MobileInter

MobileInter er en ny inkarnation af Inter skimmer-koden, en funktion, der er meget populær blandt Magecart-trusselsaktører. Skaberne af MobileInter brugte Inter som grundlag, men modificerede yderligere og udvidede dets funktionalitet til bedre at passe til deres specifikke mål. Faktisk er MobileInter udelukkende gearet mod mobilbrugere. I betragtning af den store mængde onlineudgifter, der opstår på mobile enheder, er det ikke underligt, at Magecart-banderne også justerer deres operationer for at udnytte det.

MobileInter egenskaber

De vigtigste aspekter af MobileInter er dets fokus på mobilbrugere og muligheden for at indsamle loginoplysninger og betalingsdata. I løbet af den tid, som forskerne ved RiskIQ spores truslen, observerede de en bestemt udvikling i de teknikker, der blev brugt til dataeksfiltrering og antidetektion.

De første varianter af MobileInter hentede billeder fra GitHub, der bar exfiltrerings-URL'erne. Senere iterationer droppede GitHub-arkiverne og begyndte at bære eksfiltrerings-URL'erne inden for deres skimmer-kode. Desuden bruger de nyeste MobileInter-versioner WebSockets til dataoverførsel.

Da trusselsaktøren bag MobileInter kun er interesseret i at målrette mod mobilbrugere, har de udstyret deres malware-værktøj med flere test designet til at afgøre, om betalingstransaktionerne foretages på en passende enhed. Til at begynde med udfører truslen en regex-kontrol mod placeringen af vinduet, der skal skelnes, om en checkout-side er åben i øjeblikket. Derefter forsøger den samme regex-kontrol også at se, om userAgent er indstillet til en af flere mobile browsere. MobileInter sporer også dimensionerne i browservinduet og matcher dem med, hvad der forventes for en mobilbrowser. Hvis kontrollerne giver et positivt resultat, fortsætter malware med at skimme de målrettede data og exfiltrere dem gennem en række funktioner.

Unddragelsesteknikker

For at skjule sine uhyggelige aktiviteter giver MobileInter navnene på dens funktioner, der efterligner legitime tjenester. For eksempel er 'rumbleSpeed' -funktionen, der bestemmer hastigheden, hvormed dataeksfiltrering udføres, designet til at vises som en del af jRumble-pluginet til jQuery.

Hvad angår de domæner, der er anvendt i operationen, bruger de også legitime tjenester som forklædninger. Blandt de mange domæner, der er relateret til truslen, efterligner nogle jQuery, Amazon, Alibaba osv. De nyere MobileInter-operationer er modelleret udelukkende efter Google-tjenester, herunder eksfiltrerings-URL'er og WebSocket URL, der maskerer sig selv som Google Tag Manager.