Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Các nhà nghiên cứu tìm thấy 'thiên đường tội phạm kỹ thuật số' trong khi điều tra hoạt động của Magecart

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 133

Tội phạm mạng tham gia vào một hình thức hoạt động tội phạm đôi khi cũng có thể tham gia vào một loạt các chiến dịch bất chính khác, như các nhà nghiên cứu gần đây đã phát hiện ra khi phân tích cơ sở hạ tầng liên quan đến một phiên bản mới của thiết bị trượt Magecart.

Magecart là một khét tiếng - và không ngừng phát triển — tập hợp nhiều nhóm chuyên đặt skimmer thẻ trên các trang thương mại điện tử để đánh cắp thông tin thẻ thanh toán. Trong những năm qua, các nhóm thuộc tổ chức này đã thực hiện nhiều vụ trộm — đôi khi rất lớn — đánh cắp thông tin thẻ từ các trang web, bao gồm cả những trang thuộc về các công ty lớn như TicketMasterBritish Airways.

Các nhà nghiên cứu từ Malwarebytes gần đây đã quan sát thấy một tác nhân đe dọa đang triển khai một skimmer thẻ thanh toán — dựa trên một khung gọi là mr.SNIFFA — trên nhiều trang thương mại điện tử. mr.SNIFFA là một dịch vụ tạo ra tập lệnh Magecart rằng các tác nhân đe dọa có thể tự động triển khai để đánh cắp thông tin thẻ tín dụng và thẻ ghi nợ từ những người dùng thanh toán khi mua hàng trên các trang web thương mại điện tử. Phần mềm độc hại được biết đến với việc sử dụng nhiều phương pháp và chiến thuật che giấu khác nhau như kỹ thuật ẩn để tải mã đánh cắp thẻ thanh toán của nó lên các trang web mục tiêu không đáng ngờ.

Thiên đường tội phạm rộng lớn

Cuộc điều tra của họ về cơ sở hạ tầng được sử dụng trong chiến dịch đã dẫn đến việc phát hiện ra một mạng lưới rộng lớn gồm các hoạt động độc hại khác — bao gồm lừa đảo tiền điện tử, diễn đàn bán dịch vụ độc hại và số thẻ tín dụng bị đánh cắp — dường như được liên kết với cùng một tác nhân. 

Jerome Segura, giám đốc tình báo mối đe dọa tại Malwarebytes, cho biết: “Khi một dịch vụ tội phạm kết thúc, một dịch vụ khác sẽ bắt đầu — nhưng thường thì chúng được liên kết với nhau,” Jerome Segura, giám đốc tình báo mối đe dọa tại Malwarebytes, cho biết trong một bài đăng trên blog. tóm tắt nghiên cứu của công ty. “Nhìn xa hơn các đoạn mã và nhìn thấy bức tranh lớn hơn giúp hiểu rõ hơn về hệ sinh thái lớn hơn cũng như để xem các xu hướng tiềm năng.”

Trong chiến dịch Magecart mà Malwarebytes quan sát thấy, tác nhân đe dọa đã sử dụng ba miền khác nhau để triển khai các thành phần khác nhau của chuỗi tấn công. Mỗi miền đều có tên lấy cảm hứng từ tiền điện tử. Chẳng hạn, tên miền đã đưa vào thành phần chuyển hướng ban đầu của chuỗi lây nhiễm có tên “saylor2xbtc[.]com,” dường như là một cái gật đầu với người đề xuất Bitcoin nổi tiếng Michael Saylor. Những người nổi tiếng khác cũng được tham chiếu: Một miền có tên “elon2xmusk[.]com” lưu trữ trình tải cho skimmer, trong khi “2xdepp[.]com” chứa chính skimmer được mã hóa thực tế.

Malwarebytes đã tìm thấy ba miền được lưu trữ trên cơ sở hạ tầng thuộc DDoS-Guard, một công ty lưu trữ chống đạn có trụ sở tại Nga với danh tiếng về việc lưu trữ các trang web và hoạt động mờ ám. Cuộc điều tra của nhà cung cấp bảo mật cho thấy mỗi miền trong số ba miền có liên quan đến một loạt các hoạt động độc hại khác.

Ví dụ, địa chỉ IP lưu trữ bộ tải skimmer cũng lưu trữ một phiên bản lừa đảo của trang web của công ty trang trí và trang trí nhà cửa Houzz. Tương tự, địa chỉ IP của 2xdepp[.]com — trang web lưu trữ skimmer — đã lưu trữ một trang web bán các công cụ như RDP, Cpanel và Shell và một trang web khác cung cấp dịch vụ trộn tiền điện tử — thứ mà tội phạm mạng thường sử dụng để thực hiện bất hợp pháp tiền kiếm được khó theo dõi hơn. 

Các nhà nghiên cứu tại Malwarebytes đã phát hiện thêm blackbiz[.]top, một diễn đàn mà tội phạm mạng sử dụng để quảng cáo các dịch vụ phần mềm độc hại khác nhau, được lưu trữ trên cùng một mạng con.

Lừa đảo liên quan đến tiền điện tử

Malwarebytes quyết định xem liệu có bất kỳ trang web nào khác được lưu trữ trên DDoS Guard có thể có cùng “2x” trong tên miền của chúng như ba trang web được liên kết với chiến dịch Magecart hay không. Cuộc thử nghiệm đã tiết lộ nhiều trang web lừa đảo tham gia vào các hoạt động liên quan đến tiền điện tử bất hợp pháp. 

“Các trang web giả mạo này tự xưng là sự kiện chính thức từ Tesla, Elon Musk, MicroStrategy hoặc Michael J. Saylor và đang lừa mọi người với hy vọng hão huyền là kiếm được hàng nghìn BTC,” Segura cho biết. “Những vụ lừa đảo tặng quà bằng tiền điện tử này đã tăng gấp 1 lần trong nửa đầu năm 2022, theo một báo cáo vào tháng 2022 năm XNUMX báo cáo bởi Group-IB,” ông nói thêm.

Malwarebytes cũng phát hiện ra nhiều trang web khác trên DDoS Guard dường như được liên kết với nhà điều hành Magecart. Trong số đó có các trang web lừa đảo giả mạo TeamViewer, AnyDesk, MSI, một cổng thông tin điện tử được đặt theo tên của nhà báo Brian Krebs để bán dữ liệu thẻ tín dụng bị đánh cắp và một trang web bán nhiều bộ công cụ lừa đảo.

Nghiên cứu của Malwarebytes nhấn mạnh bản chất vẫn còn lan rộng của một số nhóm tội phạm mạng, ngay cả khi những nhóm khác đã bắt đầu chuyên về các hoạt động tội phạm mạng cụ thể nhằm cộng tác với những nhóm khác trong các chiến dịch độc hại chung. 

Trong vài năm qua, các tác nhân đe dọa như Evil Corp, Tập đoàn Lazarus của Bắc Triều Tiên, DarkSide và những kẻ khác đã nổi tiếng là vừa lớn vừa đa dạng trong hoạt động của họ. Tuy nhiên, gần đây hơn, những người khác đã bắt đầu tập trung hơn vào các kỹ năng cụ thể của họ.

Nghiên cứu mà nhà cung cấp bảo mật Trend Micro thực hiện năm ngoái cho thấy rằng ngày càng nhiều, tội phạm mạng với các kỹ năng khác nhau đang tập hợp lại để cung cấp tội phạm mạng như một dịch vụ. Công ty đã phát hiện ra rằng các dịch vụ tội phạm này bao gồm các nhóm cung cấp dịch vụ truy cập dưới dạng dịch vụ, ransomware dưới dạng dịch vụ, dịch vụ lưu trữ chống đạn hoặc các nhóm cung cấp dịch vụ cộng đồng tập trung vào việc tìm kiếm các phương pháp và chiến thuật tấn công mới.

“Từ tâm lý ứng phó với sự cố, điều này có nghĩa là [những người bảo vệ] sẽ phải xác định các nhóm khác nhau này hoàn thành các khía cạnh cụ thể của cuộc tấn công tổng thể, khiến việc phát hiện và ngăn chặn các cuộc tấn công trở nên khó khăn hơn,” Trend Micro kết luận.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.