Magecart-Betreiber haben einen beliebten Kreditkarten-Skimmer so optimiert, dass er nur mobile Benutzer anspricht, da Verbraucher ihre Online-Einkäufe häufiger über ihr Smartphone als über ihren Computer tätigen. Laut einem neuen Bericht von RiskIQ ist das Inter Skimmer Kit eine der weltweit am häufigsten verwendeten digitalen Skimming-Lösungen. Verschiedene Cyberkriminellegruppen nutzen das Inter Kit seit Ende 2018, um Zahlungsdaten zu stehlen, was Tausende von Websites und Verbrauchern auf der ganzen Welt betrifft. Im März letzten Jahres erschien eine neue bearbeitete Version von Inter online. Die Magecart-Betreiber haben es jedoch weiter modifiziert, um MobileInter zu erstellen, das sich nur auf mobile Benutzer konzentriert und sowohl auf deren Anmeldeinformationen als auch auf Zahlungsdetails abzielt. Während die erste Iteration von MobileInter die in Bildern versteckten Exfiltrations-URLs aus GitHub-Repositories heruntergeladen hat, enthält die neue Version die Exfiltrations-URLs im Skimmer-Code und verwendet WebSockets für die Datenexfiltration. MobileInter missbraucht auch die Domain- und Tracking-Dienste von Google, die den Suchriesen nachahmen, um sich und seine Infrastruktur zu verschleiern.
MobileInter
Da sich MobileInter nur an mobile Benutzer richtet, führt der neu gestaltete Skimmer verschiedene Prüfungen durch, um sicherzustellen, dass eine auf einem mobilen Gerät durchgeführte Transaktion gescannt wird. Der Skimmer führt zunächst eine Regex-Prüfung anhand der Fensterposition durch, um festzustellen, ob es sich auf einer Checkout-Seite befindet. Diese Art der Prüfung kann jedoch auch herausfinden, ob der userAgent eines Benutzers auf eins eingestellt ist. Mobile Browser. MobileInter überprüft auch die Abmessungen eines Browserfensters, um festzustellen, ob es sich um die Größe eines mobilen Browsers handelt. Nach diesen Prüfungen führt der Skimmer das Skimming und die Datenexfiltration mithilfe verschiedener anderer Funktionen durch. Einige dieser Funktionen erhalten Namen, die mit legitimen Diensten verwechselt werden könnten, um einer Entdeckung zu entgehen. Beispielsweise wird eine Funktion namens „rumbleSpeed“ verwendet, um zu bestimmen, wie oft eine Datenexfiltration versucht wird, obwohl sie mit dem jRumble-Plugin für jQuery kombiniert werden soll, das Elemente auf einer Webseite „rumblet“. Damit sich der Benutzer darauf konzentrieren kann. RiskIQ hat auch festgestellt, dass MobileInter seine Geschäftstätigkeit auf andere Weise verschleiert. Seit das Unternehmen mit der Verfolgung von Magecart begonnen hat, beobachtet es Bedrohungsakteure, die seine Domains als legitime Dienste tarnen. Während die Liste der MobileInter-bezogenen Domains von RiskIQ lang ist, emulieren viele davon Alibaba, Amazon und jQuery. Obwohl Kreditkarten-Skimmer erstmals in der realen Welt an Tankstellen und anderen Orten auftauchten, an denen Benutzer zum Bezahlen per Fingerwisch bezahlen mussten, fanden sie schnell ihren Weg online und sind nun mobil geworden.