Q-logger Skimmer

Con la crescita esplosiva del settore dell'e-commerce, i criminali informatici che eseguono attacchi Magecart e skimmer hanno iniziato a diversificare la portata delle loro operazioni minacciose, i metodi coinvolti e l'infrastruttura implementata. Una minaccia che esemplifica questa tendenza è il Q-logger Skimmer scoperto di recente. La minaccia è stata rilevata per la prima volta da Eric Brandel.

Q-logger è stato utilizzato in campagne di attacco attivo per diversi mesi prima che i ricercatori di infosec catturassero le attività degli hacker. Gli aggressori mirano a iniettare la minaccia direttamente sui siti di e-commerce compromessi o caricati esternamente. Successivamente, possono iniziare a sottrarre i dati di pagamento degli utenti del sito infetto e ottenere i dettagli della carta di credito e di debito. Le informazioni raccolte vengono esfiltrate in un dominio sotto il controllo degli hacker tramite richieste POST. Gli attacchi Q-logger prendono di mira le piccole imprese che gestiscono un negozio online utilizzando principalmente Magento.

Funzionalità di Q-Logger

Oltre alle tipiche attività minacciose associate alle minacce skimmer, Q-logger mostra diversi tratti peculiari. La minaccia è dotata di molteplici tecniche anti-analisi. Oltre a offuscare il codice, gli hacker hanno aggiunto una routine di keylogger in grado di rilevare quando sono stati aperti vari strumenti di sviluppo. Se i controlli restituiscono un risultato positivo per l'avvio di tali strumenti di sviluppo, Q-logger interromperà completamente le sue attività. Un'altra tecnica che è stata osservata essere utilizzata dai criminali informatici responsabili degli attacchi Q-logger è la registrazione di domini in massa, che è una strategia efficace contro le liste di blocco. Dall'altro, cerca di compartimentare l'infrastruttura delle operazioni per nascondere il vero indirizzo IP del provider di hosting.