Новая кампания MageCart Dodges Research Sandboxes
Злоумышленник, использующий вредоносную программу для кражи карт MageCart, проводит еще одну кампанию. Кампания особенная, так как в нее добавлен компонент, который позволяет вредоносному ПО безопасно обходить любые исследовательские центры и системы песочниц и развертывать его только на машинах реальных жертв.
Вредоносная программа MageCart была обновлена дополнительным компонентом - процессом браузера. Новый процесс проверяет, не запущена ли в хост-системе виртуальная машина - это почти верный признак того, что базовое оборудование используется в качестве испытательного стенда для обнаружения и анализа вредоносных программ. Проверки выполняются с помощью JavaScript API WebGL.
Причина, по которой используется WebGL, заключается в том, что хакеры используют средство проверки процесса браузера для получения информации о графическом блоке системы. Виртуальные машины будут либо использовать программный рендерер, либо просто выдать тот факт, что дискретный графический процессор используется в виртуализированной среде - оба варианта работают, чтобы идентифицировать хост-систему как весьма вероятную «песочницу» исследователя.
Если виртуальная машина проверяет все обратные негативы, скиммер MageCart затем приступает к очистке всех видов полей браузера, связанных с финансовой или личной информацией, от имени владельца до номера телефона и строк данных кредитной карты.
Исследователи, изучающие новую кампанию с использованием MageCart, отметили, что запуск проверки виртуальных машин через браузер - относительно новая и необычная тактика.
Сама MageCart - это название туманной группы злоумышленников, объединенных своей тактикой и используемыми инструментами. Актеры MageCart обычно используют сценарии, которые пропускают данные кредитной карты, вводимые на страницах оформления заказа в интернет-магазине, а затем передают эти данные операторам вредоносного ПО.
Этот метод особенно опасен для обычных пользователей, поскольку в их системе нет видимых повреждений или сбоев, и они могут продолжать делать покупки в Интернете или выполнять различные платежи с помощью разных карт, никогда не осознавая, что их информация была скомпрометирована или украдена.