MobileInter

MobileInter는 Magecart 위협 행위자들 사이에서 매우 인기있는 기능인 Inter 스키머 코드의 새로운 화신입니다. MobileInter의 제작자는 Inter를 기반으로 사용했지만 특정 설정 대상에 더 적합하도록 기능을 추가로 수정하고 확장했습니다. 실제로 MobileInter는 모바일 사용자에게만 활용됩니다. 모바일 장치에서 발생하는 온라인 지출의 엄청난 양을 고려할 때 Magecart 조직이이를 악용하기 위해 운영을 조정하는 것은 놀라운 일이 아닙니다.

MobileInter 특성

MobileInter의 주요 측면은 모바일 사용자에 초점을 맞추고 로그인 자격 증명 및 결제 데이터를 수집하는 기능입니다. RiskIQ의 연구원들이 위협을 추적하는 동안, 그들은 데이터 유출 및 탐지 방지에 사용되는 기술의 확실한 진화를 관찰했습니다.

MobileInter의 첫 번째 변형은 유출 URL을 전달하는 GitHub에서 이미지를 가져 왔습니다. 이후 반복은 GitHub 저장소를 버리고 스키머 코드 내에서 유출 URL을 전달하기 시작했습니다. 또한 최신 MobileInter 버전은 데이터 업로드를 위해 WebSocket을 사용합니다.

MobileInter의 위협 행위자는 모바일 사용자만을 대상으로하는 데 관심이 있기 때문에 적절한 장치에서 결제 거래가 이루어 졌는지 확인하기 위해 설계된 여러 테스트를 맬웨어 도구에 장착했습니다. 우선, 위협은 체크 아웃 페이지가 현재 열려 있는지 식별하기 위해 창의 위치에 대해 정규식 검사를 수행합니다. 그런 다음 동일한 정규식 검사에서 userAgent가 여러 모바일 브라우저 중 하나에 설정되어 있는지 확인합니다. MobileInter는 또한 브라우저 창의 크기를 추적하여 모바일 브라우저에 예상되는 크기와 일치시킵니다. 검사 결과가 긍정적 인 경우 악성 코드는 대상 데이터를 훑어보고 일련의 기능을 통해 유출합니다.

회피 기법

악의적 인 활동을 감추기 위해 MobileInter는 합법적 인 서비스의 기능을 모방하는 기능의 이름을 제공합니다. 예를 들어, 데이터 유출이 수행되는 속도를 결정하는 'rumbleSpeed'함수는 jQuery 용 jRumble 플러그인의 일부로 나타나도록 설계되었습니다.

운영에 사용 된 도메인의 경우에도 합법적 인 서비스를 위장으로 사용합니다. 위협과 관련된 수많은 도메인 중 일부는 jQuery, Amazon, Alibaba 등을 가장합니다. 최근 MobileInter 작업은 Google 태그 관리자로 위장하는 유출 URL 및 WebSocket URL을 포함하여 Google 서비스 전체를 모델로합니다.