新的 MageCart 活动躲避研究员沙盒
操作 MageCart 卡片窃取撇渣器恶意软件的不良行为者正在开展另一项正在进行的活动。该活动很特别,因为它有一个附加组件,允许恶意软件安全地躲避任何研究人员的温床和沙箱系统,并且只部署在真正受害者的机器上。
MageCart 恶意软件已更新了一个附加组件 - 浏览器进程。新进程检查主机系统是否没有运行虚拟机——几乎可以肯定的迹象表明底层硬件被用作捕获和分析恶意软件的测试平台。这些检查是使用 JavaScript 的 WebGL API 完成的。
之所以使用WebGL,是因为黑客利用浏览器进程检查器来获取系统图形单元的信息。虚拟机要么使用软件渲染器,要么简单地放弃在虚拟化环境中使用独立 GPU 的事实——这两种选择都可以将主机系统识别为一个很可能的研究人员沙箱。
如果 VM 检查所有返回否定,MageCart 撇油器然后继续抓取与财务或个人身份信息相关的浏览器字段的所有方式,从所有者姓名到电话号码和信用卡数据字符串。
使用 MageCart 检查新活动的研究人员指出,通过浏览器运行 VM 检查是一种相对新颖且不寻常的策略。
MageCart 本身是一个由他们使用的策略和工具聚集在一起的模糊威胁参与者的名称。 MageCart 攻击者通常会使用脚本跳过输入在线商店结账页面的信用卡数据,然后将这些数据传递给恶意软件的运营商。
这种方法对普通用户来说尤其危险,因为他们的系统没有明显的损坏或故障,他们可以继续在线购物或使用不同的卡进行各种支付,而从未意识到他们的信息已被泄露和泄露。