新しいMageCartキャンペーンは研究者のサンドボックスをかわす
MageCartカードを盗むスキマーマルウェアを操作している悪意のある人物が、別の継続的なキャンペーンを実施しています。このキャンペーンは、マルウェアが研究者のホットベッドやサンドボックスシステムを安全に回避し、実際の被害者のマシンにのみ展開できるようにするコンポーネントが追加されているため、特別なものです。
MageCartマルウェアは、追加のコンポーネントであるブラウザプロセスで更新されました。新しいプロセスは、ホストシステムが仮想マシンを実行していないかどうかをチェックします。これは、基盤となるハードウェアがマルウェアをキャッチして分析するためのテストベッドとして使用されていることを示すほぼ確実な兆候です。チェックは、JavaScriptのWebGLAPIを使用して行われます。
WebGLが使用される理由は、ハッカーがブラウザプロセスチェッカーを使用してシステムのグラフィックユニットに関する情報を取得するためです。仮想マシンは、ソフトウェアレンダラーを使用するか、仮想化環境でディスクリートGPUが使用されているという事実を単に提供します。どちらのオプションも、ホストシステムを非常に可能性の高い研究者サンドボックスとして識別するために機能します。
VMがすべてのリターンネガをチェックすると、MageCartスキマーは、所有者の名前から電話番号、クレジットカードのデータ文字列まで、財務情報または個人を特定できる情報に関連するあらゆる種類のブラウザーフィールドをスクレイプします。
MageCartを使用して新しいキャンペーンを調査している研究者は、ブラウザを介してVMチェックを実行することは比較的斬新で珍しい戦術であると指摘しました。
MageCart自体は、使用されている戦術とツールによってまとめられた、漠然とした脅威アクターのグループの名前です。 MageCartアクターは通常、オンラインストアのチェックアウトページに入力されたクレジットカードデータをスキップするスクリプトを使用し、このデータをマルウェアのオペレーターに送ります。
この方法は、システムに目に見える損傷や誤動作がなく、オンラインで買い物をしたり、さまざまなカードでさまざまな支払いを実行したりすることができるため、通常のユーザーにとって特に危険です。