Forskere ved Malwarebytes rapportert at de har funnet en forbindelse mellom MageCart 5 gruppe og den berømte kriminell gruppe Carbanak og bank Trojan Dridex.
RiskIQ eksperter, som har observert MageCart grupper i lang tid, skrev at MageCart 5 er en av de mest profesjonelle og seriøse grupper i dette området. Minner, I 2018, RiskIQ forskere identifisert 12 slike grupper, mens nå, i henhold til IBM, det allerede 38 av dem.“Denne grupperingen hacks bare tredjeparts tjenesteleverandører, men ikke direkte angripe nettbutikker. Denne spesielle gruppe har allerede vist kreativitet og brukt CDN (innholdsdistribusjonsnettverket) og reklame for å injisere sin ondsinnet kode i nettsider”, – sier RiskIQ eksperter.
Og i september i år, IBM eksperter oppdaget at MageCart 5 utviklede spesielle skript for plassering på Layer 7 rutere og den påfølgende tyveri av bankkort. Dette gjør konkludere med at angripere gikk fra nettstedene til angrep på rutere.
Nå, Malwarebytes eksperter har rapportert at de klarte å koble MageCart 5 gruppe med den velkjente kriminell gruppe Carbanak og bank Trojan Dridex. Å gjøre dette, forskerne studert åtte toppnivådomener som bruker Informaer navn og er forbundet med MageCart 5 ifølge RiskIQ.
Les også: Forskere identifisert en kobling mellom Magecart konsernet 4 og Cobalt
Bruke WHOIS-poster som gikk forut for bruk av General Data Protection Regulation (GDPR), Forskerne gikk til en “skuddsikker” registrar i Kina kalt BIZCN / CNOBIN.
I likhet med “skuddsikre” hosting, slike selskaper ignorere alle klager på ulovlig aktivitet kunder, og brukeridentiteter holdes hemmelig. derimot, spesialister klart å identifisere den niende Informaer domene (informaer[.]info), som viste seg å ikke være så godt beskyttet og ledet eksperter til e-postadressen (guotang323@yahoo.com) og telefonnummer (+86.1066569215).
“Dette domenet ble registrert på samme tid som de andre Informaer domener (bokstavelig talt snakker om sekunder), og ble nesten helt sikkert brukt i MageCart 5”, – rapport Malwarebytes eksperter.
Den nevnte e-postadresse viste seg å være assosiert med andre domener som er registrert av samme person. Blant dem var flere domener knyttet til Dridex phishing kampanjer, hvortil Swiss CERT snakket i detalj I 2017: corporatefaxsolutions[.]med, onenewpost[.]Com og xeronet[.]Org.
Interessant, eksperter har allerede møtt telefonnummeret. I fjor, den berømte IS journalist Brian Krebs allerede nevnt dette problemet i sin artikkel om etterforskningen av Carbanak og teorier om opprinnelsen av gruppen.
Samtidig, Malwarebytes eksperter innrømme at all registreringsinformasjon informaer[.]Info kan være spesielt forfalsket for å forvirre forskere. derimot, alt dette skjedde i 2016, når fordelingen av MageCart har ennå ikke blitt undersøkt. Analytikere mener det er usannsynlig at Magecart 5 Deltakerne ble allerede prøver å forvirre sporene, gitt at ingen hadde jaget dem ennå.
