Nhóm hacker Magecart thay đổi cách thức tấn công vào hệ thống thanh toán

Một trong nhiều nhóm hack hoạt động dưới chiếc ô “Magecart” đã thay đổi chiến thuật sau báo cáo tháng 11 năm 2018 tiết lộ hoạt động của họ. 

Được gọi chung là Group 4, những kẻ tấn công được mô tả là nhóm tiên tiến nhất trong số sáu nhóm đang sử dụng skimmer web Magecart tại thời điểm đó (số lượng đã tăng lên) và các nhà nghiên cứu bảo mật của RiskIQ thậm chí còn cho rằng nhóm có thể bắt nguồn từ tội phạm mạng đã thành lập hoạt động.

Fake credit cards

Sự tiếp xúc công khai rõ ràng đã xác định Group 4 thực hiện một loạt các thay đổi đối với phương thức hoạt động của họ, đặc biệt là vì các phần của cơ sở hạ tầng của họ cũng bị gỡ xuống, RiskIQ hiện báo cáo .

Kể từ tháng 11, nhóm đã được quan sát thấy việc đăng ký gần một trăm tên miền mới và thiết lập một nhóm lớn các máy chủ để định tuyến các tên miền này và cung cấp skimmer.

Các tin tặc đã loại bỏ trùng lặp IP và chỉ đặt tối đa năm tên miền trên một địa chỉ IP và đảm bảo chúng không định tuyến đến các IP khác, nhóm không gian IP với các máy chủ khác nhau (cơ sở hạ tầng trước đó đã được sửa trên các máy chủ chống đạn hoặc những máy chủ sẽ bỏ qua hoạt động độc hại) . Hơn nữa, nhóm hiện sử dụng nhiều thư viện JavaScript tiêu chuẩn.

Giống như chúng ta là những chuyên gia về an ninh mạng, họ là những chuyên gia về tội phạm mạng. Chúng tôi có thể không giữ ‘công việc’ của họ ở mức độ cao, nhưng Nhóm 4 là một nhóm tội phạm chuyên nghiệp tiên tiến và là một kẻ thù nguy hiểm, theo Rủi ro rủi ro.

Các miền liên quan đến các hoạt động lướt qua của nhóm là các proxy hướng đến một mạng nội bộ lớn. Các nhà nghiên cứu cũng phát hiện ra rằng các proxy yêu cầu skimmer ngược dòng hướng tới một phụ trợ cung cấp kịch bản skimmer.

Các tin tặc Magecart khác dựa vào các bộ công cụ là sự kết hợp giữa các phụ trợ dựa trên PHP và MySQL. Điều này có nghĩa là cùng một máy chủ có được dữ liệu bị đánh cắp cũng là nguồn của mã lướt qua và lưu trữ phụ trợ.

Ngoài việc thay đổi cơ sở hạ tầng, nhóm cũng cập nhật các yếu tố chính của skimmer, vốn không còn sử dụng chức năng cũ, mặc dù nó vẫn tiếp tục bao gồm mã cũ. Các tính năng trong mã hiện được bật bằng cờ tính năng, với các tính năng mới được tắt theo mặc định.

Trước đây, skimmer là một hệ thống lừa đảo thanh toán lớp phủ, nhưng mã mới sử dụng lướt qua các hình thức thanh toán hiện có để thay thế. Skimmer đi qua các hình thức trang và lấy ra dữ liệu thanh toán, làm giảm nó xuống chỉ còn khoảng 150 dòng mã.

Nó cũng thêm một trình lắng nghe sự kiện mới để nối vào quá trình hoàn tất thanh toán, trong đó lắng nghe việc sử dụng khóa trả lại / nhập. Tùy chọn này được thêm vào với một cờ tính năng và có thể là thử nghiệm, vì các nhà nghiên cứu chỉ quan sát thấy nó đã tắt.

URL exfiltration đã được đơn giản hóa, vì mã chọn một miền ngẫu nhiên từ một nhóm các miền được cấu hình sẵn; lấy lược đồ trang, thêm tên miền và tạo đường dẫn tệp .jpg ngẫu nhiên gồm ba chữ cái; nối thêm dữ liệu được đọc lướt dưới dạng đối số URL; và bao gồm URL dưới dạng một thành phần hình ảnh và xóa nó ngay khi được tải. Dữ liệu được lọc ra được mã hóa.

Share This Post

Post Comment