Lil' Skim Skimmer

1年以上ほとんどレーダーの下にとどまることができたスキマーの脅威についての詳細は、新しいレポートで明らかにされました。 Lil'Skimという名前のスキマーの脅威は、典型的なMagecartスキマーの亜種のより単純で単純なバージョンのようです。アクティブな状態での検出を妨げ、侵害されたページで買い物をしているユーザーのクレジット/デビットカード情報を収集するために、Lil'Skimは正当なエンティティになりすますという戦術を倍増します。

脅威の運営者は、その名前が合法であるが侵害されたサイトの名前によく似た多数のスキマードメインを作成しました。サイバー犯罪者は、通常のトップレベルのドメイン名を「.site」、「。website」、または「.pw」のいずれかに置き換えただけです。次に、新しく作成されたホストがスキマーコードを開始し、ユーザーの盗まれた支払いデータにアクセスします。いくつかの例には、gorillawhips.comとgorillawhips.siteの模倣サイト、dogdug.comとそのコピーキャットdogdug.websiteが含まれます。 infosecの研究者によって発見されたすべてのドメインは、87.236.16 [。] 107でホストされていました。

他の脅威の中に隠れること

スキマーオペレーターがよく使用するもう1つの一般的な手法には、Google、jQueryなどの正規のブランドになりすますことが含まれます。 Lil'Skimも例外ではなく、そのドメインのいくつかはGoogleにちなんで名付けられています。別の例では、スキマーオペレーターは、tidio [。] funという名前を使用してtidio.comチャットアプリケーションになりすました。

Lil'Skimの背後にいるサイバー犯罪者は、フィッシングキット、Androidペイロード、Windowsマルウェアなど、他のマルウェアの脅威に関連する多数の破損したホストを含む自律システムにスキマードメインを配置していることにも注意してください。 Lil'Skim操作の一部で追加のドメインをホストしていることが判明したのは、87.236.16 [。] 10と前述の87.236.16 [。] 107の2つのIPアドレスだけです。