Q-logger Skimmer

電子商取引セクターの爆発的な成長に伴い、 Magecartおよびスキマー攻撃を実行するサイバー犯罪者は、脅威となる操作の範囲、関連する方法、および展開されたインフラストラクチャを多様化し始めています。この傾向を示す1つの脅威は、最近発見されたQ-loggerスキマーです。この脅威は、EricBrandelによって最初に検出されました。

Q-loggerは、infosecの研究者がハッカーの活動を捕らえる前に、数か月間アクティブな攻撃キャンペーンで使用されてきました。攻撃者は、侵害されたeコマースWebサイトに直接脅威を注入するか、外部にロードすることを目的としています。その後、感染したサイトのユーザーの支払いデータを吸い上げ、クレジットカードとデビットカードの詳細を取得し始めることができます。収集された情報は、POSTリクエストを介してハッカーの管理下にあるドメインに盗み出されます。 Q-logger攻撃は、主にMagentoを使用してオンラインショップを運営している中小企業を標的としています。

Q-Loggerの機能

スキマーの脅威に関連する典型的な脅迫活動とは別に、Q-loggerはいくつかの独特の特徴を示します。脅威には、複数の分析防止手法が備わっています。ハッカーは、コードを難読化するだけでなく、さまざまなdevtoolsが開かれたことを検出できるキーロガールーチンを追加しました。チェックが開始されたそのようなdevtoolsに対して肯定的な結果を返す場合、Q-loggerはそのアクティビティを完全に終了します。 Q-logger攻撃の原因となるサイバー犯罪者によって使用されていることが確認されている別の手法は、ドメインをまとめて登録することです。これは、ブロックリストに対する効果的な戦略です。一方、ホスティングプロバイダーの実際のIPアドレスを隠すために、操作のインフラストラクチャを区分化しようとします。