Hackeri Fullz House prechádzajú od phishingu k útokom typu skimming kariet Magecart

  • Oct 31, 2023

Nie sú však veľmi dobrí v skrývaní svojich stôp.

Schémy skimmingu kariet, známe aj ako útoky Magecart, sa stali bežnou hrozbou vo svete, ktorému dominuje elektronický obchod.

Vidíme ikonu visiaceho zámku alebo nakupujeme produkty od obľúbených značiek a možno vôbec neberieme do úvahy kybernetickú bezpečnosť – ale ako nedávnu vlnu kampaní Magecart zdôraznil, že aj známe spoločnosti a organizácie sa môžu stať obeťami, ak nebudú pozorne sledovať svoje platobné portály a opravy procesy.

Bezpečnosť

  • 8 návykov vysoko bezpečných vzdialených pracovníkov
  • Ako nájsť a odstrániť spyware z telefónu
  • Najlepšie služby VPN: Ako sa porovnáva 5 najlepších?
  • Ako zistiť, či ste zapojený do porušenia ochrany údajov - a čo robiť ďalej

Keď sa obeťami stanú zavedené korporácie ako Ticketmaster a British Airways – a následne aj ich zákazníci – viete, že máte problém.

Bohužiaľ, útoky typu skimming nie je ťažké zvládnuť a v niektorých prípadoch sa dajú zautomatizovať. Aktéri hrozieb kontrolujú webové domény, či neobsahujú zraniteľné miesta zrelé na zneužitie, využívajú a kompromitujú doménu a vkladajú kód JavaScipt do stránky súvisiace s platbami na zber údajov o kartách pri ich odoslaní pred odoslaním týchto informácií na server príkazového a riadiaceho systému (C2) zľava.

Vzhľadom na lukratívnu povahu tohto podvodného podnikania sa Magecart rozšíril z výrazu popisujúceho jeden skupina k viacerým outfitom a jedna skupina s názvom Fullz House nedávno upútala pozornosť výskumníkov.

V utorok, RiskQ zverejnil správu do aktivít Fullz House a nedávnych zmien ich modus operandi.

Fullz House sa v minulosti špecializoval na phishing, ale teraz sa rozhodol zdvojnásobiť tým, že prenesie svoje zručnosti z phishingového ekosystému do sveta skimmingu kariet.

Skupina prevádzkuje podzemnú obchodnú stanicu s názvom „BlueMagicStore“, ktorá predáva „fullz“, tiež známy ako úplné balíky informácií vrátane osobných údajov (FII) a odcudzeného bankovníctva údajov. Nedávno sa spoločnosť Fullz House obrátila na skimming kariet, aby otvorila „CardHouse“, predajné miesto pre informácie o kreditných kartách.

Pozri tiež: Skupina Magecart prepojená s trójskym trójskym koňom Dridex, Carbanak

Počas augusta a septembra tohto roku výskumníci zaznamenali prekrývanie sa v ich útočnej infraštruktúre, ktorá teraz kombinuje obe operácie.

Phishingová strana útokov vo všeobecnosti uprednostňuje PayPal a napodobňuje poskytovateľov platieb na podvodných doménach. Je zaujímavé, že teraz, keď sa kyberzločinci dostali do skimmingu kariet, napísali svoj vlastný kód skimmeru – niečo, čo podľa RiskIQ je v súčasnosti zriedkavý jav.

Tvorba Fullz House je primitívnejšia ako mnohé vopred vyrobené skimmery, ktoré si môžete kúpiť online. Vedci tvrdia, že funkčnosť kódu je podobná prvým typom skimmerov, ktoré sa objavili späť 2014, v ktorom sa kontrolujú zmeny vo vstupných poliach namiesto čakania, kým obeť dokončí a nákup.

"Táto implementácia je primitívna a funguje skôr ako keylogger s validáciou údajov než skimmer," hovorí tím. "Títo zločinci sú noví v skimmingu a zisťovaní toho, ako idú."

CNET: Nenechajte sa oklamať na Čierny piatok: 4 podvody, ako sa vyhnúť tomuto víkendu na Deň vďakyvzdania

Skimmer však prichádza so zaujímavým zvratom. Skupina pre kybernetické útoky, ktorá sa opiera o svoje phishingové schopnosti, tiež vytvára falošné platobné stránky na rovnakých doménach ako ich skimmery a presmeruje obete na legitímni spracovatelia platieb po odcudzení informácií, čím sa vykoná istý druh útoku Man-in-The-Middle (MiTM) s cieľom ukradnúť platobné údaje v niektorých prípady.

Napriek pokusom skryť svoje aktivity za novú infraštruktúru Cloudflare, RiskQ ich stále dokáže sledovať, pretože sa im nepodarilo skryť ich staré nastavenia.

Pri vyšetrovaní aktivít Fullz House sa tiež našlo prepojenie so StewieShop. StewieShop je mykacia predajňa, ktorá zdieľa IP priestor s obchodmi Fullz House, spolu so skladom s názvom The Infinity Base.

TechRepublic: Bezpečnostní profesionáli vysvetľujú osvedčené postupy Čierneho piatku pre spotrebiteľov a podniky

Aj keď je ťažké pevne určiť vlastníkov podzemných kriminálnych obchodov, tím hovorí, že "pevne cítia, že medzi nimi existuje hlboké spojenie."

„Skupina Fullz prešla z phishingového ekosystému, aby do online hry o skimmingu priniesla úplne nový súbor zručností,“ hovorí RiskIQ. „Nakoniec, obraz, ktorý sa objavuje, je dobre prepojená skupina, ktorá má prístup k nepriestrelnému hostingu. vyučený vo svete phishingu, a hoci je v prezeraní webu nováčikom, má šikovnosť na to, aby seba."

Začiatkom tohto mesiaca informovala Macy's porušenie ochrany údajov spôsobené implantáciou kódu Magecart. JavaScript na skimming kariet zostal na online platobnom portáli amerického maloobchodníka približne týždeň nezistený, čo ovplyvnilo peňaženku Macy aj stránku pokladne.

Toto sú najhoršie hacky, kybernetické útoky a porušenia údajov v roku 2019 (zatiaľ)

Predchádzajúce a súvisiace pokrytie

  • Staré webové domény Magecart vzkriesené pre podvodné reklamné schémy
  • Macy's trpí online útokom na zbieranie kariet Magecart a únikom údajov
  • Magecart opäť zaútočil: webové stránky na rezerváciu hotelov sa dostali pod paľbu

Máte tip? Spojte sa bezpečne cez WhatsApp | Signál na čísle +447713 025 499 alebo na čísle Keybase: charlie0