Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Новый вариант скиммера Grelos пролил свет на инфраструктуру Magecart

20/11/20

hack46-3Исследователи кибербезопасности из RiskIQ рассказали о новом варианте скиммера Grelos. Экспертам удалось узнать, как одна и та же инфраструктура может использоваться различными группировками Magecart или быть задействована в фишинговых кампаниях или кампаниях по распространению вредоносного ПО, в связи с чем ИБ-экспертам становится сложнее отслеживать отдельные группировки.

Скиммер Grelos был обнаружен в 2015 году и ранее был связан с группировками Magecart 1 и 2, однако скиммер также был зафиксирован в ходе атак других злоумышленников. Новый вариант Grelos представляет собой скиммер на основе протокола WebSocket, который использует обфускацию в кодировке base64 для сокрытия действий. Как полагают эксперты, скиммер не имеет прямого отношения к версиям 2015 и 2016 годов, но использует некоторые фрагменты кода и закодирован с помощью base64.

Новый вариант скиммера был обнаружен при исследовании доменов, связанных с атакой Magecart на оператора мобильной связи Boom! Mobile. Группировка Full(z) House загрузила вредоносный JavaScript-код в сеть провайдера мобильной сети для хищения данных о клиентах. Домены, использованные в ходе кибератаки, привели команду к cookie-файлам и связанным со скиммером web-сайтам. Однако, к своему удивлению эксперты обнаружили совсем не скиммер Full(z) House, а новую версию Grelos.

Данный вариант имеет аналогичный этап загрузчика в кодировке base64, но содержит только один уровень кодирования, аналогичные теги сценария, орфографические ошибки и включает словарь под названием translate с фразами, используемыми поддельными платежными формами, созданными вредоносным ПО. Для кражи данных скиммер использовал протокол WebSockets.

Темы:УгрозыMagecartRiskIQскиммеры
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...