Q-logger Skimmer

Com o crescimento explosivo do setor de comércio eletrônico, os cibercriminosos que executam ataques Magecart e skimmer começaram a diversificar o escopo de suas operações ameaçadoras, os métodos envolvidos e a infraestrutura implantada. Uma ameaça que exemplifica essa tendência é o recém-descoberto Q-logger Skimmer. A ameaça foi detectada pela primeira vez por Eric Brandel.

O Q-logger foi usado em campanhas de ataque ativo por vários meses antes que os pesquisadores da Infosec detectassem as atividades dos hackers. Os invasores visam injetar a ameaça diretamente nos sites de comércio eletrônico comprometidos ou carregados externamente. Depois disso, eles podem começar a desviar os dados de pagamento dos usuários do site infectado e obter detalhes de cartão de crédito e débito. As informações coletadas são exfiltradas para um domínio sob o controle dos hackers por meio de solicitações POST. Os ataques do Q-logger têm como alvo empresas menores que operam uma loja online usando principalmente Magento.

A Funcionalidade do Q-Logger

Além das atividades ameaçadoras típicas associadas às ameaças do skimmer, o Q-logger exibe várias características peculiares. A ameaça está equipada com várias técnicas anti-análise. Além de ofuscar o código, os hackers adicionaram uma rotina de keylogger capaz de detectar quando vários devtools foram abertos. Se as verificações retornarem um resultado positivo para tais devtools sendo iniciados, o Q-logger encerrará suas atividades completamente. Outra técnica observada para ser utilizada pelos cibercriminosos responsáveis pelos ataques do Q-logger é o registro de domínios em massa, que é uma estratégia eficaz contra listas de bloqueio. Por outro lado, tenta compartimentar a infraestrutura das operações para ocultar o endereço IP real do provedor de hospedagem.