MobileInter

Por Mezo em Malware, Stealers

Traduzir Para:

O MobileInter é uma nova encarnação do código Inter skimmer, um recurso extremamente popular entre os agentes de ameaça do Magecart. Os criadores do MobileInter usaram o Inter como base, mas modificaram e expandiram sua funcionalidade para melhor se adequar a seus alvos específicos. Na verdade, o MobileInter é usado exclusivamente para usuários móveis. Considerando o grande volume de gastos online que ocorre em dispositivos móveis, não é de se admirar que as gangues Magecart estejam ajustando suas operações para explorá-los também.

Características do MobileInter

Os principais aspectos do MobileInter são o seu foco nos usuários de celular e a capacidade de coletar credenciais de login e dados de pagamento. Durante o tempo em que os pesquisadores do RiskIQ rastrearam a ameaça, eles observaram uma evolução definitiva nas técnicas usadas para exfiltração e anti-detecção de dados.

As primeiras variantes do MobileInter buscavam imagens do GitHub que carregavam os URLs de exfiltração. As iterações posteriores abandonaram os repositórios GitHub e começaram a transportar os URLs de exfiltração em seu código do skimmer. Além disso, as versões mais recentes do MobileInter usam WebSockets para upload de dados.

Como o autor da ameaça por trás do MobileInter está interessado em ter como alvo apenas usuários móveis, eles equiparam sua ferramenta de malware com vários testes projetados para determinar se as transações de pagamento são feitas em um dispositivo adequado. Para começar, a ameaça realiza uma verificação regex no local da janela para discernir se uma página de checkout está aberta no momento. Em seguida, a mesma verificação regex também tenta ver se o userAgent está definido para um dos vários navegadores móveis. O MobileInter também rastreia as dimensões da janela do navegador e as combina com o que é esperado de um navegador móvel. Se as verificações retornarem um resultado positivo, o malware passa a examinar os dados direcionados e exfiltrá-los por meio de uma série de funções.

Técnicas de Evasão

Para mascarar as suas atividades nefastas, o MobileInter fornece os nomes de suas funções que imitam os de serviços legítimos. Por exemplo, a função 'rumbleSpeed', que determina a taxa na qual a exfiltração de dados é realizada, foi projetada para aparecer como parte do plugin jRumble para jQuery.

Quanto aos domínios empregados na operação, eles também usam serviços legítimos como disfarces. Entre os vários domínios relacionados à ameaça, alguns se passam por jQuery, Amazon, Alibaba, etc. As operações mais recentes do MobileInter são modeladas inteiramente com base nos serviços do Google, incluindo os URLs de exfiltração e o URL WebSocket que se mascara como Gerenciador de tags do Google.

Buscar

Mudar de região

MobileInter

Enviar o Comentário

Tendendo

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Mais visto

O Lookmovie.io é seguro?

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela