利用象形文字技术的一项新的信用卡窃取活动已与现有的Magecart威胁组织建立了联系。
象形文字攻击听起来可能很复杂,但是在实践中非常简单。域名中使用字符使网站地址看起来合法,实际上,威胁行为者是依靠访问者在访问时没有注意到微小的差异或错误。
例如,可以从不同的语言集中选择字符,也可以将其选择为看起来像另一个字母,将大写字母“ i”换成看起来像“ l”。
如果将受害者发送到欺诈域,以PayPal为例,则使用“合法”小写字母“ l”的“ paypal.com”与“ paypaI.com”相比可能并不明显。而是使用大写的“ i”。
此外,这可能会使对域的信任成为合法的,而实际上可能正在运行恶意代码,漏洞利用工具包或凭据收集器。
星期四,Malwarebytes研究人员JérômeSegura记录了最近的一次象形文字攻击浪潮,其中欺诈者正在使用大量域名将FACECONF略读工具包加载到一个Favicon文件中。
Malwarebytes YARA规则在上传到VirusTotal的文件上检测到Inter工具包。Inter是一个流行的框架,可以在线购买,网络犯罪分子使用它们来伪装成访客跟踪器,付款表格等,以收集提交到页面中的信息。
通常通过可疑的HTML或JavaScript检测到Inter。但是,在这种情况下,恶意软件被嵌入到.ico文件中,该文件是与网站相关的小型图像。
该网络安全公司发出了此警报并进行了进一步调查,发现该脚本已连接到数据泄露服务器cigarpaqe [。] com。
该团队注意到“ q”的使用,发现合法网站“ cigarpage [。] com”已受到破坏,并且引用.ico文件的代码意味着该恶意抄袭收藏夹图标是从同源字符域中加载的。
当访问者通过合法域的付款页面提交信息时,Inter会收集其数据并将其传输到攻击者的服务器,其他域也使用相同的象形文字技术进行了注册。
研究人员说:这可能也不是他们的第一个牛仔竞技表演,因为这与现有的Magecart团队有一定的联系。
Malwarebytes认为,由于第四个域zoplm [.com]已与威胁行为者绑定,并且最近在过去的入侵之后重新注册,因此Magecart Group 8是这些攻击的协调者。
该公司与受影响的雪茄域名的网站管理员联系,但恶意代码已被删除。
Segura指出,虽然象形文字攻击不仅可归因于一个威胁参与者或一组网络犯罪分子,但与基础架构重用相关联仍然值得探索。
研究人员说:我们从经验中知道的一件事是,以前使用的基础架构有可能再次出现,是来自相同威胁参与者还是来自不同威胁参与者。利用已知的域或IP听起来可能适得其反,但它也有其优势,尤其是当许多受感染且从未清除的站点仍在从中加载第三方脚本时。
点击阅读全文
