Grupa Magecart wykorzystuje ataki homoglifowe

Ataki homoglifowe polegają na nakłonieniu użytkowników do odwiedzenia złośliwych witryn.

Nowa kampania, która została połączona ze słynną grupą Magecart rozpoczęła wykorzystywanie zestawów Inter oraz ikon, aby ukryć swoje złośliwe działania. Kod używany przez Magecart służy do zbierania informacji o kartach kredytowych.

Dla niewtajemniczonych ataki homoglifowe mogą się wydawać niezwykle skomplikowane, ale tak naprawdę są banalnie proste do wykonania. Wystarczy użyć określonych znaków językowych nazwie domeny, aby adresy danych witryn wyglądały na prawdziwe, podczas gdy w rzeczywistości zostały podstawione przez atakujących.

Prosty przykład możemy zobaczyć, wykorzystując nazwę PayPaI.com. Bardzo mała ilość osób zauważyła zapewne, że podmieniliśmy małą literę l na dużą literę i. Atak homoglifowy ma działać w ten sposób, aby wzbudzić zaufanie do danej domeny, jako do legalnej, i podłączyć pod nią złośliwy kod lub zestaw exploitów.

W czwartek badacz Malwarebytes, Jérôme Segura, udokumentował niedawną falę ataków homoglifowych, w których oszuści używają wielu nazw domen do załadowania zestawu do skimmingu Inter w pliku favicon.Reguła Malwarebytes YARA wykryła zestaw Inter w pliku przesłanym do VirusTotal. Inter to dosyć popularna platforma, jeśli chodzi o przestępców lub pentesterów. Licencja kosztuje 1300 USD i jest wykorzystywana do zbierania informacji przesyłanych przez daną stronę, podszywając się pod elementy śledzące, czy formularze płatności.

Usługa Inter jest zwykle bardzo często wykrywana, ponieważ jej skrypty zawierają podejrzany kod HTML lub JavaScript, jednak tym przypadku tak się nie stało, ponieważ przestępcy ukryli złośliwy kod pliku .ico.

Firma zajmująca się bezpieczeństwem cybernetycznym uruchomiła ten alert i zbadała dalej, stwierdzając, że skrypt był połączony z serwerem eksfiltracji danych, cigarpaqe [.] Com.

Odnotowując użycie „q”, zespół odkrył, że legalna witryna internetowa „cigarpage [.] Com” została przejęta, a kod odwołujący się do pliku .ico oznaczał, że złośliwy favicon, który ma ją naśladować, został załadowany z domeny homoglifów.

Gdy odwiedzający przesyłali swoje dane za pośrednictwem strony płatności legalnej domeny, Inter zbierał ich dane i przesyłał je na serwer atakującego.

Inne domeny również zostały zarejestrowane przy użyciu tej samej techniki homoglyph, w tym fieldsupply.com:fleldsupply.com i wingsupply.com:winqsupply.com.

Malwarebytes uważa, że Magecart Group 8 jest prowodyrem tych ataków z powodu czwartej domeny, zoplm [.] Com, która została powiązana z podmiotami zagrażającymi i została niedawno ponownie zarejestrowana po usunięciu w przeszłości.

Firma skontaktowała się z webmasterem domeny cigarpage, której dotyczy problem, ale złośliwy kod został już usunięty.

Segura zauważył, że chociaż ataki homoglifowe nie są przypisywane tylko jednemu podmiotowi stanowiącemu zagrożenie lub grupie cyberprzestępców, nadal warto zbadać ich korelację z ponownym wykorzystaniem infrastruktury.

Źródła: