Hjem » Nyheter » Eksperter har funnet en forbindelse mellom Carbanak og en av gruppene MageCart

Eksperter har funnet en forbindelse mellom Carbanak og en av gruppene MageCart

Forskere ved Malwarebytes rapportert at de har funnet en forbindelse mellom MageCart 5 gruppe og den berømte kriminell gruppe Carbanak og bank Trojan Dridex.

RiskIQ eksperter, som har observert MageCart grupper i lang tid, skrev at MageCart 5 er en av de mest profesjonelle og seriøse grupper i dette området. Minner, i 2018, RiskIQ forskere identifisert 12 slike grupper, mens nå, i henhold til IBM, det allerede 38 av dem.

“Denne grupperingen hacks bare tredjeparts tjenesteleverandører, men ikke direkte angripe nettbutikker. Denne spesielle gruppe har allerede vist kreativitet og brukt CDN (innholdsdistribusjonsnettverket) og reklame for å injisere sin ondsinnet kode i nettsider”, – sier RiskIQ eksperter.

Og i september i år, IBM eksperter oppdaget at MageCart 5 utviklede spesielle skript for plassering på Layer 7 rutere og den påfølgende tyveri av bankkort. Dette gjør konkludere med at angripere gikk fra nettstedene til angrep på rutere.

Nå, Malwarebytes eksperter har rapportert at de klarte å koble MageCart 5 gruppe med den velkjente kriminell gruppe Carbanak og bank Trojan Dridex. Å gjøre dette, forskerne studert åtte toppnivådomener som bruker Informaer navn og er forbundet med MageCart 5 ifølge RiskIQ.

Les også: Forskere identifisert en kobling mellom Magecart konsernet 4 og Cobalt

Bruke WHOIS-poster som gikk forut for bruk av General Data Protection Regulation (GDPR), Forskerne gikk til en “skuddsikker” registrar i Kina kalt BIZCN / CNOBIN.

I likhet med “skuddsikre” hosting, slike selskaper ignorere alle klager på ulovlig aktivitet kunder, og brukeridentiteter holdes hemmelig. derimot, spesialister klart å identifisere den niende Informaer domene (informaer[.]info), som viste seg å ikke være så godt beskyttet og ledet eksperter til e-postadressen (guotang323@yahoo.com) og telefonnummer (+86.1066569215).

“Dette domenet ble registrert på samme tid som de andre Informaer domener (bokstavelig talt snakker om sekunder), og ble nesten helt sikkert brukt i MageCart 5”, – rapport Malwarebytes eksperter.

Den nevnte e-postadresse viste seg å være assosiert med andre domener som er registrert av samme person. Blant dem var flere domener knyttet til Dridex phishing kampanjer, hvortil Swiss CERT snakket i detalj i 2017: corporatefaxsolutions[.]med, onenewpost[.]Com og xeronet[.]Org.

LESE  [LØST!] How to remove cpuchecker.exe trojan coin miner? (High CPU usage by cpuchecker.exe)

Interessant, eksperter har allerede møtt telefonnummeret. I fjor, den berømte IS journalist Brian Krebs allerede nevnt dette problemet i sin artikkel om etterforskningen av Carbanak og teorier om opprinnelsen av gruppen.

Samtidig, Malwarebytes eksperter innrømme at all registreringsinformasjon informaer[.]Info kan være spesielt forfalsket for å forvirre forskere. derimot, alt dette skjedde i 2016, når fordelingen av MageCart har ennå ikke blitt undersøkt. Analytikere mener det er usannsynlig at Magecart 5 Deltakerne ble allerede prøver å forvirre sporene, gitt at ingen hadde jaget dem ennå.

[Totalt:0    Gjennomsnitt:0/5]

Om Trojan Killer

Carry Trojan Killer Portable på minnepinne. Vær sikker på at du er i stand til å hjelpe din PC motstå eventuelle cyber trusler uansett hvor du går.

Sjekk også

Zonealarm hacket med vBulletin sårbarhet

Zonealarm fora hacket på grunn av vBulletin sårbarhet

Forumet på Zonealarm, which is owned by Check Point and whose products are used

Hvordan fjerne Villedende:Win32 / Lodi virus?

Misleading:Win32/Lodi is a generic detection utilized by Microsoft Security Essentials, Windows Defender and other anti-virus

Legg igjen et svar