首页保安撇渣器Grelos显示了检测Magecart攻击的难度

撇渣器Grelos显示了检测Magecart攻击的难度

撇渣器的新变体Grelos的发现揭示了与查找各种Magecart战役相关的困难。

在周三,RiskIQ研究人员描述了新的Skimmer Grelos如何在Magecart基础架构和团队中显示“重叠增加”,这种恶意软件-以及其他形式的Skimmer-现在托管在许多人使用的域基础架构上团体或通过WHOIS订阅,著名的电子捕鱼活动(钓鱼)和其他恶意程序的开发,从而创建可能难以分离的“关联”。

Magecart分离器

Magecart是一个术语,用于描述信息盗窃和威胁活动,代理商专门从事从电子商务网站盗窃支付卡数据的行为。

几年前,诸如 英国航空 Ticketmaster成为这种攻击的首批主要受害者,从那以后,无数 网站 已经成为同一技术的受害者。

Grelos分离器的新变种(至少自2015年以来一直存在,并且与Magecart 1和2组有关)似乎像是研究人员@AffableKraut在64月描述的独特菌株。 此变体是基于WebSocket的撇渣器,使用baseXNUMX隐藏它们 活动 他的。

“我们认为这种撇渣器与1-2年度第2015-16组的活动没有直接关系,而是 他们的代码之一”,RiskIQ说。 “此版本的分离器具有一个'加载器阶段'和'分离器阶段'-两者都具有五倍的base64编码。”

在对Boom进行Magecart攻击后! MobileI,RiskIQ调查了该攻击,其中Fullz House团队恶意指控 JavaScript的 移动网络提供商“迎合”客户数据。

此网络攻击中使用的域将团队引向了cookie和相关的撇渣器站点,包括facebookapimanager [。] Com和googleapimanager [。] Com。

但是,研究人员没有找到撇渣器Fullz屋,而是发现了一种新型的撇渣器变体Grelos。 此菌株具有与base64编码类似的加载器阶段,但只有一个编码级别,重复 脚本标签,拼写错误,并包括一个名为“翻译”的字典,其中包含伪造形式使用的短语 付款 由恶意软件创建。 Web套接字仍用于数据渗透。

RiskIQ近年来注意到与Magecart相关的几个新的撇油器变型。 该公司表示,Fullz House撇渣器已被其他人选中 黑客团体,甚至利用某些相同的基础结构(例如托管提供商)来托管其他撇油器,包括Grelos,后者也与Inter撇油器共享IP。

反过来,这会在监视各个Magecart团队的活动时产生“不安”,其中许多团队正在积极对公司发起新的攻击。 电子商务 每天。

现货图片

实时新闻