Nauja MageCart kampanija vengia tyrinėtojų smėlio dėžių
Blogas veikėjas, valdantis „MageCart“ kortelę vagiančią skimmerį, vykdo kitą kampaniją. Kampanija yra ypatinga, nes joje yra papildomas komponentas, leidžiantis kenkėjiškajai programai saugiai išvengti bet kokių tyrinėtojų židinių ir smėlio dėžių sistemų ir įdiegti tik tikrų aukų įrenginiuose.
MageCart kenkėjiška programa buvo atnaujinta papildomu komponentu – naršyklės procesu. Naujasis procesas tikrina, ar pagrindinėje sistemoje neveikia virtuali mašina – tai beveik tikras ženklas, kad pagrindinė aparatinė įranga naudojama kaip kenkėjiškų programų bandymo vieta. Patikrinimai atliekami naudojant JavaScript WebGL API.
Priežastis, kodėl naudojama WebGL, yra ta, kad įsilaužėliai naudoja naršyklės procesų tikrintuvą, norėdami gauti informacijos apie sistemos grafinį bloką. Virtualios mašinos arba naudos programinės įrangos atvaizdavimo priemonę, arba tiesiog išduos faktą, kad atskiras GPU naudojamas virtualizuotoje aplinkoje – abi parinktys padeda identifikuoti pagrindinę sistemą kaip labai tikėtiną tyrėjo smėlio dėžę.
Jei VM patikrina visus grąžinamus neigiamus duomenis, „MageCart“ skimeris pradeda nubraukti visus naršyklės laukus, susijusius su finansine ar asmenį identifikuojančia informacija, nuo savininko vardo iki telefono numerio ir kredito kortelės duomenų eilučių.
Tyrėjai, nagrinėjantys naują kampaniją naudodami „MageCart“, pažymėjo, kad tai palyginti nauja ir neįprasta taktika vykdyti VM patikras per naršyklę.
Pats „MageCart“ yra miglotos grėsmės veikėjų grupės, suburtos dėl taktikos ir naudojamų įrankių, pavadinimas. „MageCart“ aktoriai paprastai naudotų scenarijus, kurie praleidžia kredito kortelių duomenis, įvestus į internetinės parduotuvės atsiskaitymo puslapius, tada perduoda šiuos duomenis kenkėjiškų programų operatoriams.
Šis metodas ypač pavojingas paprastiems vartotojams, nes nėra matomų jų sistemos pažeidimų ar gedimų ir jie gali toliau apsipirkti internetu ar atlikti įvairius mokėjimus skirtingomis kortelėmis, nesuvokdami, kad jų informacija buvo pažeista ir išfiltruota.