Huis » Hoe te verwijderen » Schadelijke proces » Identificeerden de onderzoekers een verband tussen de Magecart Group 4 en Cobalt

Identificeerden de onderzoekers een verband tussen de Magecart Group 4 en Cobalt

Een team van security onderzoekers van Malwarebytes en Hyas ontdekt een verband tussen de cybercriminelen Magecart Group 4 en Cobalt (ook bekend als Carbanak, Fin7 en Anunak).

EENolgens de analyse, Groep 4 skimming niet alleen aan de kant van de klant, maar waarschijnlijk nog steeds om hetzelfde te doen op de server.

Magecart is een term die meer dan een dozijn van cybercrimineel groepen die gespecialiseerd zijn in de uitvoering van scripts om bankkaart gegevens te stelen bij de betaling formulieren op websites verenigt. Zij zijn verantwoordelijk voor aanvallen op bedrijven zoals Amerisleep, Mijn kussen, Ticketmaster, British Airways, OXO en Newegg.

"Groep 4 is een van de meest “geavanceerde” groeperingen. De deelnemers maken gebruik van geavanceerde methoden om het verkeer te maskeren, bijvoorbeeld, door het registreren van domeinnamen in verband met analytische bedrijven of adverteerders. De groep heeft ervaring met banking malware, evenals de Cobalt groep”, – experts van Malwarebytes vertellen.

De onderzoekers volgden de verschillende Magecart groepen, gezocht naar elementen van hun infrastructuur, en de verbindingen tussen domeinen en IP-adressen. Op basis van de indicatoren van een compromis, geregistreerde domeinen, gebruikte tactiek, methoden en procedures, de onderzoekers geconcludeerd dat Cobalt zou zijn overgestapt op web-skimming.

Lees ook: Echobot botnet gelanceerd grootschalige aanvallen op IOT apparaten

De domeinen waaruit de skimers zijn gedownload geregistreerd op het e-mailadres in de ProtonMail dienst, waarin onderzoekers eerder in verband met Magecart RiskIQ. Na analyse van de gegevens, de deskundigen in verband dit adres met andere registratie letters en vond een algemene aard, vooral, bij het maken van mailboxen, de sjabloon [naam], [initialen], [achternaam] was gebruikt, die Cobalt recent gebruikte voor ProtonMail accounts.

Bij het analyseren van de Groep 4 infrastructuur, onderzoekers ontdekten een PHP-script dat werd verward met JavaScript-code. Dit type van de broncode kan alleen worden gezien met de toegang tot de server, het script samenwerkt uitsluitend met de server side.

“Het is onzichtbaar voor elke scanner, want alles wat er gebeurt op de gehackte server zelf. Magecart skimers zijn meestal te vinden op de browser kant, maar op de server kant zijn ze veel moeilijker op te sporen”, – zegt onderzoeker Jeromen Segura.

Verder onderzoek toonde aan dat, ongeacht de e-mailservice gebruikt, in 10 afzonderlijke rekeningen, slechts twee verschillende IP-adressen werden hergebruikt, zelfs na enkele weken en maanden tussen registraties.

LEZEN  Hoe te verwijderen Window.exe CPU Miner Virus

Een van deze mailbox is petersmelanie @protonmail, die werd gebruikt om te registreren 23 domeinen, waaronder my1xbet[.]top. Dit domein werd gebruikt in een phishing campagne om het beveiligingslek te misbruiken CVE-2017-0199 in Microsoft Office. Hetzelfde e-mailaccount werd gebruikt om de orakel-bedrijf te registreren[.]com domein en de Oracle-aanvallen die werden geassocieerd met de Cobalt groep.

[Totaal: 0    Gemiddelde: 0/5]

Over Trojan Killer

Carry Trojan Killer Portable op je memory stick. Zorg ervoor dat u in staat om uw pc te weerstaan ​​elke cyberdreigingen overal mee naar toe bent.

Controleer ook

MageCart op de Heroku Cloud Platform

Onderzoekers vonden verschillende MageCart Web Skimmers Op Heroku Cloud Platform

Researchers at Malwarebytes reported about finding several MageCart web skimmers on the Heroku cloud platform

Android Spyware CallerSpy

CallerSpy spyware maskers als een Android-chat-applicatie

Trend Micro experts discovered the malware CallerSpy, which masks as an Android chat application and, …

Laat een antwoord achter