Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Новый вариант скиммера Grelos пролил свет на инфраструктуру Magecart

20/11/20

hack46-3Исследователи кибербезопасности из RiskIQ рассказали о новом варианте скиммера Grelos. Экспертам удалось узнать, как одна и та же инфраструктура может использоваться различными группировками Magecart или быть задействована в фишинговых кампаниях или кампаниях по распространению вредоносного ПО, в связи с чем ИБ-экспертам становится сложнее отслеживать отдельные группировки.

Скиммер Grelos был обнаружен в 2015 году и ранее был связан с группировками Magecart 1 и 2, однако скиммер также был зафиксирован в ходе атак других злоумышленников. Новый вариант Grelos представляет собой скиммер на основе протокола WebSocket, который использует обфускацию в кодировке base64 для сокрытия действий. Как полагают эксперты, скиммер не имеет прямого отношения к версиям 2015 и 2016 годов, но использует некоторые фрагменты кода и закодирован с помощью base64.

Новый вариант скиммера был обнаружен при исследовании доменов, связанных с атакой Magecart на оператора мобильной связи Boom! Mobile. Группировка Full(z) House загрузила вредоносный JavaScript-код в сеть провайдера мобильной сети для хищения данных о клиентах. Домены, использованные в ходе кибератаки, привели команду к cookie-файлам и связанным со скиммером web-сайтам. Однако, к своему удивлению эксперты обнаружили совсем не скиммер Full(z) House, а новую версию Grelos.

Данный вариант имеет аналогичный этап загрузчика в кодировке base64, но содержит только один уровень кодирования, аналогичные теги сценария, орфографические ошибки и включает словарь под названием translate с фразами, используемыми поддельными платежными формами, созданными вредоносным ПО. Для кражи данных скиммер использовал протокол WebSockets.

Темы:УгрозыMagecartRiskIQскиммеры
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...