Os cibercriminosos envolvidos em uma forma de atividade criminosa podem, às vezes, ter suas mãos em uma ampla gama de outras campanhas nefastas também, como os pesquisadores descobriram recentemente ao analisar a infraestrutura associada a uma nova iteração de um skimmer Magecart.
Magecart é um notório - e em constante evolução — sindicato de vários grupos especializados em colocar skimmers de cartão em sites de comércio eletrônico para roubar informações de cartão de pagamento. Ao longo dos anos, grupos pertencentes ao sindicato executaram inúmeros - às vezes massivos - roubos de informações de cartões de sites, incluindo aqueles pertencentes a grandes empresas como TicketMaster e British Airways.
Pesquisadores da Malwarebytes observaram recentemente um agente de ameaça implantando um skimmer de cartão de pagamento — baseado em uma estrutura chamada mr.SNIFFA — em vários sites de comércio eletrônico. mr.SNIFFA é um serviço que gera scripts de carrinho mágico que os agentes de ameaças podem implantar dinamicamente para roubar informações de cartão de crédito e débito de usuários que pagam por compras em sites de comércio eletrônico. O malware é conhecido por empregar vários métodos e táticas de ofuscação, como a esteganografia, para carregar seu código de roubo de cartão de pagamento em sites-alvo desavisados.
Amplo paraíso do crime
A investigação da infraestrutura usada na campanha levou à descoberta de uma extensa rede de outras atividades maliciosas – incluindo golpes de criptomoeda, fóruns para venda de serviços maliciosos e números de cartão de crédito roubados – que pareciam vinculadas ao mesmo ator.
“Onde um serviço criminoso termina, outro começa – mas muitas vezes eles estão ligados”, disse Jerome Segura, diretor de inteligência de ameaças da Malwarebytes, em uma postagem no blog. resumindo a pesquisa da empresa. “Olhar além dos fragmentos de código e ver o quadro geral ajuda a entender melhor o ecossistema maior, bem como a ver tendências em potencial.”
Na campanha Magecart observada pela Malwarebytes, o agente da ameaça usou três domínios diferentes para implantar diferentes componentes da cadeia de ataque. Cada um dos domínios tinha nomes inspirados em criptomoedas. O domínio que injetou o componente de redirecionamento inicial da cadeia de infecção, por exemplo, tinha o nome “saylor2xbtc[.]com”, aparentemente em uma homenagem ao famoso proponente do Bitcoin, Michael Saylor. Outras celebridades também foram referenciadas: um domínio chamado “elon2xmusk[.]com” hospedava o carregador do skimmer, enquanto “2xdepp[.]com” continha o próprio skimmer codificado.
O Malwarebytes encontrou os três domínios hospedados na infraestrutura pertencente à DDoS-Guard, uma empresa de hospedagem à prova de balas com sede na Rússia com um reputação por hospedar sites e operações obscuros. A investigação do fornecedor de segurança mostrou que cada um dos três domínios estava associado a uma ampla gama de outras atividades maliciosas.
O endereço IP, que hospedava o skimmer loader, por exemplo, também hospedava uma versão fraudulenta do site da empresa de decoração Houzz. Da mesma forma, o endereço IP de 2xdepp[.]com — o site que hospeda o skimmer — hospedava um site que vendia ferramentas como RDP, Cpanel e Shells, e outro site que oferecia um serviço para misturar criptomoedas — algo que os cibercriminosos costumam usar para fazer transações ilícitas ganhou dinheiro mais difícil de rastrear.
Os pesquisadores da Malwarebytes descobriram ainda o blackbiz[.]top, um fórum que os cibercriminosos usam para anunciar vários serviços de malware, hospedados na mesma sub-rede.
Golpes Relacionados a Criptomoedas
A Malwarebytes decidiu ver se havia algum outro site hospedado no DDoS Guard que pudesse ter o mesmo “2x” em seus nomes de domínio que os três sites associados à campanha Magecart tinham. O exercício revelou vários sites fraudulentos envolvidos em atividades ilícitas relacionadas a criptomoedas.
“Esses sites falsos afirmam ser eventos oficiais da Tesla, Elon Musk, MicroStrategy ou Michael J. Saylor e estão enganando as pessoas com falsas esperanças de ganhar milhares de BTC”, disse Segura. “Esses golpes de distribuição de criptomoedas cresceram cinco vezes no primeiro semestre de 1, de acordo com um relatório de setembro de 2022. Denunciar pelo Grupo-IB”, acrescentou.
O Malwarebytes também descobriu vários outros sites no DDoS Guard que pareciam vinculados ao operador Magecart. Entre eles estavam sites de phishing falsificando TeamViewer, AnyDesk, MSI, um portal da Web com o nome do jornalista Brian Krebs por vender dados de cartão de crédito roubados e um site que vendia uma variedade de kits de phishing.
A pesquisa da Malwarebytes destaca a natureza ainda crescente de alguns grupos de crimes cibernéticos, mesmo quando outros começaram a se especializar em atividades cibercriminosas específicas com o objetivo de colaborar com outros em campanhas maliciosas conjuntas.
Nos últimos anos, agentes de ameaças como Evil Corp, Lazarus Group da Coreia do Norte, DarkSide e outros ganharam reputação por serem grandes e variados em suas operações. Mais recentemente, porém, outros começaram a se concentrar mais estreitamente em suas habilidades específicas.
A pesquisa que o fornecedor de segurança Trend Micro realizou no ano passado mostrou que cada vez mais, cibercriminosos com diferentes habilidades estão se aglomerando para oferecer o cibercrime como serviço. A empresa descobriu que esses serviços criminosos são compostos por grupos que oferecem acesso como serviço, ransomware como serviço, hospedagem à prova de balas ou equipes de crowdsourcing focadas em encontrar novos métodos e táticas de ataque.
“De uma mentalidade de resposta a incidentes, isso significa que [os defensores] terão que identificar esses diferentes grupos completando aspectos específicos do ataque geral, tornando mais difícil detectar e interromper os ataques”, concluiu a Trend Micro.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Fonte: https://www.darkreading.com/threat-intelligence/digital-crime-haven-investigating-magecart-activity
