新的 MageCart 活動躲避研究員沙盒
一個操作 MageCart 卡片竊取撇渣器惡意軟件的壞人正在開展另一項正在進行的活動。該活動很特別,因為它有一個附加組件,允許惡意軟件安全地躲避任何研究人員的溫床和沙箱系統,並且只部署在真正受害者的機器上。
MageCart 惡意軟件已更新了一個附加組件 - 瀏覽器進程。新進程檢查主機系統是否沒有運行虛擬機——幾乎可以肯定的跡象表明底層硬件被用作捕獲和分析惡意軟件的測試平台。這些檢查是使用 JavaScript 的 WebGL API 完成的。
之所以使用WebGL,是因為黑客利用瀏覽器進程檢查器來獲取系統圖形單元的信息。虛擬機要么使用軟件渲染器,要么簡單地放棄在虛擬化環境中使用獨立 GPU 的事實——這兩種選擇都可以將主機系統識別為一個很可能的研究人員沙箱。
如果 VM 檢查所有返回否定,MageCart 撇油器然後繼續抓取與財務或個人身份信息相關的瀏覽器字段的所有方式,從所有者姓名到電話號碼和信用卡數據字符串。
使用 MageCart 檢查新活動的研究人員指出,通過瀏覽器運行 VM 檢查是一種相對新穎且不尋常的策略。
MageCart 本身是一個模糊的威脅行為者團體的名稱,由他們使用的策略和工具聚集在一起。 MageCart 攻擊者通常會使用腳本跳過輸入在線商店結賬頁面的信用卡數據,然後將這些數據傳遞給惡意軟件的運營商。
這種方法對普通用戶來說尤其危險,因為他們的系統沒有明顯的損壞或故障,他們可以繼續在線購物或使用不同的卡進行各種支付,而從未意識到他們的信息已被洩露和洩露。