Grelos Skimmer

Grelos Skimmer ist der Name einer Malware, die von Hackern bei Angriffen im Magecart-Stil eingesetzt wird. Der Grelos Skimmer ist seit mehreren Jahren im Einsatz, seit er 2015 erstmals entdeckt wurde. Während dieser Zeit wurden mehrere Varianten von mehreren verschiedenen Hacker-Gruppen entwickelt und entfesselt, was zu erheblicher Verwirrung führte, wenn versucht wurde, die Operationen einer Gruppe von einer anderen zu unterscheiden.

Magercart bezeichnet eine Angriffsoperation, bei der Hacker speziell Kreditkartendaten von E-Commerce-Websites kompromittieren und stehlen. Hunderte von Websites sind Opfer dieses Angriffs geworden, darunter einige große Marken wie British Airways und Ticketmaster. Viele Cyberkriminelle sprangen ein, was zur Gründung zahlreicher Gruppen führte, die sich auf die Durchführung solcher Angriffe spezialisiert haben. In der aktuellen Landschaft beginnen sich die einzelnen Merkmale der Magecart-Bedrohungsakteure zu vermischen. Paradebeispiele sind die neuesten Grelos Skimmer-Varianten, die von den Forschern von RiskIQ entdeckt wurden.

Diese neuen Skimmer-Bedrohungen verwenden erhebliche Teile des älteren Codes wieder, wobei einige Abschnitte auf die ersten Magecart-Instanzen zurückgeführt werden können. Obwohl sie von verschiedenen Gruppen freigegeben wurden, gibt es eine signifikante Überlappung der Stämme - sie enthalten eine Loader- und eine Skimmer-Phase, verwenden Base64-Codierung und Web-Sockets für die Datenexfiltration. Es wurden nur geringfügige Unterschiede festgestellt, z. B. einer, der eine Schicht Base64-Codierung verwendet, während der andere fünf Schichten erzeugt. Die neueste Version wurde jedoch mit einem gefälschten Zahlungsformular ausgestattet, das alle von den Benutzern eingegebenen Daten erfasst. Laut den Forschern wurden bereits Dutzende von Standorten durch diese Grelos Skimmer-Variante gefährdet.