Pesquisadores da Malwarebytes relatado que encontraram uma ligação entre a MageCart 5 grupo e do famoso grupo criminoso Carbanak e bancário Trojan Dridex.
Respecialistas iskIQ, que têm vindo a observar grupos MageCart por um longo tempo, escreveu que MageCart 5 é um dos mais grupos profissionais e sérios nesta área. Recordando, Em 2018, pesquisadores RiskIQ identificado 12 tais grupos, enquanto agora, de acordo com IBM, já existe 38 deles.“Este agrupamento hacks apenas prestadores de serviços de terceiros, mas não ataca diretamente as lojas online. Este grupo particular já mostrou criatividade e utilizado o CDN (rede de distribuição de conteúdo) e publicidade para injetar seu código malicioso em sites de”, – dizem os especialistas RiskIQ.
E em setembro deste ano, especialistas da IBM descobriu que MageCart 5 roteiros especiais desenvolvidos para a colocação na Camada 7 roteadores e o roubo posterior de cartões bancários. Isso permite concluir que os atacantes passou de sites para ataques em roteadores.
Agora, especialistas Malwarebytes relataram que eles conseguiram ligar o MageCart 5 grupo com o grupo criminoso conhecido Carbanak e bancário Trojan Dridex. Para fazer isso, os pesquisadores estudaram oito domínios de nível superior que usam o nome Informaer e estão associados com MageCart 5 de acordo com RiskIQ.
Leia também: Os pesquisadores identificaram uma ligação entre o Grupo Magecart 4 e Cobalt
Usando registros WHOIS que precederam o advento do Regulamento Geral de Protecção de Dados (PIBR), os pesquisadores foram para um registrador “à prova de balas” na China chamada BIZCN / CNOBIN.
Da mesma forma que “Bulletproof” hospedagem, tais empresas ignoram todas as queixas sobre a atividade ilegal de clientes, e as identidades dos usuários são mantidos em segredo. Contudo, especialistas conseguiram identificar o domínio Informaer nono (informaer[.]informações), que acabou por não ser tão bem protegidos e levou os especialistas para o endereço de email (guotang323@yahoo.com) e número de telefone (+86.1066569215).
“Este domínio foi registrado ao mesmo tempo que os outros domínios Informaer (literalmente falando segundos), e foi quase certamente usado em MageCart 5”, – especialistas Malwarebytes relatório.
O endereço de e-mail mencionado acabou por ser associada a outros domínios registrados pela mesma pessoa. Entre eles estavam vários domínios relacionados com a Dridex campanhas de phishing, para que o Swiss CERT falou em detalhes Em 2017: corporatefaxsolutions[.]com, onenewpost[.]Com e xeronet[.]Org.
Curiosamente, especialistas já conheceu o número de telefone. Ano passado, o famoso é jornalista Brian Krebs já mencionado esta questão em seu artigo sobre a investigação de Carbanak e teorias sobre a origem do grupo.
Ao mesmo tempo, especialistas Malwarebytes admitir que tudo informaer informações de registro[.]Informações podem ser especialmente falsificados, a fim de confundir os investigadores. Contudo, Tudo isso aconteceu em 2016, quando a atribuição de MageCart ainda não foi investigado. Analistas acreditam que é improvável que Magecart 5 participantes já estavam tentando confundir as faixas, dado que ninguém os tinha caçado ainda.
