Lil' Skim Skimmer

Yeni bir raporda, bir yılı aşkın süredir çoğunlukla gözden kaçan bir deniz süpürücü tehdidiyle ilgili ayrıntılar ortaya çıktı. Lil' Skim adlı sıyırıcı tehdidi, tipik Magecart sıyırıcı varyantlarının daha basit ve basit bir versiyonu gibi görünüyor. Lil' Skim, etkin durumdayken ve güvenliği ihlal edilmiş sayfalarda alışveriş yapan kullanıcıların kredi/banka kartı bilgilerini toplarken tespit edilmesini engellemek için meşru varlıkları taklit etme taktiğini iki katına çıkarır.

Tehdidin operatörleri, adları meşru ancak güvenliği ihlal edilmiş sitelerin adlarını çok yakından taklit eden çok sayıda skimmer etki alanı yarattı. Siber suçlular, normal üst düzey alan adını '.site', '.website' veya '.pw' ile değiştirdiler. Yeni oluşturulan ana bilgisayarlar daha sonra skimmer kodunu başlatır ve kullanıcıların çalınan ödeme verilerine erişir. Bazı örnekler, gorillawhips.com ve gorillawhips.site adresindeki taklit sitesi ile dogdug.com ve dogdug.website adresindeki taklitçisini içerir. Infosec araştırmacıları tarafından keşfedilen tüm alan adları 87.236.16[.]107'de barındırıldı.

Diğer Tehditler Arasında Saklanmak

Skimmer operatörleri tarafından sıklıkla kullanılan bir diğer yaygın teknik, Google, jQuery ve diğerleri gibi meşru markaların kimliğine bürünmeyi içerir. Lil' Skim bir istisna değildir ve etki alanlarının birçoğu Google'dan sonra adlandırılmıştır. Başka bir örnekte, skimmer operatörleri tidio[.]fun adını kullanarak tidio.com sohbet uygulamasının kimliğine büründü.

Ayrıca, Lil' Skim'in arkasındaki siber suçluların, skimmer etki alanlarını, kimlik avı kitleri, Android yükleri ve Windows kötü amaçlı yazılımları gibi diğer kötü amaçlı yazılım tehditleriyle ilgili önemli sayıda bozuk ana bilgisayar içeren bir Otonom Sisteme yerleştirdiği de belirtilmelidir. Yalnızca iki IP adresinin - 87.236.16[.]10 ve yukarıda bahsedilen 87.236.16[.]107'nin, Lil' Skim işleminin bir parçası olan ek alan adlarını barındırdığı keşfedildi.