Threat Database Malware MobileInter

MobileInter

MobileInter è una nuova incarnazione del codice Inter skimmer, una funzionalità estremamente popolare tra gli attori delle minacce Magecart. I creatori di MobileInter hanno utilizzato l'Inter come base, ma hanno ulteriormente modificato e ampliato le sue funzionalità per adattarsi meglio ai loro particolari obiettivi prefissati. In effetti, MobileInter viene sfruttato esclusivamente contro gli utenti mobili. Considerando l'enorme volume di spesa online che si verifica sui dispositivi mobili, non c'è da meravigliarsi che le bande Magecart stiano adeguando le loro operazioni per sfruttarlo.

Caratteristiche MobileInter

Gli aspetti principali di MobileInter sono l'attenzione agli utenti mobili e la capacità di raccogliere credenziali di accesso e dati di pagamento. Durante il periodo in cui i ricercatori di RiskIQ hanno monitorato la minaccia, hanno osservato un'evoluzione definita nelle tecniche utilizzate per l'esfiltrazione dei dati e l'anti-rilevamento.

Le prime varianti di MobileInter hanno recuperato immagini da GitHub che contenevano gli URL di estrazione. Le iterazioni successive hanno abbandonato i repository GitHub e hanno iniziato a trasportare gli URL di estrazione all'interno del loro codice skimmer. Inoltre, le ultime versioni di MobileInter utilizzano WebSocket per il caricamento dei dati.

Poiché l'attore delle minacce dietro MobileInter è interessato a prendere di mira solo gli utenti mobili, ha dotato il suo strumento malware di più test progettati per determinare se le transazioni di pagamento vengono effettuate su un dispositivo adatto. Per cominciare, la minaccia esegue un controllo regex rispetto alla posizione della finestra per discernere se una pagina di pagamento è attualmente aperta. Quindi, lo stesso controllo delle espressioni regolari tenta anche di vedere se userAgent è impostato per uno dei diversi browser mobili. MobileInter tiene traccia anche delle dimensioni della finestra del browser e le abbina a quanto previsto per un browser mobile. Se i controlli danno esito positivo, il malware procede a scremare i dati mirati ed esfiltrarli attraverso una serie di funzioni.

Tecniche di evasione

Per mascherare le sue attività nefaste, MobileInter dà i nomi delle sue funzioni che imitano quelli dei servizi legittimi. Ad esempio, la funzione "rumbleSpeed", che determina la velocità con cui viene eseguita l'esfiltrazione dei dati, è progettata per apparire come parte del plugin jRumble per jQuery.

Per quanto riguarda i domini impiegati nell'operazione, anch'essi utilizzano servizi legittimi come travestimenti. Tra i numerosi domini relativi alla minaccia, alcuni impersonano jQuery, Amazon, Alibaba, ecc. Le operazioni più recenti di MobileInter sono modellate interamente sui servizi di Google, inclusi gli URL di esfiltrazione e l'URL di WebSocket che si maschera da Google Tag Manager.

Tendenza

I più visti

Caricamento in corso...