За последние несколько месяцев мы видели и слышали меньше шумихи о "Magecart". На данный момент можно сказать, что атаки со стороны клиента Magecart все еще существуют и что мы легко можем их пропустить, если будем полагаться на автоматические краулеры и песочницы, по крайней мере, если не сделаем их более надежными.
Magecart
12 июня @rootprivilege написал в Твиттере о взломанном хранилище, инжектированном с хоста js.staticounter[.]net, которое выглядело очень подозрительно. При первоначальном захвате JavaScript казался чистым, но его вредоносность подтвердил @AffableKraut, опубликовавший скриншот кода скиммера.
За несколько дней до публикации @rootprivilege об этом скиммере @Sansec сообщил в твиттере о другом новом скиммерском домене на scanalytic[.]org. Сравнив эти два домена, которые находятся на одном и том же ASN (AS29182), мы пришли к выводу, что они связаны.
Malwarebytes связали эти два домена с предыдущей кампанией от ноября 2021 года, которая была первым известным случаем проверки скиммера на использование виртуальных машин. Однако теперь оба домена лишены кода обнаружения виртуальных машин. Неясно, почему субъекты угроз удалили его, возможно, он вызвал больше проблем, чем пользы.
Есть и другие различия в новейшем образце скиммера от @rootsecdev, например, разные схемы именования важных полей ввода. Как вы можете видеть, в первом случае они имеют явную ссылку (например, CcNumber), в то время как в более поздней итерации имена представляют собой общие веб-термины, что делает их менее очевидными.
Используя сервис urlscan.io, Malwarebytes смогли обнаружить дополнительную инфраструктуру, связанную с этой текущей кампанией. Malwarebytes начали поиск со всех недавних отправлений, которые контактировали с IP-адресом, принадлежащим AS29182.
Хотя кража кредитных карт по-прежнему является хорошим бизнесом, есть и другие типы данных, которые стоят гораздо больше. Криптокошельки и подобные цифровые активы чрезвычайно ценны, и нет сомнений, что существуют хитроумные схемы их кражи, не ограничивающиеся фишингом. Пример атаки на стороне клиента с использованием JavaScript для выкачивания криптовалютных активов можно найти в блоге Элии Штейн из компании Confiant.
Indicators of Compromise
IPv4
- 185.253.32.174
- 185.253.32.42
- 185.253.32.44
- 185.253.32.50
- 185.253.32.59
- 185.253.32.64
- 185.253.33.179
- 185.253.33.188
- 185.253.33.190
- 185.253.33.191
- 185.253.33.40
- 185.63.188.59
- 185.63.188.70
- 185.63.188.71
- 185.63.188.79
- 185.63.188.85
- 185.63.190.118
- 185.63.190.144
- 185.63.190.163
- 185.63.190.183
- 185.63.190.205
- 185.63.190.207
- 185.63.190.212
- 194.87.217.195
- 194.87.217.197
- 194.87.217.91
- 212.109.222.225
- 77.246.157.133
- 80.78.249.78
- 82.146.50.132
- 82.146.50.89
- 82.202.160.10
- 82.202.160.119
- 82.202.160.123
- 82.202.160.137
- 82.202.160.29
- 82.202.160.54
- 82.202.160.8
- 82.202.160.9
- 82.202.161.77
- 89.108.109.14
- 89.108.109.167
- 89.108.109.169
- 89.108.116.123
- 89.108.116.48
- 89.108.123.168
- 89.108.123.169
- 89.108.123.28
- 89.108.126.50
- 89.108.127.16
Domains
- abtasty.net
- accdn.lpsnmedia.org
- amplify.outbrains.net
- apis.murdoog.org
- app.iofrontcloud.com
- app.nomalert.org
- app.purechat.org
- app.rolfinder.com
- cdn.accutics.org
- cdn.alexametrics.net
- cdn.alligaturetrack.com
- cdn.base-code.org
- cdn.boxsearch.org
- cdn.cookieslaw.org
- cdn.getambassador.net
- cdn.hs-analytics.org
- cdn.jsdelivr.biz
- cdn.nosto.org
- cdn.pinnaclecart.io
- cdn.quickespark.net
- cdn.speedcurve.org
- cdn.tomafood.org
- clickcease.biz
- common.quatserve.com
- con.digital-speed.net
- content.digital-metric.org
- css.tevidon.com
- demo-metrics.net
- dev.crisconnect.net
- dwin1.org
- epos.bayforall.biz
- feedaty.org
- graph.cloud-chart.net
- h.lookmind.net
- hal-data.org
- img.etakeawaymax.biz
- js.artesfut.com
- js.g-livestatic.com
- js.imagero.org
- js.librarysetr.com
- libsconnect.net
- listrakbi.io
- lp.celebrosnlp.org
- m.brands-watch.com
- m.sleeknote.org
- marklibs.com
- nypi.dc-storm.org
- opendwin.com
- pepperjams.org
- px.owneriq.org
- r.klarnacdn.org
- rawgit.net
- rolfinder.com
- s1.listrakbi.org
- sdk.moonflare.org
- search.global-search.net
- shopvisible.org
- sjsmartcontent.org
- snapengage.io
- st.adsrvr.biz
- stage.sleefnote.com
- stat-analytics.org
- static.clarlity.com
- static.druapps.org
- static.lookmetric.com
- static.mantisadnetwork.org
- static.newrelc.net
- static.opendwin.com
- t.trackedlink.org
- troadster.com
- trustedport.org
- web.dwin-co.jp
- web.livechatsinc.net
- web.speedstester.com
- web.webflows.net