Nieuwe MageCart-campagne ontwijkt onderzoeker-sandboxen
Een slechte acteur die de MageCart-kaartstelende skimmer-malware bedient, voert nog een lopende campagne. De campagne is speciaal, omdat het een toegevoegde component heeft waarmee de malware veilig alle onderzoekshaarden en sandbox-systemen kan ontwijken en alleen kan worden ingezet op de machines van echte slachtoffers.
De MageCart-malware is bijgewerkt met een extra component: een browserproces. Het nieuwe proces controleert of het hostsysteem geen virtuele machine draait - een vrijwel zeker teken dat de onderliggende hardware wordt gebruikt als testbed voor het opvangen en analyseren van malware. De controles worden gedaan met behulp van de WebGL API van JavaScript.
De reden waarom WebGL wordt gebruikt, is dat de hackers de browserprocescontrole gebruiken om informatie over de grafische eenheid van het systeem te verkrijgen. Virtuele machines zullen ofwel een software-renderer gebruiken of simpelweg het feit verklappen dat de discrete GPU wordt gebruikt in een gevirtualiseerde omgeving - beide opties werken om het hostsysteem te identificeren als een zeer waarschijnlijke onderzoekssandbox.
Als de VM alle retournegatieven controleert, gaat de MageCart-skimmer verder met het schrapen van alle manieren van browservelden met betrekking tot financiële of persoonlijk identificeerbare informatie, van de naam van de eigenaar tot telefoonnummer en creditcardgegevensreeksen.
De onderzoekers die de nieuwe campagne met MageCart onderzochten, merkten op dat het een relatief nieuwe en ongebruikelijke tactiek is om VM-controles via de browser uit te voeren.
MageCart zelf is de naam van een vage groep bedreigingsactoren, samengebracht door hun tactieken en gebruikte tools. MageCart-acteurs gebruiken meestal scripts die creditcardgegevens overslaan die zijn ingevoerd in de afrekenpagina's van de online winkel, en deze gegevens vervolgens doorsluizen naar de exploitanten van de malware.
Deze methode is vooral gevaarlijk voor gewone gebruikers, omdat er geen zichtbare schade of storing is met hun systeem en ze online kunnen blijven winkelen of verschillende betalingen met verschillende kaarten kunnen uitvoeren, zonder te beseffen dat hun informatie is gecompromitteerd en geëxfiltreerd.