Magecart Grupo 8 tem visado varejistas on-line desde 2016. Este grupo distinto de skimming veio à tona quando o RiskIQ, liderado pelo pesquisador Yonathan Klijnsma, analisou seu skimmer em 2017 e ataques expostos a Nutribullet em fevereiro de 2020 e MyPillow e Amerisleep em 2019.
O grupo não consertou o que não está quebrado e hoje ainda usa o mesmo skimmer e muitas das mesmas táticas e técnicas para roubar dados de pagamento. Ao selecionar seus alvos, o grupo parece continuar a favorecer a indústria de reforma residencial, especificamente hardware, serviços imobiliários e design de interiores e decoração.
Apoiado por nosso Gráfico de inteligência da Internet, nossos pesquisadores identificam padrões para descobrir novas infra-estruturas de ameaças e ataques em todo o cenário global de ameaças. Para Magecart Group 8, sua escolha de provedores de hospedagem trouxe uma nova luz sobre suas atividades de skimming. Os pesquisadores do RiskIQ identificaram um padrão no uso do grupo de provedores de hospedagem Flowspec, JSC TheFirst e OVH e sua propensão para fazer a transição da infraestrutura potencialmente inativa de provedores de hospedagem à prova de balas para legítimos, como Velia.net.
Centenas de domínios de skimming habilitados por hospedagem à prova de balas
Pesquisadores de todo o setor estão usando o Twitter para compartilhar e expor a infraestrutura recente do Grupo 8 para aumentar a conscientização sobre a ameaça. A investigação sobre a infraestrutura relatada revela o uso de serviços de hospedagem Flowspec, um provedor de hospedagem à prova de balas conhecido que pode fornecer proteção de infraestrutura e suporte para aqueles envolvidos em atividades maliciosas.
Tweets recentes de pesquisadores “desmascaram parasitas” e “p0x53” rastreando a atividade do Grupo 8.
Nossos pesquisadores descobriram um domínio do Grupo 8apresentado por nosso Internet Intelligence Graph, que nos ajuda a monitorar a atividade do Magecart em todo o mundo. Eles observaram pelo menos dois arquivos JavaScript skimmer associados direcionados aos varejistas. No momento desta publicação, o domínio estava hospedado em um IP Flowspec desde março de 2021.
Pesquisas adicionais sobre a hospedagem da atividade do skimmer do Grupo 8 forneceram a eles vários domínios de skimmer de IPs potencialmente maliciosos e um histórico de centenas de domínios de varejo comprometidos.
Vários domínios do skimmer do Grupo 8
Padrões de hospedagem: dois à prova de balas, um não
Nossa pesquisa mostra que os domínios do Grupo 8 eram hospedados principalmente em IPs Flowspec desde 2018 e tornaram-se impossíveis de serem roteados por um período – em alguns casos, superior a um ano – antes da transição para Velia.net, onde eles parecem inativos e estacionados, possivelmente por uso futuro. A hospedagem Velia.net não tem o histórico complicado de facilitar o comportamento malicioso tanto quanto os serviços de hospedagem à prova de balas JSC TheFirst e Flowspec.
Nossos pesquisadores descobriram que esse mesmo padrão de comportamento está ocorrendo com a infraestrutura anteriormente hospedada em OVH e JSC TheFirst – um período irreversível seguido de hospedagem potencialmente inativa no Velia.net, WorldStream e Amazon.
Os pesquisadores do RiskIQ também veem esse padrão emergir enquanto investigam os domínios históricos do Grupo 8 para a atividade de hospedagem Flowspec e JSC TheFirst. Em uma amostra da atividade de 2018, os pesquisadores detectaram que o skimmer do Grupo 8 estava ativo por vários meses emum domíniohospedado num endereço IP da OVH. Permaneceu irrotável depois de 25 de dezembro de 2018, até 2020, quando mudou para o Google, seguido pela hospedagem na Amazon.
Ainda outro exemplo desse padrão é um domínio do Grupo 8 hospedado no JSC TheFirst entre 1 de março de 2018 e 4 de setembro de 2019. Como com os outros, ele fez a transição para a hospedagem Velia.net, onde não foi visto hospedando um arquivo malicioso.
Você pode explorar a lista completa de IOCs que surgiram nesta investigação aqui.
Padrões contam uma história
Na RiskIQ, estamos constantemente expandindo nossa compreensão dos grupos Magecart e suas atividades, que continuam a proliferar e evoluir. Estamos rastreando a atividade do Magecart Grupo 8 desde 2017. Após alguns relatórios recentes de outros pesquisadores rastreando a expansão deste grupo, demos outra olhada com uma nova perspectiva para atualizar nosso perfil no Grupo 8 para permitir que nossos clientes detectem melhor sua atividade maliciosa .
Os padrões em infraestruturas maliciosas contam uma história e podem expor campanhas de ameaças clandestinas – e bem-sucedidas. A grande quantidade de infraestrutura usada pelo Magecart Group 8 indica que eles encontraram sucesso sustentado na busca por clientes de varejo on-line. No entanto, tendo uma visão do cenário de ameaças em toda a Internet, podemos começar a detectar padrões que desenterram a infraestrutura que ajuda o RiskIQ, nossos parceiros e clientes a mitigar seu impacto.
Você pode ler o artigo completo contendo a lista de IOCs no Portal RiskIQ Threat Intelligence aqui.
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
