Forskere identifisert en kobling mellom Magecart konsernet 4 og Cobalt

Et team av sikkerhetsforskere fra Malwarebytes og HYAS oppdaget en kobling mellom de webkriminelle fra Magecart Gruppe 4 og Cobalt (også kjent som Carbanak, Fin7 og Anunak).

ENccording til analysen, Gruppe 4 skimming ikke bare på kundens side, men sannsynligvis fortsetter å gjøre det samme på serveren.

Magecart er et begrep som forener mer enn et dusin av cybercriminal grupper som spesialiserer seg i gjennomføringen av skript for å stjele Bankkort data i betalingsformer på nettsteder. De er ansvarlige for angrepene på slike selskaper som Amerisleep, Min pute, Ticket, British Airways, OXO og Newegg.

"Gruppe 4 er en av de mest “avanserte” grupperinger. Deltakerne bruker avanserte metoder for å maskere trafikk, For eksempel, ved å registrere domenenavn knyttet til analytiske selskaper eller annonsører. Gruppen har erfaring med bank malware, så vel som Cobalt gruppe”, – eksperter av Malwarebytes fortelle.

Forskere spores de ulike Magecart grupper, så for elementer av sin infrastruktur, samt forbindelser mellom domener og IP-adresser. Basert på indikatorer for kompromiss, registrerte domener, brukte taktikk, metoder og prosedyrer, Forskerne konkluderte med at Cobalt kunne ha byttet til web-skimming.

Les også: Echobot botnet lansert storskala angrep på IOT enheter

Hvilke domener de skimers ble lastet ned registrert til e-post adresse i ProtonMail tjeneste, som RiskIQ forskere tidligere knyttet til Magecart. Etter analysering av dataene, eksperter tilknyttet denne adressen med andre registreringsbrev og fant en generell karakter, Spesielt, ved opprettelse av postbokser, malen [Navn], [initialer], [etternavn] var brukt, som Cobalt nylig brukt for ProtonMail kontoer.

Når du analyserer konsernet 4 infrastruktur, Forskerne oppdaget et PHP-script som ble tatt for Javascript-kode. Denne type kildekoden kan bare ses med tilgang til serveren, skriptet samhandler utelukkende med serversiden.

“Det er usynlig for enhver skanner, fordi alt skjer på hacket serveren selv. Magecart skimers ble vanligvis funnet på nettleseren side, men på serversiden de er mye vanskeligere å oppdage”, – sier forsker Jeromen Segura.

Videre forskning viste at uavhengig av e-posttjenesten brukes, I 10 separate kontoer, bare to forskjellige IP-adresser ble gjenbrukt, selv etter flere uker og måneder mellom registreringer.

En slik postkassen er petersmelanie @protonmail, som ble brukt til å registrere 23 domener, inkludert my1xbet[.]topp. Dette domenet ble brukt i en phishing-kampanje for å utnytte sikkerhetsproblemet CVE-2017-0199 i Microsoft Office. Det samme postkontoen ble brukt til å registrere orakel-business[.]com domene og Oracle angrep som ble forbundet med Cobalt gruppen.

Polina Lisovskaya

Jeg jobber som markedssjef i mange år nå og elsker å søke etter interessante emner for deg

Legg igjen et svar

Tilbake til toppen-knappen