Предположительно, Magecart занимается скиммингом не только на стороне клиента, но также на стороне сервера.
Команда исследователей безопасности из компаний Malwarebytes и HYAS обнаружила связь между киберпреступными группировками Magecart Group 4 и Cobalt (также известной как Carbanak, Fin7 и Anunak). Согласно результатам анализа, Group 4 проводит скимминг не только на стороне клиента, но, вероятно, продолжает делать то же самое на сервере.
Magecart — термин, объединяющий больше десятка киберпреступных группировок, специализирующихся на внедрении скриптов для хищения данных банковских карт в платежных формах на сайтах. Они ответственны за атаки на такие компании, как Amerisleep , MyPillow , Ticketmaster , British Airways , OXO и Newegg .
Group 4 является одной из наиболее «продвинутых» группировок. Ее участники используют сложные методы для маскировки в трафике, например, с помощью регистрации доменных имен, связанных с аналитическими компаниями или рекламодателями. Группа имеет опыт работы с банковскими вредоносными программами, так же как и группировка Cobalt.
Исследователи отслеживали различные группы Magecart, искали элементы их инфраструктуры, а также связи между доменами и IP-адресами. На основе индикаторов компрометации, зарегистрированных доменов, использованных тактик, методов и процедур исследователи пришли к выводу, что Cobalt, возможно, перешла на web-скимминг.
Домены, с которых загружались скимеры, были зарегистрированы на почтовый адрес в сервисе ProtonMail, который исследователи из RiskIQ ранее связали с Magecart. Проанализировав данные, специалисты связали данный адрес с другими регистрационными письмами и обнаружили общий характер, в частности, при создании почтовых ящиков использовался шаблон [имя], [инициалы], [фамилия], который Cobalt недавно использовала для учетных записей в ProtonMail.
При анализе инфраструктуры Group 4, исследователи обнаружили PHP-скрипт, который был ошибочно принят за JavaScript-код. Подобный тип исходного кода можно увидеть лишь при наличии доступа к серверу, скрипт взаимодействует исключительно с серверной частью.
«Он невидим для любого сканера, потому что все происходит на самом взломанном сервере. Скимеры Magecart обычно обнаруживались на стороне браузера, однако на стороне сервера их гораздо сложнее обнаружить», — отмечает исследователь Джером Сегура (Jerom Segura).
Дальнейшее исследование показало, что независимо от используемого сервиса электронной почты, в 10 отдельных учетных записях повторно использовались только два разных IP-адреса, даже спустя несколько недель и месяцев между регистрациями.
Одним из таких почтовых ящиков является petersmelanie@protonmail, который использовался для регистрации 23 доменов, включая my1xbet [.]top. Данный домен использовался в фишинговой кампании для эксплуатации уязвимости CVE-2017-0199 в Microsoft Office. Та же почтовая учетная запись использовалась для регистрации домена oracle-business[.]com и атак на Oracle, которые связали с группировкой Cobalt.
