Банковский троян Dridex был впервые обнаружен в 2014 году, пик его активности пришелся на 2014-2015 годы, а в 2016-2017 годах исследователи зафиксировали спад количества операций, осуществляемых с помощью данного вредоноса. Он до сих пор продолжает распространяться через вредоносные спам-кампании с использованием поддельных счетов.
Исследователи проанализировали домены Magecart, зарегистрированные через известный китайский «пуленепробиваемый» регистратор BIZCN/CNOBIN. Преступники зарегистрировали несколько доменов для своих вредоносных кампаний, используя сервисы, обеспечивающие конфиденциальность, однако не обеспечили защиту всех своих записей. Таким образом специалистам удалось выявить несколько вредоносных доменов, зарегистрированных на адрес guotang323@yahoo.com, ранее засветившимся как в атаках Magecart, так и во вредоносных кампаниях с использованием Dridex.
Еще одним интересным моментом в данных регистратора informaer.info является номер телефона, который упоминается специалистом Брайаном Кребсом (Brian Krebs) в материале о связи между российской охранной фирмой и группой Carbanak.
Напомним, ранее команда исследователей безопасности из компаний Malwarebytes и HYAS также обнаружила связь между киберпреступными группировками Magecart Group 4 и Cobalt.