Os pesquisadores identificaram uma ligação entre o Grupo Magecart 4 e Cobalt

Uma equipe de pesquisadores de segurança de Malwarebytes e HYAS descoberto uma ligação entre os cibercriminosos do Grupo Magecart 4 e Cobalt (também conhecido como Carbanak, Fin7 e Anunak).

UMAegundo a análise, Grupo 4 desnatação não só no lado do cliente, mas provavelmente continua a fazer o mesmo no servidor.

Magecart é um termo que une mais de uma dúzia de grupos de cibercriminosos especializadas na implementação de scripts para roubar dados de cartão bancário em formas de pagamento em sites. Eles são responsáveis ​​por ataques a empresas como Amerisleep, Meu travesseiro, Ticketmaster, British Airways, OXO e Newegg.

"Grupo 4 é um dos mais agrupamentos “avançadas”. Seus participantes utilizam métodos sofisticados para mascarar tráfego, Por exemplo, pelo registro de nomes de domínio associados com empresas analíticas ou anunciantes. O grupo tem experiência com malware bancário, bem como o grupo de cobalto”, – especialistas de Malwarebytes dizer.

Os pesquisadores acompanharam os vários grupos Magecart, procuraram elementos da sua infra-estrutura, bem como conexões entre domínios e endereços IP. Com base em indicadores de compromisso, domínios registrados, táticas usadas, métodos e procedimentos, os pesquisadores concluíram que Cobalt pode ter mudado para web-desnatação.

Leia também: Echobot botnet lançou ataques em larga escala em dispositivos IOT

Os domínios dos quais os skimers foram baixadas registrados para o endereço de correio no serviço ProtonMail, que RiskIQ pesquisadores anteriormente ligados a Magecart. Depois de analisar os dados, os especialistas associado este endereço com outras letras de registro e encontrou uma natureza geral, Em particular, ao criar caixas de correio, o modelo [Nome], [iniciais], [Último nome] foi usado, que Cobalt recentemente utilizado para contas ProtonMail.

Ao analisar o Grupo 4 a infraestrutura, os pesquisadores descobriram um script PHP que foi confundido com o código JavaScript. Este tipo de código fonte só pode ser visto com o acesso ao servidor, o script interage exclusivamente com o lado do servidor.

“Ele é invisível para qualquer scanner, porque tudo acontece no próprio servidor hackeado. skimers Magecart foram geralmente encontrada no lado do navegador, mas no lado do servidor são muito mais difíceis de detectar”, – disse o pesquisador Jeromen Segura.

Outras pesquisas mostraram que, independentemente do serviço de e-mail usado, Em 10 contas separadas, apenas dois endereços IP diferentes foram reutilizados, mesmo depois de várias semanas e meses entre o registo.

Um tal caixa de correio é @protonmail petersmelanie, o qual foi utilizado para registar 23 domínios, incluindo my1xbet[.]topo. Este domínio foi usado em uma campanha de phishing para explorar a vulnerabilidade CVE-2017-0199 no Microsoft Office. A mesma conta de e-mail foi usado para registrar o oráculo-business[.]com domínio e os ataques Oracle que foram associados ao grupo Cobalt.

Polina Lisovskaya

Trabalho como gerente de marketing há anos e adoro pesquisar tópicos interessantes para você

Deixe uma resposta

Botão Voltar ao Topo