Lil 'Skim Skimmer

Detaljer om ett skimmerhot som mest har kunnat förbli under radaren i över ett år har avslöjats i en ny rapport. Skimmerhotet heter Lil 'Skim och verkar vara en mer enkel och enkel version av typiska Magecart-skimmervarianter. För att hindra upptäckt medan det är aktivt och samla in kredit- / betalkortsinformation för användare som handlar på de komprometterade sidorna, fördubblar Lil 'Skim taktiken för att utge sig för legitima enheter.

Operatörerna av hotet har skapat ett flertal skimmerdomäner vars namn nära efterliknar de legitima men komprometterade webbplatserna. Cyberbrottslingar ersatte helt enkelt det normala toppdomännamnet med antingen '.site', '.website' eller '.pw.' De nyskapade värdarna initierar sedan skimmerkoden och får tillgång till stulna betalningsdata för användarna. Några exempel inkluderar gorillawhips.com och imiteringssajten på gorillawhips.site, liksom dogdug.com och dess copycat på dogdug.website. Alla domäner som upptäcktes av infosec-forskare var värd den 87.236.16 [.] 107.

Gömmer sig bland andra hot

En annan vanlig teknik som ofta används av skimmeroperatörer innebär att man imiterar legitima varumärken som Google, jQuery och andra. Lil 'Skim är inget undantag och flera av dess domäner har fått sitt namn efter Google. I ett annat fall imiterade skimmeroperatörer tidio.com chattapplikationen med namnet tidio [.] Fun.

Det bör också noteras att cyberbrottslingarna bakom Lil 'Skim placerar sina skimmardomäner i ett autonomt system som också innehåller ett betydande antal skadade värdar relaterade till andra hot mot skadlig programvara som phishing-kit, Android-nyttolast och Windows-skadlig kod. Endast två IP-adresser - 87.236.16 [.] 10 och ovannämnda 87.236.16 [.] 107, upptäcktes vara värd för ytterligare domäner som ingår i Lil 'Skim-operationen.