zou zijn overgestapt op web-skimming.
Lees ook: Echobot botnet gelanceerd grootschalige aanvallen op IOT apparaten
De domeinen waaruit de skimers zijn gedownload geregistreerd op het e-mailadres in de ProtonMail dienst, waarin onderzoekers eerder in verband met Magecart RiskIQ. Na analyse van de gegevens, de deskundigen in verband dit adres met andere registratie letters en vond een algemene aard, Met name, bij het maken van mailboxen, de sjabloon [Naam], [initialen], [achternaam] was gebruikt, die Cobalt recent gebruikte voor ProtonMail accounts.
Bij het analyseren van de Groep 4 infrastructuur, onderzoekers ontdekten een PHP-script dat werd verward met JavaScript-code. Dit type van de broncode kan alleen worden gezien met de toegang tot de server, het script samenwerkt uitsluitend met de server side.
“Het is onzichtbaar voor elke scanner, want alles wat er gebeurt op de gehackte server zelf. Magecart skimers zijn meestal te vinden op de browser kant, maar op de server kant zijn ze veel moeilijker op te sporen”, – zegt onderzoeker Jeromen Segura.
Verder onderzoek toonde aan dat, ongeacht de e-mailservice gebruikt, In 10 afzonderlijke rekeningen, slechts twee verschillende IP-adressen werden hergebruikt, zelfs na enkele weken en maanden tussen registraties.
Een van deze mailbox is petersmelanie @protonmail, die werd gebruikt om te registreren 23 domeinen, waaronder my1xbet[.]top. Dit domein werd gebruikt in een phishing campagne om het beveiligingslek te misbruiken CVE-2017-0199 in Microsoft Office. Hetzelfde e-mailaccount werd gebruikt om de orakel-bedrijf te registreren[.]com domein en de Oracle-aanvallen die werden geassocieerd met de Cobalt groep.
