MobileInter
MobileInter ist eine neue Inkarnation des Inter-Skimmer-Codes, eine Funktion, die bei Bedrohungsakteuren von Magecart äußerst beliebt ist. Die Macher von MobileInter haben Inter als Basis verwendet, aber die Funktionalität weiter modifiziert und erweitert, um sie besser an ihre speziellen Ziele anzupassen. Tatsächlich wird MobileInter ausschließlich gegen mobile Nutzer eingesetzt. Angesichts des schieren Volumens der Online-Ausgaben, die auf mobilen Geräten getätigt werden, ist es kein Wunder, dass die Magecart-Gangs ihre Operationen anpassen, um dies ebenfalls auszunutzen.
MobileInter-Eigenschaften
Die Hauptaspekte von MobileInter sind der Fokus auf mobile Benutzer und die Möglichkeit, Zugangsdaten und Zahlungsdaten zu sammeln. Während der Zeit, in der die Forscher von RiskIQ die Bedrohung verfolgten, beobachteten sie eine deutliche Entwicklung bei den Techniken zur Datenexfiltration und Anti-Erkennung.
Die ersten Varianten von MobileInter holten Bilder von GitHub, die die Exfiltrations-URLs trugen. Spätere Iterationen haben die GitHub-Repositorys aufgegeben und begonnen, die Exfiltrations-URLs in ihren Skimmer-Code zu übertragen. Darüber hinaus verwenden die neuesten MobileInter-Versionen WebSockets für den Datenupload.
Da der Bedrohungsakteur hinter MobileInter daran interessiert ist, nur mobile Benutzer anzugreifen, hat er sein Malware-Tool mit mehreren Tests ausgestattet, um festzustellen, ob die Zahlungstransaktionen auf einem geeigneten Gerät erfolgen. Für den Anfang führt die Bedrohung eine Regex-Prüfung gegen die Position des Fensters durch, um zu erkennen, ob derzeit eine Checkout-Seite geöffnet ist. Dann versucht dieselbe Regex-Prüfung auch zu sehen, ob der userAgent für einen von mehreren mobilen Browsern eingestellt ist. MobileInter verfolgt auch die Abmessungen des Browserfensters und gleicht sie mit den Erwartungen für einen mobilen Browser ab. Wenn die Überprüfungen ein positives Ergebnis liefern, überfliegt die Malware die Zieldaten und exfiltriert sie durch eine Reihe von Funktionen.
Ausweichtechniken
Um seine schändlichen Aktivitäten zu verschleiern, gibt MobileInter die Namen seiner Funktionen an, die denen legitimer Dienste nachahmen. Beispielsweise soll die Funktion 'rumbleSpeed', die die Geschwindigkeit bestimmt, mit der die Datenexfiltration durchgeführt wird, als Teil des jRumble-Plugins für jQuery erscheinen.
Was die im Betrieb verwendeten Domains betrifft, so verwenden auch sie legitime Dienste als Tarnung. Unter den zahlreichen Domains, die mit der Bedrohung zu tun haben, geben sich einige als jQuery, Amazon, Alibaba usw. aus. Die neueren MobileInter-Operationen sind vollständig nach Google-Diensten modelliert, einschließlich der Exfiltrations-URLs und der WebSocket-URL, die sich als Google Tag Manager tarnt.
