Lil' Skim Skimmer

一份新报告披露了有关撇油器威胁的详细信息，该威胁已经能够在一年多的时间里一直处于雷达之下。名为 Lil'Skim 的撇油器威胁似乎是典型 Magecart 撇油器变体的更直接和简单的版本。为了在它处于活动状态时阻止检测并收集用户在受感染页面上购物的信用卡/借记卡信息，Lil'Skim 在冒充合法实体的策略上加倍努力。

威胁的运营商创建了许多浏览器域，其名称与合法但受感染站点的名称非常相似。网络犯罪分子只是将普通的顶级域名替换为".site"、".website"或".pw"。新创建的主机然后启动撇油器代码并访问被盗用户的支付数据。一些示例包括 gorillawhips.com 和 gorillawhips.site 上的模仿站点，以及 dogdug.com 及其在 dogdug.website 上的模仿网站。信息安全研究人员发现的所有域都托管在 87.236.16[.]107 上。

隐藏在其他威胁中

撇油器运营商经常采用的另一种常见技术涉及冒充合法品牌，例如 Google、jQuery 等。 Lil'Skim 也不例外，它的几个域名都以 Google 的名字命名。在另一个例子中，skimmer 操作员使用名称 tidio[.]fun 冒充 tidio.com 聊天应用程序。

还应该指出的是，Lil'Skim 背后的网络犯罪分子将他们的撇渣器域置于一个自治系统中，该系统还包含大量与其他恶意软件威胁（如网络钓鱼工具包、Android 有效负载和 Windows 恶意软件）相关的损坏主机。只有两个 IP 地址 - 87.236.16[.]10 和前面提到的 87.236.16[.]107，被发现托管了 Lil'Skim 操作的附加域部分。