Carding 4 Carders
Professional
Группа под эгидой Magecart приняла новую тактику, которая использует MiTM и фишинговые атаки на целевые сайты с использованием внешних платежных систем.
Эксперты по безопасности в RiskIQ продолжают отслеживать деятельность нескольких групп Magecart , недавно они заметили новую команду, отслеживаемую как Full(z) House, который использует фишинг и веб-сканирование для своих атак.
Фуллз Хаус-группа начала использовать гибридную технику в августе-сентябре 2019 года.
Хакерские группы под эгидой Magecart продолжают нацеливаться на кражу данных платежных карт с помощью так называемых программных скиммеров. Охранные фирмы следили за деятельностью десятка групп как минимум с 2010 года.
Согласно совместному отчету, опубликованному RiskIQ и FlashPoint, некоторые группы более продвинуты, чем другие, в частности, банда, отслеживаемая как Группа 4, кажется очень сложной.
Список жертв группировок длинный и включает несколько основных платформ, таких как British Airways, Newegg, Ticketmaster, MyPillow и Amerisleep, а также Feedify .
Со временем были обнаружены миллионы экземпляров Magecart, эксперты по безопасности обнаружили десятки программных скриптов скимминга.
В отчете, недавно опубликованном RiskIQ, эксперты подсчитали, что группа затронула миллионы пользователей. RiskIQ сообщает о 2 086 529 случаях обнаружения Magecart, большинство из которых являются атаками на цепочку поставок.
Название Fullz House происходит от двух различных методов атаки: фишинга и веб-скимминга. Группа Magecart использовала общий метод фишинга для сбора и продажи полных наборов личной информации человека вместе с финансовыми данными (обозначенными сленговым термином fullz в подпольной киберпреступности). С этой целью группа открыла интернет-магазин под названием «BlueMagicStore».
Данные платежных карт, украденные с помощью веб-скимминга, были выставлены на продажу в карточном магазине CardHouse.
«Совсем недавно RiskIQ наблюдал, как группа совершила прыжок из мира фишинга в скимминг карт». читает анализ, опубликованный RiskIQ. «Мы назвали эту группу« Fullz House »на основании двух частей их деятельности:
Исследователи RiskIQ заметили некоторое совпадение в инфраструктуре скимминга кредитных карт и фишинг-инфраструктуре платежного провайдера, они также выявили совпадение с инфраструктурой магазинов Dark Web.
«[Фишинговые страницы являются частью фреймворка», - написали они. «У них есть разные шаблоны, имитирующие каждого поставщика платежей, который они внедряют, но серверная часть, обрабатывающая информацию, одинакова для всех. Хотя группа использует много разных доменов, их любимой целью фишинга остается PayPal».
В отличие от других киберпреступных групп, группа Fullz House разработала электронный скиммер, используемый в своих атаках.
Электронный скиммер маскируется под скрипт Google Analytics и был разработан, чтобы подключаться к каждому полю ввода, которое они могут найти, и ждать изменения ввода, чтобы проверить, есть ли данные для кражи.
Такой способ реализации скиммера больше похож на клавиатурный шпион с проверкой данных.
Как только скиммер захватит данные платежа, он отправит их в «место сброса», упакованных и замаскированных под изображение, которое включается на страницу. URL-адрес поддельного изображения, содержащего украденные данные, имеет следующий формат:
https: // <домен скиммера> /ga.php?analytic= <данные в кодировке base64>
«Несмотря на свои примитивные скиммеры, Fullz House также вводит новшества, используя свое уникальное ноу-хау в области киберпреступности, чтобы представить умную технику, которая выполняет человек посередине (митм) атаковать электронная коммерциятранзакции ». продолжает анализ.
Группа Magecart создает страницу с шаблоном, имитирующим известную платежную систему. Когда жертвы пытаются что-то купитьна скомпрометированный магазин, электронная коммерция перенаправляет его на мошенническую платежную страницу, используемую для обмана жертв для завершения платежа.
«В Fullz группа вышла из фишинг-экосистемы, чтобы принести совершенно новый набор навыков конлайн-игра в скимминг. Создание поддельных внешних платежных страниц, маскирующихся под законные финансовые учреждения, с последующим перенаправлением жертв на эти фишинговые страницы для заполнения их платежных данных, добавляет новый элемент ввеб-скиммингпейзаж." завершает отчет». Этот новыйскимминг / фишинг Гибридная тактика угроз означает, что даже магазины, которые отправляют клиентов на внешние платежные системы, уязвимы».
Эксперты по безопасности в RiskIQ продолжают отслеживать деятельность нескольких групп Magecart , недавно они заметили новую команду, отслеживаемую как Full(z) House, который использует фишинг и веб-сканирование для своих атак.
Фуллз Хаус-группа начала использовать гибридную технику в августе-сентябре 2019 года.
Хакерские группы под эгидой Magecart продолжают нацеливаться на кражу данных платежных карт с помощью так называемых программных скиммеров. Охранные фирмы следили за деятельностью десятка групп как минимум с 2010 года.
Согласно совместному отчету, опубликованному RiskIQ и FlashPoint, некоторые группы более продвинуты, чем другие, в частности, банда, отслеживаемая как Группа 4, кажется очень сложной.
Список жертв группировок длинный и включает несколько основных платформ, таких как British Airways, Newegg, Ticketmaster, MyPillow и Amerisleep, а также Feedify .
Со временем были обнаружены миллионы экземпляров Magecart, эксперты по безопасности обнаружили десятки программных скриптов скимминга.
В отчете, недавно опубликованном RiskIQ, эксперты подсчитали, что группа затронула миллионы пользователей. RiskIQ сообщает о 2 086 529 случаях обнаружения Magecart, большинство из которых являются атаками на цепочку поставок.
Название Fullz House происходит от двух различных методов атаки: фишинга и веб-скимминга. Группа Magecart использовала общий метод фишинга для сбора и продажи полных наборов личной информации человека вместе с финансовыми данными (обозначенными сленговым термином fullz в подпольной киберпреступности). С этой целью группа открыла интернет-магазин под названием «BlueMagicStore».
Данные платежных карт, украденные с помощью веб-скимминга, были выставлены на продажу в карточном магазине CardHouse.
«Совсем недавно RiskIQ наблюдал, как группа совершила прыжок из мира фишинга в скимминг карт». читает анализ, опубликованный RiskIQ. «Мы назвали эту группу« Fullz House »на основании двух частей их деятельности:
- Общий фишинг для продажи «fullz» - жаргонный термин, используемый преступниками и торговыми посредниками, означающий полные пакеты идентифицирующей информации отдельных лиц в их магазине под названием «BlueMagicStore».
- Скимминг карт для продажи информации о кредитных картах в их карточном магазине под названием «CardHouse».
Исследователи RiskIQ заметили некоторое совпадение в инфраструктуре скимминга кредитных карт и фишинг-инфраструктуре платежного провайдера, они также выявили совпадение с инфраструктурой магазинов Dark Web.
«[Фишинговые страницы являются частью фреймворка», - написали они. «У них есть разные шаблоны, имитирующие каждого поставщика платежей, который они внедряют, но серверная часть, обрабатывающая информацию, одинакова для всех. Хотя группа использует много разных доменов, их любимой целью фишинга остается PayPal».
В отличие от других киберпреступных групп, группа Fullz House разработала электронный скиммер, используемый в своих атаках.
Электронный скиммер маскируется под скрипт Google Analytics и был разработан, чтобы подключаться к каждому полю ввода, которое они могут найти, и ждать изменения ввода, чтобы проверить, есть ли данные для кражи.
Такой способ реализации скиммера больше похож на клавиатурный шпион с проверкой данных.
Как только скиммер захватит данные платежа, он отправит их в «место сброса», упакованных и замаскированных под изображение, которое включается на страницу. URL-адрес поддельного изображения, содержащего украденные данные, имеет следующий формат:
https: // <домен скиммера> /ga.php?analytic= <данные в кодировке base64>
«Несмотря на свои примитивные скиммеры, Fullz House также вводит новшества, используя свое уникальное ноу-хау в области киберпреступности, чтобы представить умную технику, которая выполняет человек посередине (митм) атаковать электронная коммерциятранзакции ». продолжает анализ.
Группа Magecart создает страницу с шаблоном, имитирующим известную платежную систему. Когда жертвы пытаются что-то купитьна скомпрометированный магазин, электронная коммерция перенаправляет его на мошенническую платежную страницу, используемую для обмана жертв для завершения платежа.
«В Fullz группа вышла из фишинг-экосистемы, чтобы принести совершенно новый набор навыков конлайн-игра в скимминг. Создание поддельных внешних платежных страниц, маскирующихся под законные финансовые учреждения, с последующим перенаправлением жертв на эти фишинговые страницы для заполнения их платежных данных, добавляет новый элемент ввеб-скиммингпейзаж." завершает отчет». Этот новыйскимминг / фишинг Гибридная тактика угроз означает, что даже магазины, которые отправляют клиентов на внешние платежные системы, уязвимы».
