Hjem » Hvordan fjerne » skadelig prosess » Forskere identifisert en kobling mellom Magecart konsernet 4 og Cobalt

Forskere identifisert en kobling mellom Magecart konsernet 4 og Cobalt

Et team av sikkerhetsforskere fra Malwarebytes og HYAS oppdaget en kobling mellom de webkriminelle fra Magecart Gruppe 4 og Cobalt (også kjent som Carbanak, Fin7 og Anunak).

ENccording til analysen, Gruppe 4 skimming ikke bare på kundens side, men sannsynligvis fortsetter å gjøre det samme på serveren.

Magecart er et begrep som forener mer enn et dusin av cybercriminal grupper som spesialiserer seg i gjennomføringen av skript for å stjele Bankkort data i betalingsformer på nettsteder. De er ansvarlige for angrepene på slike selskaper som Amerisleep, Min pute, Ticket, British Airways, OXO og Newegg.

"Gruppe 4 er en av de mest “avanserte” grupperinger. Deltakerne bruker avanserte metoder for å maskere trafikk, for eksempel, ved å registrere domenenavn knyttet til analytiske selskaper eller annonsører. Gruppen har erfaring med bank malware, så vel som Cobalt gruppe”, – eksperter av Malwarebytes fortelle.

Forskere spores de ulike Magecart grupper, så for elementer av sin infrastruktur, samt forbindelser mellom domener og IP-adresser. Basert på indikatorer for kompromiss, registrerte domener, brukte taktikk, metoder og prosedyrer, Forskerne konkluderte med at Cobalt kunne ha byttet til web-skimming.

Les også: Echobot botnet lansert storskala angrep på IOT enheter

Hvilke domener de skimers ble lastet ned registrert til e-post adresse i ProtonMail tjeneste, som RiskIQ forskere tidligere knyttet til Magecart. Etter analysering av dataene, eksperter tilknyttet denne adressen med andre registreringsbrev og fant en generell karakter, spesielt, ved opprettelse av postbokser, malen [Navn], [initialer], [etternavn] var brukt, som Cobalt nylig brukt for ProtonMail kontoer.

Når du analyserer konsernet 4 infrastruktur, Forskerne oppdaget et PHP-script som ble tatt for Javascript-kode. Denne type kildekoden kan bare ses med tilgang til serveren, skriptet samhandler utelukkende med serversiden.

“Det er usynlig for enhver skanner, fordi alt skjer på hacket serveren selv. Magecart skimers ble vanligvis funnet på nettleseren side, men på serversiden de er mye vanskeligere å oppdage”, – sier forsker Jeromen Segura.

Videre forskning viste at uavhengig av e-posttjenesten brukes, i 10 separate kontoer, bare to forskjellige IP-adresser ble gjenbrukt, selv etter flere uker og måneder mellom registreringer.

LESE  xHelper “undeletable” Trojan smittet 45,000 Android-enheter

En slik postkassen er petersmelanie @protonmail, som ble brukt til å registrere 23 domener, inkludert my1xbet[.]topp. Dette domenet ble brukt i en phishing-kampanje for å utnytte sikkerhetsproblemet CVE-2017-0199 i Microsoft Office. Det samme postkontoen ble brukt til å registrere orakel-business[.]com domene og Oracle angrep som ble forbundet med Cobalt gruppen.

[Totalt:0    Gjennomsnitt:0/5]

Om Trojan Killer

Carry Trojan Killer Portable på minnepinne. Vær sikker på at du er i stand til å hjelpe din PC motstå eventuelle cyber trusler uansett hvor du går.

Sjekk også

Bug i McAfee antivirus-produkter

Forskerne fant farlig feil i McAfee antivirus-produkter

SafeBreach specialists discovered a dangerous bug in McAfee antivirus products. The vulnerability CVE-2019-3648 affects McAfee

Trojan Predator tyven

Trojan Predator Tyven angrep enkle penger elskere og kryptovaluta jegere

An independent IS researcher discovered a fraudulent campaign on YouTube, which spreads the spyware Trojan

Legg igjen et svar