MobileInter

MobileInter - это новое воплощение кода Inter skimmer, функции, чрезвычайно популярной среди злоумышленников Magecart. Создатели MobileInter взяли за основу Inter, но в дальнейшем модифицировали и расширили его функциональные возможности, чтобы лучше соответствовать своим конкретным поставленным целям. Действительно, MobileInter используется исключительно против мобильных пользователей. Учитывая огромный объем онлайн-расходов, которые происходят на мобильных устройствах, неудивительно, что банды Magecart также корректируют свои операции, чтобы использовать их.

Характеристики MobileInter

Основными аспектами MobileInter являются его ориентация на мобильных пользователей и возможность собирать учетные данные для входа и платежные данные. За время, пока исследователи из RiskIQ отслеживали угрозу, они наблюдали определенную эволюцию методов, используемых для кражи данных и противодействия обнаружению.

Первые варианты MobileInter получали изображения с GitHub, которые содержали URL-адреса эксфильтрации. Более поздние итерации отказались от репозиториев GitHub и начали переносить URL-адреса эксфильтрации в свой код скиммера. Кроме того, последние версии MobileInter используют WebSockets для загрузки данных.

Поскольку злоумышленник, стоящий за MobileInter, заинтересован в нацеливании только на мобильных пользователей, они оснастили свой вредоносный инструмент несколькими тестами, предназначенными для определения того, совершаются ли платежные транзакции на подходящем устройстве. Во-первых, угроза выполняет проверку регулярного выражения относительно местоположения окна, чтобы определить, открыта ли в данный момент страница оформления заказа. Затем та же проверка регулярного выражения также пытается увидеть, установлен ли userAgent для одного из нескольких мобильных браузеров. MobileInter также отслеживает размеры окна браузера и сопоставляет их с тем, что ожидается от мобильного браузера. Если проверки дают положительный результат, вредоносная программа продолжает сканировать целевые данные и выводить их с помощью ряда функций.

Техники уклонения

Чтобы замаскировать свои гнусные действия, MobileInter дает названия своим функциям, имитирующие таковые у законных сервисов. Например, функция roubleSpeed, которая определяет скорость, с которой выполняется эксфильтрация данных, предназначена для использования как часть плагина jRumble для jQuery.

Что касается доменов, задействованных в операции, они тоже используют законные сервисы в качестве маскировки. Среди множества доменов, связанных с угрозой, некоторые выдают себя за jQuery, Amazon, Alibaba и т. Д. Более поздние операции MobileInter полностью смоделированы на основе сервисов Google, включая URL-адреса эксфильтрации и URL-адрес WebSocket, который маскируется под Диспетчер тегов Google.