Forscher finden wohnhaft bei dieser Untersuchung dieser Aktivitäten von Magecart „Digital Crime Haven“

Cyberkriminelle, die an einer Form krimineller Aktivitäten beteiligt sind, können manchmal wenn schon an einer Vielzahl anderer schändlicher Kampagnen beteiligt sein, wie Forscher kürzlich wohnhaft bei dieser Schluss dieser Unterbau im Zusammenhang mit einer neuen Iteration eines Magecart-Skimmers herausfanden.

Magecart ist ein berüchtigtes – und sich ständig weiterentwickelndes – Syndikat aus mehreren Gruppen, dasjenige sich darauf spezialisiert hat, Karten-Skimmer hinaus Elektronischer Geschäftsverkehr-Websites zu positionieren, um Zahlungskarteninformationen zu stehlen. Im Laufe dieser Jahre nach sich ziehen Gruppen, die dem Syndikat Mitglied sein, zahlreiche – manchmal massive – Diebstähle von Karteninformationen von Websites durchgeführt, darunter solche, die großen Unternehmen wie TicketMaster und British Airways in Besitz sein von.

Forscher von Malwarebytes nach sich ziehen kürzlich verknüpfen Bedrohungsakteur beobachtet, dieser verknüpfen Zahlungskarten-Skimmer – basierend hinaus einem Framework namens mr.SNIFFA – hinaus mehreren Elektronischer Geschäftsverkehr-Websites einsetzt. mr.SNIFFA ist ein Tätigkeit, dieser Magecart-Skripte generiert, die Angreifer energiegeladen einsetzen können, um Kredit- und Debitkarteninformationen von Benutzern zu stehlen, die z. Hd. Einkäufe hinaus Elektronischer Geschäftsverkehr-Websites bezahlen. Die Schadsoftware ist zu diesem Zweck publiziert, dass sie verschiedene Verschleierungsmethoden und -taktiken wie Steganographie einsetzt, um ihren Quelltext zum Stehlen von Zahlungskarten hinaus ahnungslose Ziel-Websites zu laden.

Weitläufiges Verbrechensparadies

Ihre Untersuchung dieser in dieser Kampagne verwendeten Unterbau führte zur Fund eines weitläufigen Netzwerks anderer bösartiger Aktivitäten – einschließlich Kryptowährungsbetrug, Foren zum Verkauf bösartiger Dienste und gestohlener Kreditkartennummern – die möglicherweise mit demselben Mime in Verkettung stillstehen.

„Wo ein krimineller Tätigkeit endet, beginnt ein neuer – im Unterschied dazu oft sind sie miteinander verbunden“, sagte Jerome Segura, Director of Threat Intelligence wohnhaft bei Malwarebytes, in einem Blogbeitrag, dieser die Wissenschaft des Unternehmens zusammenfasst. „Jenseits Codeschnipsel hinauszublicken und dasjenige Gesamtbild zu sehen, hilft derbei, dasjenige größere Natur besser zu verstehen und potenzielle Trends zu wiedererkennen.“

In dieser von Malwarebytes beobachteten Magecart-Kampagne nutzte dieser Angreifer drei verschiedene Domänen, um verschiedene Komponenten dieser Angriffskette bereitzustellen. Jede dieser Domains hatte kryptoinspirierte Namen. Die Domain, die die anfängliche Weiterleitungskomponente dieser Infektionskette injizierte, hatte etwa den Namen „saylor2xbtc[.]com“, offenbar in Anspielung hinaus den bekannten Bitcoin-Fürsprecher Michael Saylor. Ebenfalls hinaus andere Prominente wurde verwiesen: Eine Domain namens „elon2xmusk[.]com“ hostete den Loader z. Hd. den Skimmer, während „2xdepp[.]com” enthielt den eigentlichen kodierten Skimmer selbst.

Malwarebytes fand die drei Domains, die hinaus einer Unterbau von DDoS-Guard gehostet wurden, einem in Russland ansässigen Bulletproof-Hosting-Unternehmen, dasjenige z. Hd. dasjenige Hosten zwielichtiger Websites und Operationen publiziert ist. Die Untersuchung des Sicherheitsanbieters ergab, dass jede dieser drei Domänen mit einer Vielzahl anderer bösartiger Aktivitäten in Verkettung gebracht wurde.

Die IP-Anschrift, die etwa den Skimmer-Loader hostete, hostete wenn schon eine betrügerische Version dieser Website des Heimdekorations- und Dekorationsunternehmens Houzz. Ebenso die IP-Anschrift z. Hd. 2xdepp[.]com – die Website, die den Skimmer hostet – hostete eine Website, hinaus dieser Tools wie RDP, Cpanel und Shells verkauft wurden, und eine andere Website, die verknüpfen Tafelgeschirr zum Verwursten von Kryptowährungen anbot – irgendwas, dasjenige Cyberkriminelle oft nutzen, um die Verfolgung von sträflich verdientem Geld zu verschlimmern.

Forscher von Malwarebytes nach sich ziehen Blackbiz weiter entdeckt[.]top, ein Forum, dasjenige Cyberkriminelle verwenden, um z. Hd. verschiedene Schadsoftware-Dienste zu werben, die im selben Subnetz gehostet werden.

Kryptobezogener Betrug

Malwarebytes entschied sich zu prüfen, ob es andere hinaus DDoS Guard gehostete Websites gibt, die notfalls dasjenige gleiche „2x“ in ihren Domainnamen nach sich ziehen wie die drei Websites, die mit dieser Magecart-Kampagne in Verkettung stillstehen. Die Ritual deckte mehrere betrügerische Websites hinaus, die an illegalen Aktivitäten im Zusammenhang mit Kryptowährungen beteiligt waren.

„Welche gefälschten Seiten spendieren vor, offizielle Veranstaltungen von Tesla, Elon Musk, MicroStrategy oder Michael J. Saylor zu sein und täuschen Menschen mit falschen Hoffnungen, Tausende von BTC zu verdienen“, sagte Segura. „Welche Betrügereien mit Krypto-Werbegeschenken nach sich ziehen sich laut einem Review dieser Group-IB vom September 2022 im ersten Semester 2022 verfünffacht“, fügte er hinzu.

Malwarebytes entdeckte wenn schon mehrere andere Websites hinaus DDoS Guard, die mit dem Magecart-Betreiber verknüpft zu sein schienen. Darunter waren Phishing-Sites, die TeamViewer, AnyDesk, MSI, ein nachdem dem Journalisten Brian Krebs benanntes Webportal z. Hd. den Verkauf gestohlener Kreditkartendaten vortäuschen, und eine Site, die eine Schlange von Phishing-Kits verkauft.

Die Recherchen von Malwarebytes unterstreichen die immer noch weit verbreitete Natur einiger Cyberkriminalitätsgruppen, wenn schon wenn andere begonnen nach sich ziehen, sich hinaus bestimmte cyberkriminelle Aktivitäten zu spezialisieren, um mit anderen an gemeinsamen böswilligen Kampagnen zusammenzuarbeiten.

In den letzten Jahren nach sich ziehen sich Bedrohungsakteure wie Evil Corp, die nordkoreanische Lazarus Group, DarkSide und andere den Ruf erworben, sowohl weitläufig qua wenn schon vielfältig in ihren Operationen zu sein. In jüngerer Zeit nach sich ziehen andere jedoch begonnen, sich enger hinaus ihre spezifischen Fähigkeiten zu verdichten.

Untersuchungen des Sicherheitsanbieters Trend Micro aus dem letzten Jahr nach sich ziehen gezeigt, dass sich zunehmend Cyberkriminelle mit unterschiedlichen Fähigkeiten zusammenschließen, um Cybercrime-as-a-Tafelgeschirr anzubieten. Dasjenige Unternehmen entdeckte, dass jene kriminellen Dienste aus Gruppen gegeben, die entweder Access-as-a-Tafelgeschirr, Ransomware-as-a-Tafelgeschirr, kugelsicheres Hosting oder Schwarmauslagerung-Teams offerieren, die sich darauf verdichten, neue Angriffsmethoden und -taktiken zu finden.

„Ausgehend von einer Incident-Response-Mentalität bedeutet dies [defenders] sollen jene verschiedenen Gruppen identifizieren, um partiell des gesamten Angriffs zu vervollständigen, wodurch es schwieriger wird, Angriffe zu wiedererkennen und zu stoppen”, schloss Trend Micro.