本文作者为Jérôme Segura
在犯罪分子中有一种非常常见的做法,就是在注册新域名时模仿合法的基础设施。这是非常真实的Magecart威胁演员谁喜欢模仿谷歌,jQuery和许多其他流行品牌。
在这篇文章中,我们看看安全研究人员最近披露的一个略读器,它已经存在了一年多,但设法保持低调。除了以谷歌命名他们的几个域名外,威胁行动者还以他们破坏的网站命名他们的域名。
通常,在同一网络上标识额外的基础设施是一项相对简单的工作。但在这种情况下,它是更复杂的,因为托管服务器由大量域名组成,其中许多也是恶意的,但没有浏览相关。隐藏在噪音中是威胁行为人的另一个常见特征。
保持它的简单性
这是Eric Brandel在2021年6月初公开提到的,不像Magecart的JavaScript代码,这是非常直接的。乔丹·赫尔曼之前也有过类似经历发现这个回收船把它叫做Lil '脱脂.基于一个urlscan禁止。io爬在美国,最早的例子至少是在2020年3月未来。主机.
密集的网络隐藏了更多的略读域
快速回顾一下自治系统(AS198610 Beget),这些撇码域显示了大量与钓鱼工具、Windows有效负载和Android恶意软件绑定的恶意主机,仅举几个例子。其中两个IP地址为87.236.16[。] 107和87.236.16[。是属于Lil ' Skim的其他skimmer域的宿主。
例如,tidio[。娱乐是一种娱乐tidio.com这是一款聊天应用,为希望与客户互动的网站所有者提供服务。我们在这里也发现了相同的Lil ' Skim代码:
自定义域妥协的商店
然后我们发现了一些以受害商店命名的略读域名。这本身并不是一种新的做法,经常在钓鱼网站上看到。威胁行动者只是简单地将顶级域名替换为。site、。website或。pw,从而创建主机,加载略读代码并接收被盗信用卡数据。
我们发现的所有域(c.f. IOCs)都托管在87.236.16[.]107上。
结论
Lil ' Skim是一个简单的网页浏览器,相当容易识别,与其他Magecart脚本不同。威胁行动者热衷于模仿互联网公司,但也模仿它追踪的受害者网站。
我们能够在同一ASN中追踪这个参与者,他们在至少一年的时间内注册了许多不同的域名。这里可能还需要揭示更多的基础设施,但这可能是一个耗时的过程。
我们已经通知了受到这场运动影响的商店。此外,Malwarebyte必威平台APPs客户已经通过我们的web保护模块不同的产品包括必威平台APP伪安全浏览器警卫.
妥协的指标
以下IOCs链接到urlscan。只要有可能,IO就会爬行。
标准漏杓域
googletagsmanager(。)的网站googie-analitycs(。)网上googie-analytics(。)googie-analytics(。)的网站cdnattn(。]网站facebookmanagers[。] pw googletagmanager。空间未来(。)的网站googleapis(。)的网站未来。主机tidio。有趣jquery(。]有趣cloudfiare[]网站
Skimmer域名冒充被攻击的网站
perfecttux(。)gorillawhips(。)bebedepotplus(。)postguard(。)的网站dirsalonfurniture(。)dogdug(。)的网站bebedepotplus(。]网站perfecttux[]的网站
除油船IPs
16 87[236年][][]10716 87[236年][][]10
已知的受害者网站
acquafiller。combebedepotplus。comcartpartsplus。comcosmoracing。comdirsalonfurniture。comdixongolf。comdogdug。comgorillawhips。comgpxmoto。cominstaslim。comperfecttux。compitboss-grills。comtotalskincare。com
评论