モバイルインター

MobileInter は、Magecart の脅威アクターの間で非常に人気のある機能である Inter スキマー コードの新しい化身です。 MobileInter の作成者は、Inter を基礎として使用しましたが、特定の設定されたターゲットによりよく適合するように、その機能をさらに変更および拡張しました。実際、MobileInter はモバイル ユーザーに対してのみ利用されています。モバイル デバイスで発生する膨大な量のオンライン支出を考えると、Magecart ギャングがそれを悪用するために作戦を調整しているのも不思議ではありません。

モバイルインターの特徴

MobileInter の主な側面は、モバイル ユーザーに焦点を当てており、ログイン資格情報と支払いデータを収集する機能です。 RiskIQ の研究者が脅威を追跡している間、彼らは、データの引き出しと検出に使用される技術の明確な進化を観察しました。

MobileInter の最初の亜種は、流出 URL を運ぶ画像を GitHub から取得しました。その後のイテレーションでは、GitHub リポジトリが廃止され、スキマー コード内に流出 URL が含まれるようになりました。さらに、最新の MobileInter バージョンは、データのアップロードに WebSocket を使用します。

MobileInter の背後にいる脅威アクターは、モバイル ユーザーのみを標的にすることに関心があるため、支払いトランザクションが適切なデバイスで行われたかどうかを判断するために設計された複数のテストをマルウェア ツールに備えています。まず、この脅威はウィンドウの位置に対して正規表現チェックを実行して、チェックアウト ページが現在開いているかどうかを識別します。次に、同じ正規表現チェックにより、userAgent が複数のモバイル ブラウザーのいずれかに設定されているかどうかも確認されます。 MobileInter は、ブラウザ ウィンドウのサイズも追跡し、モバイル ブラウザに期待されるサイズと一致させます。チェックが肯定的な結果を返した場合、マルウェアは標的のデータをスキミングし、一連の機能を介してそれを抽出します。

回避テクニック

悪質な活動を隠すために、MobileInter は正当なサービスの機能を模倣する機能の名前を付けています。たとえば、データ抽出の実行速度を決定する「rumbleSpeed」関数は、jQuery の jRumble プラグインの一部として表示されるように設計されています。

操作に使用されたドメインに関しても、彼らは合法的なサービスを偽装して利用しています。この脅威に関連する多数のドメインの中には、jQuery、Amazon、Alibaba などを偽装するものもあります。最近の MobileInter 操作は、Google サービスを完全にモデル化しています。これには、Google タグ マネージャーとして自分自身を隠す抽出 URL や WebSocket URL が含まれます。