Nowa kampania MageCart unika piaskownic badacza
Zły aktor obsługujący złośliwe oprogramowanie do kradzieży kart MageCart prowadzi kolejną trwającą kampanię. Kampania jest wyjątkowa, ponieważ zawiera dodatkowy komponent, który pozwala złośliwemu oprogramowaniu bezpiecznie omijać wszelkie systemy wylęgarni badaczy i systemy piaskownicy i wdrażać je tylko na komputerach prawdziwych ofiar.
Malware MageCart został zaktualizowany o dodatkowy komponent - proces przeglądarki. Nowy proces sprawdza, czy w systemie hosta nie działa maszyna wirtualna – prawie pewny znak, że sprzęt jest używany jako platforma testowa do wyłapywania i analizowania złośliwego oprogramowania. Sprawdzanie odbywa się za pomocą interfejsu API WebGL JavaScript.
Powodem, dla którego używany jest WebGL, jest to, że hakerzy używają narzędzia do sprawdzania procesów przeglądarki, aby uzyskać informacje o jednostce graficznej systemu. Maszyny wirtualne albo użyją renderera oprogramowania, albo po prostu zdradzą fakt, że oddzielny procesor graficzny jest używany w środowisku zwirtualizowanym – obie opcje działają w celu zidentyfikowania systemu hosta jako bardzo prawdopodobnej piaskownicy badawczej.
Jeśli maszyna wirtualna sprawdza wszystkie negatywy zwrotów, odpieniacz MageCart następnie przechodzi do skrobania wszystkich rodzajów pól przeglądarki związanych z informacjami finansowymi lub osobistymi, od nazwiska właściciela po numer telefonu i ciągi danych karty kredytowej.
Naukowcy badający nową kampanię za pomocą MageCart zauważyli, że uruchamianie sprawdzania maszyn wirtualnych za pośrednictwem przeglądarki jest stosunkowo nowatorską i niezwykłą taktyką.
Sam MageCart to nazwa mglistej grupy cyberprzestępców, których połączyła ich taktyka i używane narzędzia. Aktorzy MageCart zwykle używają skryptów, które pomijają dane karty kredytowej wprowadzone na stronach kas w sklepie internetowym, a następnie przekazują te dane operatorom szkodliwego oprogramowania.
Ta metoda jest szczególnie niebezpieczna dla zwykłych użytkowników, ponieważ nie ma widocznych uszkodzeń ani awarii w ich systemie i mogą oni nadal robić zakupy online lub wykonywać różne płatności różnymi kartami, nigdy nie zdając sobie sprawy, że ich informacje zostały naruszone i wykradzione.
