Q-logger Skimmer

S explozivním růstem sektoru elektronického obchodování začali kyberzločinci provádějící útoky Magecart a skimmerů diverzifikovat rozsah svých ohrožujících operací, zapojené metody a nasazenou infrastrukturu. Jednou hrozbou, která je příkladem tohoto trendu, je nedávno objevený Q-logger Skimmer. Hrozbu poprvé detekoval Eric Brandel.

Q-logger se používá v aktivních útočných kampaních několik měsíců, než vědci z infosecu zachytili aktivity hackerů. Útočníci mají za cíl vložit hrozbu buď na ohrožené weby elektronického obchodování přímo, nebo načíst externě. Poté mohou začít sifonovat platební údaje uživatelů infikovaných stránek a získávat údaje o kreditní a debetní kartě. Shromážděné informace jsou prostřednictvím požadavků POST přeneseny do domény pod kontrolou hackerů. Útoky Q-loggeru se zaměřují na menší firmy, které provozují internetový obchod převážně pomocí Magento.

Funkce Q-Loggeru

Kromě typických ohrožujících činností spojených s hrozbami skimmerů zobrazuje Q-logger několik zvláštních vlastností. Hrozba je vybavena několika technikami pro analýzu. Kromě zamlžování kódu hackeři přidali rutinu keyloggeru, která dokáže detekovat otevření různých nástrojů. Pokud kontroly vrátí kladný výsledek pro takovéto spuštěné vývojové nástroje, Q-logger úplně ukončí svou činnost. Další technikou, kterou kyberzločinci odpovědní za útoky Q-loggeru používají, je hromadné registrace domén, což je účinná strategie proti blokovým seznamům. Na druhou stranu se snaží rozdělit infrastrukturu operací na skrytí skutečné IP adresy poskytovatele hostingu.