연구원들이 최근 Magecart 스키머의 새로운 반복과 관련된 인프라를 분석하면서 발견한 것처럼 한 가지 형태의 범죄 활동에 가담한 사이버 범죄자는 때때로 광범위한 다른 사악한 캠페인에도 손을 뻗을 수 있습니다.
Magecart는 악명 높은 끊임없이 진화 — 결제 카드 정보를 훔치기 위해 전자 상거래 사이트에 카드 스키머를 배치하는 것을 전문으로 하는 여러 그룹의 신디케이트. 수년 동안 신디케이트에 속한 그룹은 다음과 같은 주요 회사에 속한 것을 포함하여 웹 사이트에서 카드 정보를 수많은, 때로는 대규모로 강탈했습니다. TicketMaster 과 영국 항공.
Malwarebytes의 연구원은 최근 위협 행위자가 다음을 배포하는 것을 관찰했습니다. 결제 카드 스키머 — mr.SNIFFA라는 프레임워크를 기반으로 — 여러 전자 상거래 사이트에서. mr.SNIFFA는 다음을 생성하는 서비스입니다. Magecart 스크립트 위협 행위자는 전자 상거래 웹 사이트에서 구매 비용을 지불하는 사용자의 신용 카드 및 직불 카드 정보를 훔치기 위해 동적으로 배포할 수 있습니다. 이 맬웨어는 스테가노그래피와 같은 다양한 난독화 방법과 전술을 사용하여 의심하지 않는 대상 웹사이트에 결제 카드 도용 코드를 로드하는 것으로 알려져 있습니다.
드넓은 범죄 피난처
캠페인에 사용된 인프라를 조사한 결과 암호화폐 사기, 악성 서비스 판매 포럼, 도난당한 신용 카드 번호 등 동일한 행위자와 연결된 것으로 보이는 다른 악의적인 활동의 광범위한 네트워크가 발견되었습니다.
Malwarebytes의 위협 인텔리전스 책임자인 Jerome Segura는 블로그 게시물에서 "하나의 범죄 서비스가 끝나면 다른 범죄 서비스가 시작됩니다. 하지만 종종 서로 연결되어 있습니다."라고 말했습니다. 회사 연구 요약. "코드 조각을 넘어 더 큰 그림을 보는 것은 더 큰 생태계를 더 잘 이해하고 잠재적인 추세를 보는 데 도움이 됩니다."
Malwarebytes가 관찰한 Magecart 캠페인에서 공격자는 세 가지 다른 도메인을 사용하여 공격 체인의 서로 다른 구성 요소를 배포했습니다. 각 도메인에는 암호화에서 영감을 받은 이름이 있습니다. 예를 들어 감염 체인의 초기 리디렉션 구성 요소를 주입한 도메인의 이름은 "saylor2xbtc[.]com"으로, 분명히 비트코인 지지자 Michael Saylor에게 경의를 표합니다. 다른 유명 인사들도 참조했습니다. "elon2xmusk[.]com"이라는 이름의 도메인은 스키머용 로더를 호스트했으며 "2xdepp[.]com"은 실제 인코딩된 스키머 자체를 포함했습니다.
Malwarebytes는 러시아에 기반을 둔 방탄 호스팅 회사인 DDoS-Guard에 속한 인프라에서 호스팅되는 세 개의 도메인을 발견했습니다. 그늘진 웹 사이트 및 운영 호스팅에 대한 평판. 보안 공급업체의 조사에 따르면 세 도메인 각각은 광범위한 기타 악의적인 활동과 관련이 있는 것으로 나타났습니다.
예를 들어 스키머 로더를 호스팅하는 IP 주소는 가정 장식 및 데코레이션 회사인 Houzz 웹사이트의 사기성 버전도 호스팅했습니다. 마찬가지로 스키머를 호스팅하는 사이트인 2xdepp[.]com의 IP 주소는 RDP, Cpanel, Shells와 같은 도구를 판매하는 웹사이트와 사이버 범죄자들이 불법적으로 만드는 데 자주 사용하는 암호화폐 혼합 서비스를 제공하는 다른 웹사이트를 호스팅했습니다. 추적하기 어려운 돈을 벌었습니다.
Malwarebytes의 연구원들은 사이버 범죄자들이 동일한 서브넷에서 호스팅되는 다양한 맬웨어 서비스를 광고하기 위해 사용하는 포럼인 blackbiz[.]top을 추가로 발견했습니다.
암호화 관련 사기
Malwarebytes는 도메인 이름에 Magecart 캠페인과 관련된 2개의 사이트와 동일한 "XNUMXx"가 있을 수 있는 DDoS Guard에서 호스팅되는 다른 웹사이트가 있는지 확인하기로 결정했습니다. 이번 훈련에서 불법 암호화폐 관련 활동에 연루된 여러 사기성 웹사이트가 드러났습니다.
"이 가짜 사이트는 Tesla, Elon Musk, MicroStrategy 또는 Michael J. Saylor의 공식 이벤트라고 주장하며 수천 BTC를 벌 수 있다는 잘못된 희망으로 사람들을 속이고 있습니다."라고 Segura는 말했습니다. “1년 2022월에 따르면 이러한 암호 경품 사기는 2022년 상반기에 XNUMX배 증가했습니다. 신고 Group-IB에 의해”라고 덧붙였다.
Malwarebytes는 또한 DDoS Guard에서 Magecart 운영자와 연결된 것으로 보이는 여러 다른 사이트를 발견했습니다. 그 중에는 TeamViewer를 스푸핑하는 피싱 사이트, AnyDesk, MSI, 훔친 신용 카드 데이터를 판매한 저널리스트 Brian Krebs의 이름을 딴 웹 포털, 다양한 피싱 키트를 판매하는 사이트가 있었습니다.
Malwarebytes의 연구는 일부 사이버 범죄 그룹이 공동 악성 캠페인에서 다른 사람들과 협력할 목적으로 특정 사이버 범죄 활동을 전문화하기 시작했음에도 불구하고 여전히 확산되고 있는 사이버 범죄 그룹의 특성을 강조합니다.
지난 몇 년 동안 Evil Corp, 북한의 Lazarus Group, DarkSide 등과 같은 위협 행위자들은 크고 다양한 활동으로 명성을 얻었습니다. 그러나 최근에는 다른 사람들이 자신의 특정 기술에 더 좁게 집중하기 시작했습니다.
보안 공급업체인 Trend Micro가 작년에 수행한 연구에 따르면 점점 더 다양한 기술을 가진 사이버 범죄자들이 모여들고 있습니다. 서비스로서의 사이버 범죄를 제공합니다. 회사는 이러한 범죄 서비스가 서비스로서의 액세스, 서비스로서의 랜섬웨어, 방탄 호스팅 또는 새로운 공격 방법과 전술을 찾는 데 집중하는 크라우드 소싱 팀을 제공하는 그룹으로 구성되어 있음을 발견했습니다.
트렌드마이크로는 “사고 대응 사고방식에서 이는 [방어자]가 전체 공격의 특정 측면을 완료하는 서로 다른 그룹을 식별해야 하므로 공격을 탐지하고 중지하기가 더 어려워진다는 것을 의미합니다.”라고 결론을 내렸습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/threat-intelligence/digital-crime-haven-investigating-magecart-activity
