Magecart Skimmer IOCs - Part 3

security IOC

Во взломанные интернет-магазины были внедрены скиммеры, скрывающиеся вокруг скрипта Google Tag Manager. Специалисты Malwarebytes стали называть этот новый скиммер "Kritec" в честь одного из его доменных имен. У него интересный способ загрузки вредоносного JavaScript, который они также не встречали ранее. Внедренный код вызывает первый домен и генерирует ответ Base64. Декодирование ответа показывает URL-адрес, указывающий на фактический код скимминга, который сильно обфусцирован.

Indicators of Compromise

Domains

  • accotech.quest
  • apexit.yachts
  • bereelec.quest
  • cloud-cdn.org
  • cloveselec.quest
  • defimob.bar
  • entrydelt.sbs
  • flagmob.quest
  • flowit.pics
  • gemdigit.pics
  • gretit.yachts
  • klstech.shop
  • kouelec.cyou
  • kritec.pics
  • kruktech.shop
  • lavutele.yachts
  • ledeehub.shop
  • nebiltech.shop
  • nevomob.quest
  • nujtec.shop
  • oumymob.shop
  • paunit.pics
  • pracelec.yachts
  • prijetech.shop
  • regtech.sbs
  • rithdigit.cyou
  • sanpatech.shop
  • screenmet.sbs
  • shokomob.sbs
  • shotsmob.sbs
  • smestech.shop
  • sorotele.yachts
  • tochdigital.pics
  • ukatec.pics
  • vitalmob.pics
  • vuroselec.quest
SEC-1275-1
Добавить комментарий