Grelos Skimmer

Grelos Skimmer er navnet givet en stamme af malware indsat af hackere i Magecart-stil angreb. Grelos Skimmer har været i brug i adskillige år lige siden den første gang blev opdaget tilbage i 2015. I løbet af den tid er flere varianter blevet udviklet og frigivet af flere forskellige hackergrupper, hvilket skaber betydelig forvirring, når man prøver at skelne operationerne hos en gruppe fra en anden.

Magercart betegner en angrebsoperation, der ser hackere kompromittere og stjæle kreditkortdata fra e-handelswebsites specifikt. Hundredvis af websteder er blevet offer for dette angreb, herunder nogle store mærker som British Airways og Ticketmaster. Mange cyberkriminelle sprang ind, hvilket resulterede i oprettelsen af adskillige grupper, der har specialiseret sig i at gennemføre sådanne angreb. I det nuværende landskab begynder Magecart-trusselsaktørernes separate egenskaber at blande sig. Præmieeksempler er de nyeste Grelos Skimmer-varianter, der er blevet afdækket af forskerne på RiskIQ.

Disse nye skimmertrusler genbruger betydelige dele af ældre kode, hvor nogle sektioner kan spores til de første Magecart-forekomster. På trods af at de er frigivet af forskellige grupper, er der en betydelig overlapning i stammerne - de indeholder et læsserstadium og et skimmer-trin, bruger base64-kodning og web-stik til dataeksfiltrering. Der er kun fundet mindre forskelle, såsom et, der bruger et lag base64-kodning, mens det andet genererer fem lag. Den nyeste version er dog udstyret med en falsk betalingsformular, der høster alle de databrugere, der indtaster det. Ifølge forskerne er snesevis af steder allerede blevet kompromitteret af denne Grelos Skimmer-variant.