Operatorzy Magecart dostosowali popularny skimmer kart kredytowych tak, aby był skierowany wyłącznie do użytkowników mobilnych, ponieważ konsumenci częściej robią zakupy online za pomocą smartfonów niż komputerów. Według nowego raportu RiskIQ, zestaw Inter Skimmer jest jednym z najpopularniejszych rozwiązań do cyfrowego skimmingu na świecie. Od końca 2018 r. różne grupy cyberprzestępcze wykorzystują zestaw Inter do kradzieży danych dotyczących płatności, co dotyka tysiące witryn i konsumentów na całym świecie. W marcu ubiegłego roku w sieci pojawiła się nowa, redagowana wersja Interu. Jednakże operatorzy Magecart zmodyfikowali go dalej, tworząc MobileInter, który koncentruje się wyłącznie na użytkownikach mobilnych i jest ukierunkowany zarówno na ich dane logowania, jak i dane dotyczące płatności. Podczas gdy w pierwszej wersji MobileInter pobierał adresy URL eksfiltracji ukryte w obrazach z repozytoriów GitHub, nowa wersja zawiera adresy URL eksfiltracji w kodzie skimmera i wykorzystuje WebSockets do eksfiltracji danych. MobileInter nadużywa również domen Google i usług śledzących, które naśladują giganta wyszukiwania, aby ukryć siebie i swoją infrastrukturę.
MobileInter
Ponieważ MobileInter jest skierowany wyłącznie do użytkowników mobilnych, przeprojektowany skimmer przeprowadza różne kontrole, aby mieć pewność, że przeskanuje transakcję wykonaną na urządzeniu mobilnym. Skimmer najpierw sprawdza regex w lokalizacji okna, aby określić, czy znajduje się ono na stronie kasy, ale ten typ kontroli może również sprawdzić, czy userAgent użytkownika jest ustawiony na jeden. Przeglądarki mobilne. MobileInter sprawdza również wymiary okna przeglądarki, aby sprawdzić, czy jest to rozmiar powiązany z przeglądarką mobilną. Po tych kontrolach skimmer przeprowadza przeglądanie i eksfiltrację danych, korzystając z różnych innych funkcji. Niektórym z tych funkcji nadano nazwy, które można pomylić z legalnymi usługami, aby uniknąć wykrycia. Na przykład funkcja o nazwie „rumbleSpeed” służy do określania częstotliwości prób eksfiltracji danych, chociaż ma być połączona z wtyczką jRumble dla jQuery, która „trąca” elementy na stronie internetowej. Aby użytkownik mógł się na nich skupić. RiskIQ zidentyfikowało również MobileInter ukrywający swoją działalność w inny sposób. Odkąd firma zaczęła śledzić Magecart, zaobserwowała, że cyberprzestępcy udają swoje domeny jako legalne usługi. Chociaż lista domen powiązanych z MobileInter w RiskIQ jest długa, wiele z nich emuluje Alibaba, Amazon i jQuery. Chociaż skimmery kart kredytowych po raz pierwszy pojawiły się w prawdziwym świecie na stacjach benzynowych i innych miejscach, w których użytkownicy płacili, szybko trafili do Internetu i teraz przenieśli się na urządzenia mobilne.