Grelos Skimmer

Grelos Skimmer is de naam die wordt gegeven aan een soort malware die door hackers wordt ingezet bij aanvallen in Magecart-stijl. De Grelos Skimmer is al een aantal jaren in gebruik sinds hij voor het eerst werd ontdekt in 2015. Gedurende die tijd zijn er meerdere varianten ontwikkeld en ontketend door verschillende hackergroepen, wat voor veel verwarring zorgde bij het onderscheiden van de operaties van de ene groep van de andere.

Magercart duidt een aanvalsoperatie aan waarbij hackers specifiek creditcardgegevens van e-commercewebsites in gevaar brengen en stelen. Honderden websites zijn het slachtoffer geworden van deze aanval, waaronder enkele grote merken zoals British Airways en Ticketmaster. Veel cybercriminelen sprongen erin, wat resulteerde in de oprichting van talloze groepen die zich hebben gespecialiseerd in het uitvoeren van dergelijke aanvallen. In het huidige landschap beginnen de afzonderlijke kenmerken van de Magecart-dreigingsactoren te versmelten. Goede voorbeelden zijn de nieuwste Grelos Skimmer-varianten die zijn ontdekt door de onderzoekers van RiskIQ.

Deze nieuwe skimmer-bedreigingen hergebruiken belangrijke delen van de oudere code, waarbij sommige secties kunnen worden herleid tot de eerste Magecart-instanties. Ondanks dat ze door verschillende groepen zijn uitgebracht, is er een aanzienlijke overlap in de stammen - ze bevatten een loader-fase en een skimmer-fase, gebruiken base64-codering en websockets voor data-exfiltratie. Er zijn slechts kleine verschillen gevonden, zoals een die één laag base64-codering gebruikt, terwijl de andere vijf lagen genereert. De nieuwste versie is echter uitgerust met een nepbetalingsformulier dat alle gegevens verzamelt die gebruikers erin invoeren. Volgens de onderzoekers zijn al tientallen sites gecompromitteerd door deze variant van Grelos Skimmer.