Операторы Magecart адаптировали популярный скиммер кредитных карт так, чтобы он ориентировался только на мобильных пользователей, поскольку потребители совершают больше покупок в Интернете со своих смартфонов, чем с компьютеров. Согласно новому отчету RiskIQ, Inter Skimmer Kit является одним из наиболее распространенных решений для цифрового скимминга в мире. Различные группировки киберпреступников с конца 2018 года используют набор Inter для кражи платежных данных, что затрагивает тысячи сайтов и потребителей по всему миру. В марте прошлого года в сети появилась новая отредактированная версия «Интера». Однако операторы Magecart модифицировали его, создав MobileInter, который ориентирован только на мобильных пользователей и нацелен как на их учетные данные для входа, так и на платежные данные. В то время как первая версия MobileInter загружала URL-адреса для кражи, скрытые в изображениях, из репозиториев GitHub, новая версия содержит URL-адреса для кражи в коде скиммера и использует WebSockets для кражи данных. MobileInter также злоупотребляет доменами Google и службами отслеживания, которые имитируют поискового гиганта, чтобы замаскировать себя и его инфраструктуру.
МобилИнтер
Поскольку MobileInter ориентирован только на мобильных пользователей, обновленный скиммер выполняет различные проверки, чтобы гарантировать, что он сканирует транзакцию, совершенную на мобильном устройстве. Скиммер сначала выполняет проверку регулярного выражения по местоположению окна, чтобы определить, находится ли оно на странице оформления заказа, но этот тип проверки также может выяснить, установлен ли userAgent пользователя в единицу. Мобильные браузеры. MobileInter также проверяет размеры окна браузера, чтобы определить, соответствует ли он размеру мобильного браузера. После этих проверок скиммер выполняет скимминг и эксфильтрацию данных, используя различные другие функции. Некоторым из этих функций присвоены имена, которые можно принять за законные службы, чтобы избежать обнаружения. Например, функция rumbleSpeed используется для определения частоты попыток кражи данных, хотя предполагается, что ее следует комбинировать с плагином jRumble для jQuery, который «перемешивает» элементы на веб-странице. Чтобы пользователь мог сосредоточиться на них. RiskIQ также обнаружил, что MobileInter маскирует свою деятельность другими способами. С тех пор, как компания начала отслеживать Magecart, она заметила, что злоумышленники маскируют свои домены под законные услуги. Хотя список доменов, связанных с MobileInter, у RiskIQ длинный, многие из них подражают Alibaba, Amazon и jQuery. Хотя скиммеры кредитных карт впервые появились в реальном мире на заправочных станциях и в других местах, где пользователи платили с помощью проводов, они быстро нашли свое применение в Интернете и теперь перешли на мобильные устройства.