La nuova campagna MageCart schiva le sandbox dei ricercatori
Un cattivo attore che gestisce il malware skimmer per il furto di carte MageCart sta conducendo un'altra campagna in corso. La campagna è speciale, in quanto ha un componente aggiuntivo che consente al malware di schivare in sicurezza i focolai di ricerca e i sistemi sandbox e di distribuirsi solo sulle macchine delle vittime reali.
Il malware MageCart è stato aggiornato con un componente aggiuntivo: un processo del browser. Il nuovo processo verifica se il sistema host non esegue una macchina virtuale, segno quasi certo che l'hardware sottostante viene utilizzato come banco di prova per rilevare e analizzare il malware. I controlli vengono eseguiti utilizzando l'API WebGL di JavaScript.
Il motivo per cui viene utilizzato WebGL è che gli hacker utilizzano il controllo di processo del browser per ottenere informazioni sull'unità grafica del sistema. Le macchine virtuali utilizzeranno un renderer software o semplicemente tradiranno il fatto che la GPU discreta viene utilizzata in un ambiente virtualizzato: entrambe le opzioni funzionano per identificare il sistema host come una sandbox molto probabile per i ricercatori.
Se la VM controlla tutti i negativi di ritorno, lo skimmer MageCart procede quindi a raschiare tutti i tipi di campi del browser relativi a informazioni finanziarie o personali, dal nome del proprietario al numero di telefono e alle stringhe di dati della carta di credito.
I ricercatori che hanno esaminato la nuova campagna utilizzando MageCart hanno notato che è una tattica relativamente nuova e insolita eseguire i controlli delle VM attraverso il browser.
MageCart stesso è il nome di un nebuloso gruppo di attori di minacce, riuniti dalle loro tattiche e strumenti utilizzati. Gli attori di MageCart di solito usano script che saltano i dati della carta di credito inseriti nelle pagine di pagamento del negozio online, quindi incanalano questi dati agli operatori del malware.
Questo metodo è particolarmente pericoloso per gli utenti regolari, in quanto non ci sono danni visibili o malfunzionamenti con il loro sistema e possono continuare a fare acquisti online o eseguire vari pagamenti con carte diverse, senza mai rendersi conto che le loro informazioni sono state compromesse ed esfiltrate.