Os pesquisadores identificaram uma ligação entre o Grupo Magecart 4 e Cobalt

Uma equipe de pesquisadores de segurança de Malwarebytes e HYAS descoberto uma ligação entre os cibercriminosos do Grupo Magecart 4 e Cobalt (também conhecido como Carbanak, Fin7 e Anunak).

UMAegundo a análise, Grupo 4 desnatação não só no lado do cliente, mas provavelmente continua a fazer o mesmo no servidor.

Magecart é um termo que une mais de uma dúzia de grupos de cibercriminosos especializadas na implementação de scripts para roubar dados de cartão bancário em formas de pagamento em sites. Eles são responsáveis ​​por ataques a empresas como Amerisleep, Meu travesseiro, Ticketmaster, British Airways, OXO e Newegg.

"Grupo 4 é um dos mais agrupamentos “avançadas”. Seus participantes utilizam métodos sofisticados para mascarar tráfego, Por exemplo, pelo registro de nomes de domínio associados com empresas analíticas ou anunciantes. O grupo tem experiência com malware bancário, bem como o grupo de cobalto”, – especialistas de Malwarebytes dizer.

Os pesquisadores acompanharam os vários grupos Magecart, procuraram elementos da sua infra-estrutura, bem como conexões entre domínios e endereços IP. Com base em indicadores de compromisso, domínios registrados, táticas usadas, métodos e procedimentos, os pesquisadores concluíram que Cobalt pode ter mudado para web-desnatação.

Leia também: Echobot botnet lançou ataques em larga escala em dispositivos IOT

Os domínios dos quais os skimers foram baixadas registrados para o endereço de correio no serviço ProtonMail, que RiskIQ pesquisadores anteriormente ligados a Magecart. Depois de analisar os dados, os especialistas associado este endereço com outras letras de registro e encontrou uma natureza geral, Em particular, ao criar caixas de correio, o modelo [Nome], [iniciais], [Último nome] foi usado, que Cobalt recentemente utilizado para contas ProtonMail.

Ao analisar o Grupo 4 a infraestrutura, os pesquisadores descobriram um script PHP que foi confundido com o código JavaScript. Este tipo de código fonte só pode ser visto com o acesso ao servidor, o script interage exclusivamente com o lado do servidor.

“Ele é invisível para qualquer scanner, porque tudo acontece no próprio servidor hackeado. skimers Magecart foram geralmente encontrada no lado do navegador, mas no lado do servidor são muito mais difíceis de detectar”, – disse o pesquisador Jeromen Segura.

Outras pesquisas mostraram que, independentemente do serviço de e-mail usado, Em 10 contas separadas, apenas dois endereços IP diferentes foram reutilizados, mesmo depois de várias semanas e meses entre o registo.

Um tal caixa de correio é @protonmail petersmelanie, o qual foi utilizado para registar 23 domínios, incluindo my1xbet[.]topo. Este domínio foi usado em uma campanha de phishing para explorar a vulnerabilidade CVE-2017-0199 no Microsoft Office. A mesma conta de e-mail foi usado para registrar o oráculo-business[.]com domínio e os ataques Oracle que foram associados ao grupo Cobalt.

Sobre Trojan Killer

Carry Trojan Killer portátil em seu memory stick. Certifique-se que você é capaz de ajudar o seu PC resistir a quaisquer ameaças cibernéticas onde quer que vá.

Além disso, verifique

Roubou bagunça 60 Dados de GB da Acer

Roubou bagunça 60 Dados de GB da Acer

Acer é a sexta maior corporação multinacional de hardware e eletrônica especializada em tecnologia eletrônica avançada. Está …

Rede que vende serviços financeiros falsos foi encerrada

Golpe de venda de rede em vez de encerramento de serviços financeiros

Mais de € 15 milhões foram roubados de investidores alemães por golpistas. Empresa com sede na Ucrânia …

Deixe uma resposta