Акция 2024: Оплачиваем написание статей на кардинг тематику. Подробности
Перейти к содержанию
Искать в
  • Ещё...
Поиск результатов, которые содержат...
Поиск результатов в...
Авторизация  
Gordon

Группировка magecart group 4 регулярно совершенствует свои методы скимминга

Рекомендуемые сообщения

В настоящее время существует несколько десятков киберпреступных группировок, объединенных ИБ-экспертами под общим названием Magecart. Группировки используют различные методы, но с одной и той же целью – похитить данные банковских карт пользователей сайтов электронной коммерции.

Не все группировки Magecart обладают одинаковым уровнем знаний и умений. По словам специалистов из RiskIQ, одна из них, Group 4, отличается особым профессионализмом. То, как киберпреступникам удается организовывать свой бизнес, внедрять новые методы работы, минимизировать риски и повышать эффективность, указывает на их весьма выдающиеся способности.

После отключения части используемой Group 4 инфраструктуры специалистам RiskIQ удалось продолжить мониторинг активности группировки и совершенствования используемых ею техник. В распоряжении Group 4 есть около сотни зарегистрированных доменов, пул серверов для маршрутизации трафика и доставки на системы жертв вредоносного ПО, пишут исследователи.

После реорганизации группировка оставила себе только пять доменов с одним IP-адресом. «Домены, связанные со скимминговыми операциями Group 4, просто являются прокси, указывающими на большую внутреннюю сеть. После применения некоторой начальной фильтрации скиммер направляет запросы конечной точке, предоставляющей скрипт скиммера (или легальный скрипт, если посетитель не осуществляет платеж)», - сообщили исследователи.

Для маскировки вредоносной активности группировка использует множество легальных библиотек, скрывающих скиммер на странице платежей до начала его активности. Более того, для защиты своей инфраструктуры от полного разрушения киберпреступники добавили пулы примерно из десяти последовательных IP-адресов примерно у пяти разных хостеров.

Сами скиммеры регулярно обновляются и получают новые функции, которые предварительно проходят тестирование. Новый функционал как правило отключен по умолчанию, отметили исследователи. В настоящее время код только проверяет наличие платежных форм и похищает данные. Благодаря столь ограниченному функционалу злоумышленникам удалось сократить объем кода всего до 150 строк – это в десять раз меньше по сравнению с тем, каким код был раньше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

×