Q-Logger Skimmer
Mit dem explosiven Wachstum des E-Commerce-Sektors haben die Cyberkriminellen, die Magecart- und Skimmer-Angriffe durchführen, damit begonnen, den Umfang ihrer Bedrohungsoperationen, die beteiligten Methoden und die eingesetzte Infrastruktur zu diversifizieren. Eine Bedrohung, die diesen Trend veranschaulicht, ist der kürzlich entdeckte Q-Logger Skimmer. Die Bedrohung wurde zuerst von Eric Brandel entdeckt.
Q-logger wurde mehrere Monate lang in aktiven Angriffskampagnen eingesetzt, bevor infosec-Forscher die Aktivitäten der Hacker entdeckten. Die Angreifer zielen darauf ab, die Bedrohung entweder direkt auf die kompromittierten E-Commerce-Websites zu injizieren oder extern zu laden. Danach können sie damit beginnen, die Zahlungsdaten der Benutzer der infizierten Site abzugreifen und Kredit- und Debitkartendaten abzurufen. Die gesammelten Informationen werden über POST-Anfragen in eine von den Hackern kontrollierte Domain exfiltriert. Die Q-Logger-Attacken zielen auf kleinere Unternehmen ab, die einen Online-Shop hauptsächlich mit Magento betreiben.
Funktionen des Q-Loggers
Abgesehen von den typischen bedrohlichen Aktivitäten, die mit Skimmer-Bedrohungen verbunden sind, weist Q-logger mehrere besondere Merkmale auf. Die Bedrohung ist mit mehreren Anti-Analyse-Techniken ausgestattet. Neben der Verschleierung des Codes haben die Hacker eine Keylogger-Routine hinzugefügt, die erkennen kann, wann verschiedene Devtools geöffnet wurden. Wenn die Überprüfungen ein positives Ergebnis für den Start solcher Devtools liefern, wird Q-logger seine Aktivitäten vollständig beenden. Eine weitere Technik, die von den für die Q-Logger-Angriffe verantwortlichen Cyberkriminellen beobachtet wurde, ist die Massenregistrierung von Domains, die eine wirksame Strategie gegen Blocklisten darstellt. Auf der anderen Seite versucht es, die Infrastruktur der Operationen zu unterteilen, um die echte IP-Adresse des Hosting-Providers zu verbergen.