Ny MageCart-kampanj undviker forskarsandlådor
En dålig skådespelare som använder MageCart-kortstjälande skadlig programvara genomför ytterligare en pågående kampanj. Kampanjen är speciell, eftersom den har en extra komponent som gör det möjligt för skadlig programvara att på ett säkert sätt undvika alla forskarhotbeds och sandlådesystem och bara distribueras på verkliga offers maskiner.
Skadlig programvara MageCart har uppdaterats med en extra komponent - en webbläsarprocess. Den nya processen kontrollerar om värdsystemet inte kör en virtuell maskin - ett nästan säkert tecken på att den underliggande hårdvaran används som en testbädd för att fånga och analysera skadlig programvara. Kontrollerna görs med JavaScripts WebGL API.
Anledningen till att WebGL används är att hackarna använder webbläsarens processkontroller för att få information om systemets grafikenhet. Virtuella maskiner kommer antingen att använda en mjukvarurenderare eller helt enkelt ge bort det faktum att den diskreta GPU:n används i en virtualiserad miljö – båda alternativen fungerar för att identifiera värdsystemet som en mycket trolig forskarsandlåda.
Om den virtuella datorn kontrollerar alla returnegativ fortsätter MageCart-skimmern sedan att skrapa alla slags webbläsarfält relaterade till finansiell eller personligt identifierbar information, från ägarens namn till telefonnummer och kreditkortssträngar med data.
Forskarna som undersökte den nya kampanjen med MageCart noterade att det är en relativt ny och ovanlig taktik att köra VM-kontroller genom webbläsaren.
MageCart i sig är namnet på en oklar grupp av hotaktörer, sammanförda av deras taktik och verktyg som används. MageCart-skådespelare skulle vanligtvis använda skript som hoppar över kreditkortsdata som skrivs in i onlinebutikens kassasidor, och sedan skickar dessa data till operatörerna av skadlig programvara.
Den här metoden är särskilt farlig för vanliga användare, eftersom det inte finns några synliga skador eller fel på deras system och de kan fortsätta handla online eller utföra olika betalningar med olika kort, utan att inse att deras information har äventyrats och exfiltrerats.
