Lil 'Skim 스키머

대부분 1 년 이상 레이더 아래에 머물 수 있었던 스키머 위협에 대한 세부 사항이 새 보고서에서 공개되었습니다. Lil 'Skim이라는 이름의 스키머 위협은 일반적인 Magecart 스키머 변형의 더 간단하고 간단한 버전으로 보입니다. 활성화 된 상태에서 탐지하고 손상된 페이지에서 쇼핑하는 사용자의 신용 / 직불 카드 정보를 수집하는 것을 방해하기 위해 Lil 'Skim은 합법적 인 개체를 사칭하는 전술을 두 배로 늘립니다.

위협의 운영자는 합법적이지만 손상된 사이트의 이름과 유사한 이름을 가진 수많은 스키머 도메인을 만들었습니다. 사이버 범죄자들은 단순히 일반 최상위 도메인 이름을 '.site', '.website'또는 '.pw'로 바꿨습니다. 새로 생성 된 호스트는 스키머 코드를 시작하고 사용자의 훔친 결제 데이터에 액세스합니다. 몇 가지 예에는 gorillawhips.com 및 gorillawhips.site의 모조 사이트, dogdug.com 및 dogdug.website의 모방 사이트가 포함됩니다. infosec 연구원이 발견 한 모든 도메인은 87.236.16 [.] 107에서 호스팅되었습니다.

다른 위협에 숨어

스키머 운영자가 자주 사용하는 또 다른 일반적인 기술은 Google, jQuery 및 기타와 같은 합법적 인 브랜드를 사칭하는 것입니다. Lil 'Skim도 예외는 아니며 일부 도메인은 Google의 이름을 따서 명명되었습니다. 또 다른 예로 스키머 운영자는 tidio [.] fun이라는 이름을 사용하여 tidio.com 채팅 응용 프로그램을 가장했습니다.

또한 Lil 'Skim의 사이버 범죄자들은 피싱 키트, Android 페이로드 및 Windows 맬웨어와 같은 다른 맬웨어 위협과 관련된 상당수의 손상된 호스트를 포함하는 자율 시스템에 스키머 도메인을 배치했습니다. 두 개의 IP 주소 (87.236.16 [.] 10 및 앞서 언급 한 87.236.16 [.] 107)만이 Lil 'Skim 작업의 일부 추가 도메인을 호스팅하는 것으로 확인되었습니다.