Araştırmacıların yakın zamanda yeni bir Magecart skimmer yinelemesiyle ilişkili altyapıyı analiz ederken keşfettikleri gibi, bir tür suç faaliyetinde bulunan siber suçlular bazen çok çeşitli başka hain kampanyalara da el atabilirler.
Magecart, ödeme kartı bilgilerini çalmak için e-ticaret sitelerine kart temizleyicileri yerleştirme konusunda uzmanlaşmış, kötü şöhretli ve sürekli gelişen birden çok grubun sendikasıdır. Yıllar boyunca, sendikaya bağlı gruplar, TicketMaster ve British Airways gibi büyük şirketlere ait olanlar da dahil olmak üzere web sitelerinden çok sayıda – bazen çok büyük – kart bilgisi soygunları gerçekleştirdi.
Malwarebytes’ten araştırmacılar yakın zamanda bir tehdit aktörünün birden çok e-ticaret sitesinde – mr.SNIFFA adlı bir çerçeveye dayalı – bir ödeme kartı korsanı kullandığını gözlemledi. mr.SNIFFA, tehdit aktörlerinin e-ticaret web sitelerinde satın alma işlemleri için ödeme yapan kullanıcılardan kredi ve banka kartı bilgilerini çalmak için dinamik olarak dağıtabilecekleri Magecart komut dosyaları oluşturan bir hizmettir. Kötü amaçlı yazılımın, ödeme kartı çalma kodunu şüphelenmeyen hedef web sitelerine yüklemek için steganografi gibi çeşitli şaşırtma yöntemleri ve taktikleri kullanması ile tanınır.
Geniş Suç Cenneti
Kampanyada kullanılan altyapıyla ilgili araştırmaları, aynı aktörle bağlantılı görünen, kripto para birimi dolandırıcılığı, kötü amaçlı hizmetlerin satıldığı forumlar ve çalınan kredi kartı numaraları dahil olmak üzere, diğer kötü amaçlı faaliyetlerden oluşan geniş bir ağın keşfedilmesine yol açtı.
Malwarebytes’in tehdit istihbaratı direktörü Jerome Segura bir blog yazısında “Bir suç teşkilatının bittiği yerde bir diğeri başlar – ancak çoğu zaman bunlar bağlantılıdır” dedi. şirketin araştırmasını özetlemek. “Kod parçacıklarının ötesine bakmak ve daha büyük resmi görmek, potansiyel eğilimleri görmenin yanı sıra daha geniş ekosistemi daha iyi anlamaya yardımcı olur.”
Malwarebytes’in gözlemlediği Magecart kampanyasında, tehdit aktörü, saldırı zincirinin farklı bileşenlerini konuşlandırmak için üç farklı etki alanı kullandı. Alan adlarının her birinin kriptodan ilham alan adları vardı. Örneğin, bulaşma zincirinin ilk yönlendirme bileşenini enjekte eden alan adı “saylor2xbtc[.]com”, görünüşe göre ünlü Bitcoin savunucusu Michael Saylor’a selam veriyor. Diğer ünlülere de atıfta bulunuldu: “elon2xmusk” adlı bir alan adı[.]com”, skimmer için yükleyiciyi barındırırken, “2xdepp[.]com”, gerçek kodlanmış deniz süpürücünün kendisini içeriyordu.
Malwarebytes, Rusya merkezli kurşun geçirmez bir barındırma şirketi olan DDoS-Guard’a ait altyapıda barındırılan üç alan adını buldu. gölgeli web siteleri ve operasyonları barındırma itibarı. Güvenlik satıcısının araştırması, üç etki alanının her birinin çok çeşitli diğer kötü amaçlı etkinliklerle ilişkili olduğunu gösterdi.
Örneğin kepçe yükleyiciyi barındıran IP adresi, ev dekorasyonu ve dekorasyon şirketi Houzz’un web sitesinin sahte bir versiyonunu da barındırıyordu. Benzer şekilde, 2xdepp için IP adresi[.]com – skimmer’ı barındıran site – RDP, Cpanel ve Shells gibi araçlar satan bir web sitesine ve kripto para birimlerini karıştırmak için bir hizmet sunan başka bir web sitesine ev sahipliği yaptı – bu, siber suçluların genellikle yasadışı yollarla kazanılan paranın izini sürmeyi zorlaştırmak için kullandıkları bir şey.
Malwarebytes’teki araştırmacılar blackbiz’i daha da keşfetti[.]top, siber suçluların aynı alt ağda barındırılan çeşitli kötü amaçlı yazılım hizmetlerinin reklamını yapmak için kullandıkları bir forum.
Kripto İle İlgili Dolandırıcılıklar
Malwarebytes, DDoS Guard’da barındırılan ve alan adlarında Magecart kampanyasıyla ilişkili üç siteyle aynı “2x” değerine sahip olabilecek başka web siteleri olup olmadığını görmeye karar verdi. Tatbikat, yasa dışı kripto para birimi ile ilgili faaliyetlerde bulunan çok sayıda sahte web sitesini ortaya çıkardı.
Segura, “Bu sahte siteler Tesla, Elon Musk, MicroStrategy veya Michael J. Saylor’ın resmi etkinlikleri olduğunu iddia ediyor ve insanları binlerce BTC kazanma gibi boş umutlarla kandırıyorlar” dedi. “Eylül 2022’ye göre, bu kripto eşantiyon dolandırıcılıkları 2022’nin ilk yarısında beş kat arttı. raporlamak Group-IB tarafından” diye ekledi.
Malwarebytes, DDoS Guard’da Magecart operatörüyle bağlantılı görünen birden fazla başka site de keşfetti. Bunların arasında TeamViewer, AnyDesk, MSI, çalınan kredi kartı verilerini satan gazeteci Brian Krebs’in adını taşıyan bir Web portalı ve çeşitli kimlik avı kitleri satan bir site vardı.
Malwarebytes’in araştırması, bazı siber suç gruplarının hâlâ genişleyen doğasını vurguluyor, diğerleri ise ortak kötü niyetli kampanyalarda başkalarıyla işbirliği yapmak amacıyla belirli siber suç faaliyetlerinde uzmanlaşmaya başladı.
Geçtiğimiz birkaç yılda Evil Corp, Kuzey Kore’nin Lazarus Group, DarkSide ve diğerleri gibi tehdit aktörleri, operasyonlarında hem büyük hem de çeşitli oldukları için itibar kazandılar. Ancak daha yakın zamanlarda, diğerleri kendi özel becerilerine daha dar bir şekilde odaklanmaya başladılar.
Güvenlik satıcısı Trend Micro’nun geçen yıl yürüttüğü araştırma, Farklı becerilere sahip siber suçlular giderek daha fazla bir araya geliyor hizmet olarak siber suç sunmak. Şirket, bu suç teşkilatlarının hizmet olarak erişim, hizmet olarak fidye yazılımı, kurşun geçirmez barındırma veya yeni saldırı yöntemleri ve taktikleri bulmaya odaklanan kitle kaynaklı ekipler sunan gruplardan oluştuğunu keşfetti.
“Bir olay-tepki zihniyetinden, bu şu anlama gelir: [defenders] Trend Micro, genel saldırının belirli yönlerini tamamlayarak saldırıları tespit etmeyi ve durdurmayı zorlaştıran bu farklı grupları tanımlamamız gerekecek.”
