사이버 범죄 그룹은 금융 정보를 도용하는 새로운 방법을 찾기 위해 끊임없이 진화하고 있으며, 그들의 무기고에서 가장 최근의 트릭은 메시징 앱 Telegram을 활용하는 것입니다.
Magecart 그룹이 채택한 새로운 전술에서 암호화 된 메시징 서비스는 손상된 웹 사이트에서 도난당한 지불 정보를 공격자에게 다시 전송하는 데 사용됩니다.
Malwarebytes의 Jérôme Segura는 월요일 분석 에서 "위협 행위자에게이 데이터 유출 메커니즘은 효율적이며 방어자가 차단하거나 차단할 수있는 인프라를 유지할 필요가 없습니다."라고 말했습니다 . "그들은 새로운 희생자마다 실시간으로 알림을받을 수있어 지하 시장에서 도난당한 카드로 빠르게 수익을 창출 할 수 있습니다."
사이버 보안
TTP는 지난주 네덜란드 사이버 보안 회사 인 Sansec의 데이터를 사용하여 보안 연구원 @AffableKraut가 트위터 스레드 에서 처음 공개적으로 문서화했습니다 .신용 카드 정보를 훔치기 위해 알려진 취약성 또는 도난 된 자격 증명을 악용하여 쇼핑 웹 사이트에 전자 스키머를 주입하는 것은 온라인 쇼핑 카트 시스템을 표적으로 삼는 여러 해커 그룹의 컨소시엄 인 Magecart에서 검증 된 방식입니다.
폼 재킹 공격이라고도하는 이러한 가상 신용 카드 스키머는 일반적으로 운영자가 고객의 카드 세부 정보를 실시간으로 캡처하여 전송하려는 의도로 전자 상거래 웹 사이트 (종종 결제 페이지)에 은밀하게 삽입하는 JavaScript 코드입니다. 원격 공격자가 제어하는 서버.
하지만 지난 몇 달 동안 이미지 메타 데이터 내부에 카드 도용 코드를 숨기고 IDN 동음 이의어 공격을 수행하기 위한 노력 에 박차를가했습니다. 웹 사이트의 파비콘 파일에 숨겨진 웹 스키머를 심습니다.
magecart 해커
이번에 새로운 점은 데이터 (이름, 주소, 신용 카드 번호, 만료 및 CVV 등) 자체를 추출하는 방법입니다.이 방법은 암호화 된 봇 ID를 사용하여 개인 텔레 그램 채널로 전송 된 인스턴트 메시지를 통해 수행됩니다. 스키머 코드.
"사기 데이터 교환은 채팅 채널에 지불 세부 정보를 게시하는 Telegram의 API를 통해 수행됩니다."라고 Segura는 말했습니다. "이 데이터는 이전에 암호화되어 식별이 더 어려워졌습니다."
Telegram 사용의 장점은 위협 행위자가 더 이상 수집 된 정보를 전송하기 위해 별도의 명령 및 제어 인프라를 설정하는 데 신경 쓰지 않아도되며 이러한 도메인이 맬웨어 방지 서비스에 의해 차단되거나 차단 될 가능성에 직면 할 위험이 없다는 것입니다.
Segura는 "이 변종의 스키밍 공격에 대한 방어는 합법적 인 통신 서비스에 의존하기 때문에 조금 더 까다 롭습니다."라고 말했습니다. "분명히 네트워크 수준에서 Telegram에 대한 모든 연결을 차단할 수 있습니다.) 그래도 멀리 떨어져 있습니다. "