Νέα καμπάνια MageCart Dodges Researcher Sandboxes
Ένας κακός ηθοποιός που χειρίζεται το κακόβουλο λογισμικό skimmer που κλέβει κάρτες MageCart διεξάγει άλλη μια συνεχιζόμενη καμπάνια. Η καμπάνια είναι ιδιαίτερη, καθώς έχει ένα πρόσθετο στοιχείο που επιτρέπει στο κακόβουλο λογισμικό να αποφεύγει με ασφάλεια τυχόν συστήματα εστίασης ερευνητών και sandboxes και να αναπτύσσεται μόνο σε μηχανήματα πραγματικών θυμάτων.
Το κακόβουλο λογισμικό MageCart έχει ενημερωθεί με ένα πρόσθετο στοιχείο - μια διαδικασία προγράμματος περιήγησης. Η νέα διαδικασία ελέγχει εάν το κεντρικό σύστημα δεν εκτελεί μια εικονική μηχανή - ένα σχεδόν βέβαιο σημάδι ότι το υποκείμενο υλικό χρησιμοποιείται ως δοκιμαστική βάση για την σύλληψη και την ανάλυση κακόβουλου λογισμικού. Οι έλεγχοι γίνονται χρησιμοποιώντας το WebGL API της JavaScript.
Ο λόγος για τον οποίο χρησιμοποιείται το WebGL είναι ότι οι χάκερ χρησιμοποιούν τον έλεγχο διαδικασίας του προγράμματος περιήγησης για να λάβουν πληροφορίες σχετικά με τη μονάδα γραφικών του συστήματος. Οι εικονικές μηχανές είτε θα χρησιμοποιήσουν ένα πρόγραμμα απόδοσης λογισμικού είτε απλώς θα παραδώσουν το γεγονός ότι η διακριτή GPU χρησιμοποιείται σε ένα εικονικοποιημένο περιβάλλον - και οι δύο επιλογές λειτουργούν για να προσδιορίσουν το κεντρικό σύστημα ως ένα πολύ πιθανό sandbox ερευνητή.
Εάν το VM ελέγχει όλα τα αρνητικά επιστροφής, το MageCart skimmer προχωρά στη συνέχεια στο ξύσιμο όλων των ειδών πεδίων του προγράμματος περιήγησης που σχετίζονται με οικονομικές ή προσωπικά αναγνωρίσιμες πληροφορίες, από το όνομα του ιδιοκτήτη έως τον αριθμό τηλεφώνου και τις συμβολοσειρές δεδομένων πιστωτικής κάρτας.
Οι ερευνητές που εξέτασαν τη νέα καμπάνια χρησιμοποιώντας το MageCart σημείωσαν ότι είναι μια σχετικά νέα και ασυνήθιστη τακτική να εκτελούνται έλεγχοι VM μέσω του προγράμματος περιήγησης.
Το ίδιο το MageCart είναι το όνομα μιας νεφελώδους ομάδας παραγόντων απειλών, που συγκεντρώθηκαν από τις τακτικές και τα εργαλεία που χρησιμοποιούνται. Οι ηθοποιοί του MageCart θα χρησιμοποιούσαν συνήθως σενάρια που παρακάμπτουν τα δεδομένα πιστωτικών καρτών που έχουν εισαχθεί στις σελίδες ολοκλήρωσης αγοράς στο ηλεκτρονικό κατάστημα και στη συνέχεια διοχετεύουν αυτά τα δεδομένα στους χειριστές του κακόβουλου λογισμικού.
Αυτή η μέθοδος είναι ιδιαίτερα επικίνδυνη για τους τακτικούς χρήστες, καθώς δεν υπάρχει ορατή ζημιά ή δυσλειτουργία στο σύστημά τους και μπορούν να συνεχίσουν να ψωνίζουν στο διαδίκτυο ή να πραγματοποιούν διάφορες πληρωμές με διαφορετικές κάρτες, χωρίς να συνειδητοποιούν ότι οι πληροφορίες τους έχουν παραβιαστεί και διεισδύσει.
