Q-logger Skimmer

Med den explosiva tillväxten inom e-handelssektorn har cyberkriminella som utför Magecart- och skimmerattacker börjat diversifiera omfattningen av sina hotfulla operationer, de inblandade metoderna och den utplacerade infrastrukturen. Ett hot som exemplifierar denna trend är den nyligen upptäckta Q-logger Skimmer. Hotet upptäcktes först av Eric Brandel.

Q-logger har använts i aktiva attackkampanjer i flera månader innan infosec-forskare fångade hackarens aktiviteter. Angriparna syftar till att injicera hotet antingen direkt till de komprometterade e-handelswebbplatserna eller laddas externt. Efteråt kan de börja häva betalningsuppgifterna för den infekterade webbplatsens användare och få kredit- och betalkortsuppgifter. Den insamlade informationen exfiltreras till en domän under hackarens kontroll via POST -förfrågningar. Q-logger-attackerna riktar sig till mindre företag som driver en webbutik med Magento huvudsakligen.

Q-Loggers funktionalitet

Förutom de typiska hotfulla aktiviteterna i samband med skimmerhot, visar Q-logger flera särdrag. Hotet är utrustat med flera antianalystekniker. Utöver att dölja koden har hackarna lagt till en keylogger -rutin som kan upptäcka när olika devtools har öppnats. Om kontrollerna ger ett positivt resultat för sådana devtools som startas, kommer Q-logger att avsluta sin verksamhet helt. En annan teknik som observeras för att användas av de cyberkriminella som är ansvariga för Q-logger-attackerna är att registrera domäner i massor, vilket är en effektiv strategi mot blocklistor. Å andra sidan försöker den dela upp infrastruktur för operationerna för att dölja värdleverantörens riktiga IP -adress.