黑客使用E-Skimmer通过电报抵消支付数据

研究人员观察了Magecart集团采用的新策略,黑客使用电报从受损网站中剥夺了被盗的付款详细信息。

Malwarebytes的研究人员报告说,Magecart组正在使用加密的消息传递服务电报从受到妥协的网站中删除被盗的付款详细信息。

攻击者加密支付数据,以便在通过电报API转移到聊天通道之前更困难。

“对于威胁演员,这种数据exfiltration机制是有效的,并不效益’T要求他们保持可以被捍卫者扣除或阻止的基础设施,” 解释 JérômeMalwarebytes的Segura。“他们甚至可以为每个新受害者实时收到通知,帮助他们在地下市场中迅速将被盗卡片货币化。”

新技术首次由安全研究员公开记录 @affablekraut. 谁用电报发现了信用卡撇渣器,以扼杀数据。专家使用安全公司SANSEC共享的数据。

威胁演员通过利用已知的漏洞或使用盗窃凭据来部署购物网站上的电子撇网客。

软件撇渣器查找兴趣领域,例如结算,付款,信用卡号,到期和CVV。 Skimmer还检查通常的网络调试器,以防止安全研究人员分析。

防扰检查

电报的使用代表了Malwarebytes分析的Magecart攻击的新颖性。

“欺诈性数据交换是通过电报进行的’S API,将付款详细信息发布到聊天频道中,” continues Segura. “该数据预先加密以使身份更加困难。”

攻击者使用电报来避免设置专用的C2基础设施,从受感染的网站收集授权的付款细节,选择使得在受损组织内的恶意流量的检测变得更加困难。

另一个优势在于可能在每个新受害者那里实时接收通知,这种方式可以在网络犯罪生态系统中迅速将威胁演员迅速将被盗的卡片货币化。

“对于威胁演员,这种数据exfiltration机制是有效的,并且不需要它们来保持可以被防御者堵塞或阻止的基础设施。” concluded the post.

“由于它依赖于合法的通信服务,防止这种掠夺攻击的变种措施更加棘手。人们可以显然阻止到网络级别的电报的所有连接,但攻击者可以轻松切换到另一个提供商或平台(正如他们所做的那样 )仍然逃脱它。”

皮奈里格帕加尼尼

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请