Ny MageCart-kampagne undviger forskersandkasser
En dårlig skuespiller, der betjener MageCart-kortstjælende skimmer-malware, gennemfører endnu en igangværende kampagne. Kampagnen er speciel, da den har en ekstra komponent, der gør det muligt for malwaren sikkert at undvige alle forsker-hotbeds og sandkassesystemer og kun installeres på rigtige ofres maskiner.
MageCart malware er blevet opdateret med en ekstra komponent - en browserproces. Den nye proces tjekker, om værtssystemet ikke kører en virtuel maskine - et næsten sikkert tegn på, at den underliggende hardware bruges som testbed til at fange og analysere malware. Kontrollerne udføres ved hjælp af JavaScripts WebGL API.
Grunden til, at WebGL bruges, er, at hackerne bruger browserprocescheckeren til at indhente information om systemets grafiske enhed. Virtuelle maskiner vil enten bruge en software-renderer eller blot give væk, at den diskrete GPU bliver brugt i et virtualiseret miljø - begge muligheder arbejder for at identificere værtssystemet som en meget sandsynlig forsker-sandbox.
Hvis VM kontrollerer alle returnegativer, fortsætter MageCart-skimmeren med at skrabe alle former for browserfelter relateret til finansielle eller personligt identificerbare oplysninger, fra ejerens navn til telefonnummer og kreditkortstrenge med data.
Forskerne, der undersøgte den nye kampagne ved hjælp af MageCart, bemærkede, at det er en relativt ny og usædvanlig taktik at køre VM-tjek gennem browseren.
MageCart i sig selv er navnet på en tåget gruppe trusselsaktører, samlet af deres taktik og brugte værktøjer. MageCart-skuespillere ville normalt bruge scripts, der springer kreditkortdata, der er indtastet på online-butikkens betalingssider, og derefter sender disse data til operatørerne af malwaren.
Denne metode er særligt farlig for almindelige brugere, da der ikke er nogen synlig skade eller funktionsfejl med deres system, og de kan blive ved med at handle online eller udføre forskellige betalinger med forskellige kort, uden at opdage, at deres oplysninger er blevet kompromitteret og eksfiltreret.