Az új MageCart kampány kikerüli a kutatói homokozókat
Egy rossz színész, aki a MageCart kártyalopó skimmer rosszindulatú programját üzemelteti, újabb kampányt folytat. A kampány különleges, hiszen van benne egy olyan komponens is, amellyel a kártevő biztonságosan kikerülhet minden kutatói melegágyat és homokozórendszert, és csak a valódi áldozatok gépein telepítheti be.
A MageCart malware egy további komponenssel – egy böngészőfolyamattal – frissült. Az új folyamat ellenőrzi, hogy a gazdagépen nem fut-e virtuális gép – ez szinte biztos jele annak, hogy az alapul szolgáló hardvert tesztágyként használják a rosszindulatú programok elkapására és elemzésére. Az ellenőrzések a JavaScript WebGL API használatával történnek.
A WebGL használatának oka az, hogy a hackerek a böngészőfolyamat-ellenőrző segítségével szereznek információkat a rendszer grafikus egységéről. A virtuális gépek vagy szoftveres megjelenítőt használnak, vagy egyszerűen elárulják, hogy a különálló GPU-t virtualizált környezetben használják – mindkét lehetőség arra törekszik, hogy a gazdagép rendszert nagyon valószínű kutatói homokozóként azonosítsa.
Ha a virtuális gép ellenőrzi az összes visszaküldési negatív értéket, a MageCart skimmer ezután mindenféle pénzügyi vagy személyazonosításra alkalmas információhoz kapcsolódó böngészőmezőt kikapar, a tulajdonos nevétől a telefonszámig és a hitelkártya-adatsorokig.
A MageCart segítségével az új kampányt vizsgáló kutatók megállapították, hogy viszonylag újszerű és szokatlan taktika a virtuális gépek ellenőrzése a böngészőn keresztül.
Maga a MageCart a fenyegetés szereplőinek ködös csoportjának a neve, amelyet taktikáik és használt eszközeik hoztak össze. A MageCart szereplői általában olyan szkripteket használnak, amelyek kihagyják az online áruház fizetési oldalaira bevitt hitelkártyaadatokat, majd továbbítják ezeket az adatokat a kártevő üzemeltetőihez.
Ez a módszer különösen veszélyes a rendszeres felhasználókra, mivel rendszerükben nincs látható sérülés vagy meghibásodás, és továbbra is folytathatnak online vásárlást vagy különféle fizetéseket különböző kártyákkal, anélkül, hogy észrevennék, hogy adataikat kompromittálták és kiszivárogtatták.
