Neue MageCart-Kampagne weicht Forscher-Sandboxen aus
Ein bösartiger Akteur, der die Kartenstehlende Skimmer-Malware MageCart betreibt, führt eine weitere laufende Kampagne durch. Die Kampagne ist besonders, da sie eine zusätzliche Komponente enthält, die es der Malware ermöglicht, den Brutstätten und Sandbox-Systemen von Forschern sicher auszuweichen und nur auf den Computern echter Opfer einzusetzen.
Die MageCart-Malware wurde mit einer zusätzlichen Komponente aktualisiert – einem Browserprozess. Das neue Verfahren prüft, ob auf dem Hostsystem keine virtuelle Maschine läuft – ein fast sicheres Zeichen dafür, dass die zugrunde liegende Hardware als Testumgebung zum Abfangen und Analysieren von Malware dient. Die Prüfungen werden mit der WebGL-API von JavaScript durchgeführt.
Der Grund für den Einsatz von WebGL ist, dass die Hacker den Browser Process Checker verwenden, um Informationen über die Grafikeinheit des Systems zu erhalten. Virtuelle Maschinen verwenden entweder einen Software-Renderer oder verraten einfach die Tatsache, dass die diskrete GPU in einer virtualisierten Umgebung verwendet wird – beide Optionen funktionieren, um das Hostsystem als sehr wahrscheinliche Forscher-Sandbox zu identifizieren.
Wenn die VM alle negativen Ergebnisse überprüft, fährt der MageCart-Skimmer damit fort, alle Arten von Browserfeldern in Bezug auf finanzielle oder persönlich identifizierbare Informationen abzukratzen, vom Namen des Eigentümers über die Telefonnummer bis hin zu Kreditkartendatenfolgen.
Die Forscher, die die neue Kampagne mit MageCart untersuchten, stellten fest, dass es eine relativ neue und ungewöhnliche Taktik ist, VM-Prüfungen über den Browser durchzuführen.
MageCart selbst ist der Name einer nebulösen Gruppe von Bedrohungsakteuren, die durch ihre Taktiken und verwendeten Werkzeuge zusammengeführt werden. MageCart-Akteure verwenden normalerweise Skripte, die Kreditkartendaten, die in die Checkout-Seiten von Online-Shops eingegeben werden, überspringen und diese Daten dann an die Betreiber der Malware weiterleiten.
Diese Methode ist für normale Benutzer besonders gefährlich, da es keine sichtbaren Schäden oder Fehlfunktionen an ihrem System gibt und sie weiterhin online einkaufen oder verschiedene Zahlungen mit verschiedenen Karten ausführen können, ohne zu bemerken, dass ihre Informationen kompromittiert und exfiltriert wurden.