Lil' Skim Skimmer

一份新報告披露了有關撇油器威脅的詳細信息，該威脅已經能夠在一年多的時間裡一直處於雷達之下。名為 Lil'Skim 的撇油器威脅似乎是典型 Magecart 撇油器變體的更直接和簡單的版本。為了在它處於活動狀態時阻止檢測並收集用戶在受感染頁面上購物的信用卡/借記卡信息，Lil'Skim 加大了冒充合法實體的策略。

威脅的運營商創建了許多瀏覽器域，其名稱與合法但受感染站點的名稱非常相似。網絡犯罪分子只是將普通的頂級域名替換為".site"、".website"或".pw"。新創建的主機然後啟動撇油器代碼並訪問被盜用戶的支付數據。一些示例包括 gorillawhips.com 和 gorillawhips.site 上的模仿站點，以及 dogdug.com 及其在 dogdug.website 上的模仿網站。信息安全研究人員發現的所有域都託管在 87.236.16[.]107 上。

隱藏在其他威脅中

撇油器運營商經常採用的另一種常見技術涉及冒充合法品牌，例如 Google、jQuery 等。 Lil'Skim 也不例外，它的幾個域名都以 Google 的名字命名。在另一個例子中，skimmer 操作員使用名稱 tidio[.]fun 冒充 tidio.com 聊天應用程序。

還應該指出的是，Lil'Skim 背後的網絡犯罪分子將他們的撇渣器域置於一個自治系統中，該系統還包含大量與其他惡意軟件威脅（如網絡釣魚工具包、Android 負載和 Windows 惡意軟件）相關的損壞主機。只有兩個 IP 地址 - 87.236.16[.]10 和前面提到的 87.236.16[.]107，被發現託管了 Lil'Skim 操作的附加域部分。