保护Magecart集团的Warzone防弹主机
安全公司Malwarebyes的研究人员已经发现了一种信用卡撇渣集团,这些集团在执法和安全界的行动中运营不受惩罚。
信用卡数据盗贼通常称为Magecart组,通常使用javascript代码注入受损的电子商务站点来收集购物者的数据。
在调查一个广告系列期间,研究人员注意到威胁行动者已经采取了一些额外的预防措施来避免中断或抛弃。
他们发现要在执法范围内运营,本集团正在使用在乌克兰市卢汉斯克市托管的服务器接收信用卡详细信息和其他信息,以便可以在地下论坛中加工并最终转售卡。
研究人员在博客帖子中写道,服务器由机会主义者主办的机会主义者提供了利用该地区的混乱,以便为“灰色项目”安全的“灰色项目”安全。他们说:“与恶意软件,撇渣器,网络钓鱼域名,”他们说。
相应的一组服务器由另一个防弹托管提供商在冰岛托管,该提供商声称将“始终努力保护客户的公民权利,包括言论自由,新闻自由,匿名和隐私权的自由“。
该组将其撇芯代码注入了伪装成使用域Google-Anaiytic [。] Com伪装成Google Analytics的Magento网站。
每个受损的在线商店都有自己的撇渣器,位于以后的域名命名的特定目录。
研究人员发现了证据表明,该组有用户名和密码需要登录已注入本集团的普通代码的数百个遭受的Magento站点。
他们还发现研究人员认为正在对那些受损地点使用的PHP脚本语言编码的后门。
检查用于将被盗数据发送回犯罪分子的“exfiltration门”显示它是另一个谷歌面值(google.ssl.lnfo [。] cc),并且通过http get将被盗数据发送到exfiltration服务器要求。
然后将数据作为JavaScript对象表示法(JSON)文件收到,其中每个字段包含清晰文本中的受害者的个人信息。
研究人员所说的主要目标是可以立即获得货币化的信用卡信息,但在这种情况下,Skimmer还在收集诸如名称,地址,电话号码和电子邮件之类的数据,它们为身份盗窃是非常有价值的或矛网络钓鱼。
研究人员注意到防弹托管服务长期以来一直是网络犯罪的主食。“例如,臭名昭着的俄罗斯商业网络(RBN)在多年的几年里跑了各种恶意活动,”他们说。
由于此类宿主的性质,研究人员称,勿敦业务很困难:“这不仅仅是一种提供者对阴影操作视而不见的情况,而是它是他们商业模式的核心。”
为了防止这些威胁,Malwarebytes阻止了与客户的撇渣器和恶意软件相关的所有域和IP地址。研究人员表示,他们还向各自的注册商或主办方报告了所有受损的Magento电子商务网站。