Специалисты обнаружили сходство между различными скиммерами, использующими одну и ту же инфраструктуру.
https://www.securitylab.ru/upload/ib...7fce0066d9.jpg
Исследователи кибербезопасности из RiskIQ https://community.riskiq.com/article/8c4b4a7aо новом варианте скиммера Grelos. Экспертам удалось узнать, как одна и та же инфраструктура может использоваться различными группировками Magecart или быть задействована в фишинговых кампаниях или кампаниях по распространению вредоносного ПО, в связи с чем ИБ-экспертам становится сложнее отслеживать отдельные группировки.
Скиммер Grelos был обнаружен в 2015 году и ранее был связан с группировками Magecart 1 и 2, однако скиммер также был зафиксирован в ходе атак других злоумышленников. Новый вариант Grelos представляет собой скиммер на основе протокола WebSocket, который использует обфускацию в кодировке base64 для сокрытия действий. Как полагают эксперты, скиммер не имеет прямого отношения к версиям 2015 и 2016 годов, но использует некоторые фрагменты кода и закодирован с помощью base64.
Новый вариант скиммера был обнаружен при исследовании доменов, связанных с атакой Magecart на оператора мобильной связи Boom! Mobile. Группировка Full(z) House загрузила вредоносный JavaScript-код в сеть провайдера мобильной сети для хищения данных о клиентах. Домены, использованные в ходе кибератаки, привели команду к cookie-файлам и связанным со скиммером web-сайтам. Однако, к своему удивлению эксперты обнаружили совсем не скиммер Full(z) House, а новую версию Grelos.
Данный вариант имеет аналогичный этап загрузчика в кодировке base64, но содержит только один уровень кодирования, аналогичные теги сценария, орфографические ошибки и включает словарь под названием translate с фразами, используемыми поддельными платежными формами, созданными вредоносным ПО. Для кражи данных скиммер использовал протокол WebSockets.