Q-logger Skimmer

С експлозивния растеж на сектора на електронната търговия киберпрестъпниците, извършващи Magecart и скимер атаки, започнаха да разнообразяват обхвата на своите заплашителни операции, използваните методи и разгърнатата инфраструктура. Една заплаха, която илюстрира тази тенденция, е наскоро откритият Q-logger Skimmer. Заплахата е открита за първи път от Ерик Брандел.

Q-logger се използва в активни кампании за атаки в продължение на няколко месеца, преди изследователите на infosec да уловят дейността на хакерите. Нападателите имат за цел да внесат заплахата или в компрометираните уебсайтове за електронна търговия директно, или заредени отвън. След това те могат да започнат да извличат данните за плащане на потребителите на заразения сайт и да получават данни за кредитна и дебитна карта. Събраната информация се ексфилтрира в домейн под контрола на хакерите чрез POST заявки. Атаките на Q-logger са насочени към по-малки фирми, които управляват онлайн магазин, използвайки предимно Magento.

Функционалността на Q-Logger

Освен типичните заплашителни дейности, свързани със заплахите за скимер, Q-logger показва няколко особености. Заплахата е оборудвана с множество техники за анализ. Освен че замазват кода, хакерите са добавили рутинна програма за кейлоггери, способна да открива кога са отворени различни инструменти за инструменти. Ако проверките връщат положителен резултат за стартирането на такива инструменти, Q-logger ще прекрати напълно дейностите си. Друга техника, за която се наблюдава, че се използва от киберпрестъпниците, отговорни за атаките на Q-logger, е масовото регистриране на домейни, което е ефективна стратегия срещу блокираните списъци. От друга страна, той се опитва да раздели инфраструктурата на операциите, за да скрие реалния IP адрес на хостинг доставчика.