Lil 'Skim Skimmer

Detaljer om en skumertrussel, der hovedsagelig har kunnet forblive under radaren i over et år, er afsløret i en ny rapport. Navngivet Lil 'Skim, synes skumertruslen at være en mere ligetil og enkel version af typiske Magecart-skimmervarianter . For at hindre afsløring, mens den er aktiv og indsamle kredit- / betalingskortoplysninger om brugere, der handler på de kompromitterede sider, fordobler Lil 'Skim taktikken med at efterligne legitime enheder.

Operatørerne af truslen har skabt adskillige skimmer-domæner, hvis navne nøje efterligner dem på de legitime, men kompromitterede websteder. Cyberkriminelle erstattede simpelthen det normale topdomænenavn med enten '.site', '.website' eller '.pw.' De nyoprettede værter indleder derefter skimmerkoden og får adgang til brugernes stjålne betalingsdata. Nogle eksempler inkluderer gorillawhips.com og efterligningsstedet på gorillawhips.site samt dogdug.com og dets copycat på dogdug.website. Alle domæner opdaget af infosec-forskere var vært den 87.236.16 [.] 107.

Skjuler sig blandt andre trusler

En anden almindelig teknik, der ofte anvendes af skimmeroperatører, indebærer at efterligne legitime mærker som Google, jQuery og andre. Lil 'Skim er ikke en undtagelse, og flere af dens domæner er opkaldt efter Google. I et andet tilfælde efterlignede skimmeroperatører tidio.com chat-applikationen ved at bruge navnet tidio [.] Fun.

Det skal også bemærkes, at cyberkriminelle bag Lil 'Skim placerer deres skimmer-domæner i et autonomt system, der også indeholder et betydeligt antal beskadigede værter relateret til andre malware-trusler såsom phishing-sæt, Android-nyttelast og Windows-malware. Kun to IP-adresser - 87.236.16 [.] 10 og den førnævnte 87.236.16 [.] 107, blev opdaget at være vært for yderligere domæner, der er en del af Lil 'Skim-operationen.