MobilInter

MobileInter, Magecart tehdit aktörleri arasında son derece popüler bir özellik olan Inter skimmer kodunun yeni bir enkarnasyonudur. MobileInter'in yaratıcıları, Inter'i temel olarak kullandılar, ancak belirli hedeflerine daha iyi uyması için işlevselliğini daha da değiştirdi ve genişletti. Gerçekten de MobileInter, yalnızca mobil kullanıcılara karşı kullanılmaktadır. Mobil cihazlarda gerçekleşen çevrimiçi harcamaların hacmi göz önüne alındığında, Magecart çetelerinin operasyonlarını bundan yararlanmak için ayarlamalarına şaşmamak gerek.

MobilAra Özellikleri

MobileInter'in ana yönleri, mobil kullanıcılara odaklanması ve oturum açma kimlik bilgilerini ve ödeme verilerini toplama yeteneğidir. RiskIQ'daki araştırmacılar tehdidi takip ettikleri süre boyunca, veri hırsızlığı ve tespit önleme için kullanılan tekniklerde kesin bir evrim gözlemlediler.

MobileInter'in ilk varyantları, sızma URL'lerini taşıyan GitHub'dan görüntüler getirdi. Daha sonraki yinelemeler GitHub depolarını boşalttı ve sızma URL'lerini skimmer kodu içinde taşımaya başladı. Ayrıca, en son MobileInter sürümleri, veri yükleme için WebSockets kullanır.

MobileInter'in arkasındaki tehdit aktörü, yalnızca mobil kullanıcıları hedeflemekle ilgilendiğinden, kötü amaçlı yazılım araçlarını, ödeme işlemlerinin uygun bir cihazda yapılıp yapılmadığını belirlemek için tasarlanmış birden fazla testle donattı. Yeni başlayanlar için tehdit, şu anda bir ödeme sayfasının açık olup olmadığını anlamak için pencerenin konumuna karşı bir normal ifade kontrolü gerçekleştirir. Ardından, aynı normal ifade denetimi, userAgent'ın birkaç mobil tarayıcıdan biri için ayarlanıp ayarlanmadığını da görmeye çalışır. MobileInter ayrıca tarayıcı penceresinin boyutlarını izler ve bunları bir mobil tarayıcıdan beklenenlerle eşleştirir. Kontroller olumlu bir sonuç verirse, kötü amaçlı yazılım, hedeflenen verileri gözden geçirmeye ve bir dizi işlev aracılığıyla dışarı sızmaya devam eder.

Kaçınma Teknikleri

Hain faaliyetlerini gizlemek için MobileInter, meşru hizmetlerinkileri taklit eden işlevlerinin adlarını verir. Örneğin, veri hırsızlığının gerçekleştirilme hızını belirleyen 'rumbleSpeed' işlevi, jQuery için jRumble eklentisinin bir parçası olarak görünecek şekilde tasarlanmıştır.

Operasyonda kullanılan alanlara gelince, onlar da meşru hizmetleri kılık değiştirerek kullanıyorlar. Tehdit ile ilgili sayısız etki alanı arasında bazıları jQuery, Amazon, Alibaba vb. kimliğine bürünür. Daha yeni MobileInter işlemleri, sızma URL'leri ve kendisini Google Etiket Yöneticisi olarak maskeleyen WebSocket URL'si dahil olmak üzere tamamen Google hizmetlerine göre modellenmiştir.