Lil' Skim Skimmer

I dettagli su una minaccia skimmer che è stata in grado di rimanere per lo più sotto il radar per oltre un anno sono stati rivelati in un nuovo rapporto. Chiamata Lil' Skim, la minaccia skimmer sembra essere una versione più diretta e semplice delle tipiche varianti skimmer Magecart. Per ostacolare il rilevamento mentre è attivo e raccogliere informazioni sulla carta di credito/debito degli utenti che fanno acquisti sulle pagine compromesse, Lil' Skim raddoppia la tattica di impersonare entità legittime.

Gli operatori della minaccia hanno creato numerosi domini skimmer i cui nomi imitano da vicino quelli dei siti legittimi ma compromessi. I criminali informatici hanno semplicemente sostituito il normale nome di dominio di primo livello con ".site", ".website" o ".pw". Gli host appena creati avviano quindi il codice skimmer e accedono ai dati di pagamento rubati degli utenti. Alcuni esempi includono gorillawhips.com e il sito di imitazione su gorillawhips.site, nonché dogdug.com e il suo imitatore su dogdug.website. Tutti i domini scoperti dai ricercatori di infosec sono stati ospitati su 87.236.16[.]107.

Nascondersi tra le altre minacce

Un'altra tecnica comune spesso impiegata dagli operatori di skimmer consiste nell'impersonare marchi legittimi come Google, jQuery e altri. Lil' Skim non fa eccezione e molti dei suoi domini hanno preso il nome da Google. In un altro caso, gli operatori skimmer hanno impersonato l'applicazione di chat tidio.com utilizzando il nome tidio[.]fun.

Va anche notato che i criminali informatici dietro Lil' Skim mettono i loro domini skimmer in un sistema autonomo che contiene anche un numero significativo di host corrotti legati ad altre minacce malware come kit di phishing, payload Android e malware Windows. È stato scoperto che solo due indirizzi IP - 87.236.16[.]10 e il già citato 87.236.16[.]107 ospitano domini aggiuntivi parte dell'operazione Lil' Skim.