Nova campanha MageCart esquiva sandboxes de pesquisador
Um malvado operando o malware skimmer de roubo de cartões MageCart está conduzindo outra campanha em andamento. A campanha é especial, pois tem um componente adicionado que permite que o malware se esquive com segurança de qualquer sistema de focos de pesquisa e sandboxes de pesquisadores e só implante nas máquinas de vítimas reais.
O malware MageCart foi atualizado com um componente adicional - um processo de navegador. O novo processo verifica se o sistema host não está executando uma máquina virtual - um sinal quase certo de que o hardware subjacente é usado como um teste para detectar e analisar malware. As verificações são feitas usando a API WebGL do JavaScript.
A razão pela qual o WebGL é usado é que os hackers usam o verificador de processo do navegador para obter informações sobre a unidade gráfica do sistema. As máquinas virtuais usarão um renderizador de software ou simplesmente revelarão o fato de que a GPU discreta está sendo usada em um ambiente virtualizado - ambas as opções funcionam para identificar o sistema host como uma caixa de areia do pesquisador muito provável.
Se a VM verificar todos os negativos de retorno, o skimmer MageCart passa a raspar todos os campos do navegador relacionados a informações financeiras ou pessoalmente identificáveis, desde o nome do proprietário até o número de telefone e cadeias de dados de cartão de crédito.
Os pesquisadores examinando a nova campanha usando MageCart notaram que é uma tática relativamente nova e incomum executar verificações de VM através do navegador.
MageCart em si é o nome de um grupo nebuloso de atores de ameaças, reunidos por suas táticas e ferramentas utilizadas. Os atores do MageCart geralmente usam scripts que ignoram os dados do cartão de crédito inseridos nas páginas de checkout da loja online e, em seguida, canalizam esses dados para os operadores do malware.
Este método é particularmente perigoso para usuários regulares, pois não há nenhum dano visível ou mau funcionamento em seu sistema e eles podem continuar comprando online ou executando vários pagamentos com cartões diferentes, sem nunca perceber que suas informações foram comprometidas e exfiltradas.
