Q-logger Skimmer

Med den eksplosive vækst i e-handelssektoren er cyberkriminelle, der udfører Magecart- og skimmerangreb, begyndt at diversificere omfanget af deres truende operationer, de involverede metoder og den implementerede infrastruktur. En trussel, der eksemplificerer denne trend, er den nyligt opdagede Q-logger Skimmer. Truslen blev først opdaget af Eric Brandel.

Q-logger har været brugt i aktive angrebskampagner i flere måneder, før infosec-forskere fangede hackernes aktiviteter. Angriberne sigter mod at injicere truslen enten direkte på de kompromitterede e-handelswebsteder eller indlæses eksternt. Bagefter kan de begynde at hæfte betalingsdataene for det inficerede websteds brugere og indhente kredit- og betalingskortoplysninger. De indsamlede oplysninger eksfiltreres til et domæne under hackernes kontrol via POST -anmodninger. Q-logger-angrebene er målrettet mod mindre virksomheder, der hovedsageligt driver en onlineshop med Magento.

Q-Loggers funktionalitet

Bortset fra de typiske truende aktiviteter forbundet med skumtrusler viser Q-logger flere særegne træk. Truslen er udstyret med flere anti-analyseteknikker. Udover at skjule koden har hackerne tilføjet en keylogger -rutine, der er i stand til at registrere, når forskellige devtools er blevet åbnet. Hvis kontrollerne returnerer et positivt resultat for sådanne devtools, der startes, vil Q-logger afslutte sine aktiviteter fuldstændigt. En anden teknik, der observeres at blive brugt af de cyberkriminelle, der er ansvarlige for Q-logger-angrebene, er at registrere domæner i massevis, hvilket er en effektiv strategi mod bloklister. På den anden side forsøger den at opdele infrastrukturen i operationerne for at skjule hostingudbyderens rigtige IP -adresse.