Tror mindre DDoS-attacker är inte ett verkligt hot? Tänk igen
Distributed Denial of Service-attacker blir mindre-men de är fortfarande få mer farliga.
Domäner som en gång användes i kort-skimming attacker av hot aktörer under Magecart paraply som lägger till märkord för ny annons bedrägeri kampanjer, säger forskarna.
Magecart, en gång per termin tillskrivas en enda hotet grupp, som nu omfattar flera angripare med hjälp av samma typ av taktik att kompromissa online försäljare och tjänster som använder betalning portaler.
British Airways, Newegg, MyPillow, Ticketmaster och Feedify är bara några av de varumärken som nu är ansluten till en framgångsrik, JavaScript-baserat kort skumma kampanjer.
Otaliga OSS campus butiker har också fallit offer för Magecart attacker, och under de senaste månaderna, Magecart angripare har också använt sig av “spray and pray” – taktik att kompromissa tusentals webbplatser med inriktning på utsatta S3 hinkar.
E-handel-baserat kort-skimming attacker utnyttja hemsida sårbarheter och JavaScript-kod för att skörda information om betalkort från kunder. I Magecart är fallet, tårtspadar finns på en webbplats för i genomsnitt två månader innan upptäckt.
Som Magecart attacker upptäcks domäner för att underlätta överföringen av stulna data och de områden som används som förråd för skadlig kod rapporteras, sinkholed, och beslag.
Se även: Ubisoft att skicka ut cease & desist begär att DDoS-för-biluthyrning tjänst
Men enligt RiskIQ, dessa skadliga domäner är slut släpps tillbaka ut i poolen av tillgängliga domäner — och många håller på att hamna för ny attack sorter av bedragare.
På torsdag, it-säkerhet forskare sade att när Magecart domäner visas online, “de behåller sina utryckningar till skadliga domäner som släpps ut på brutit mot webbplatser av angripare, vilket betyder att de behåller sitt värde till hot aktörer.”
Med andra ord, domäner har anslutit till tidigare kampanjer kan förvärvas för att återuppliva gamla attacker eller för användning i nya system — såsom generering av intäkter genom skadliga annonser och ad bedrägeri.
Skadliga annonser är en kompromiss på annonsnätverk och utrymme på legitima domäner för att distribuera skadlig kod eller styra offer för skadliga webbplatser. Termen kan också användas för att beskriva bedrägliga sätt att tjäna pengar från annonsnätverk, såsom infektion av system för att tvinga användare att titta på annonser eller omedvetet ge trafik till annons sidor, och därigenom skapa en olaglig inkomst för bedragare.
RiskIQ säger att vissa gamla Magecart domäner som används för dessa ändamål.
I ett fall spåras av laget, 2017, en Magecart hot skådespelare registrerat en domän för att tjäna skadlig JavaScript för att infekterade webbplatser. Domänen var sinkholed 2018, och en gång passerat genom den registrar, fyra veckor senare en “shady” annonsör har köpt domänen.
CNET: Hålla Firefox från att läcka ut din data över nternet
En gång i bedragare kontroll, exakt ringa när som används för att ta skimmer kod var nu inställd på att arbeta för användning i intäkter. Istället för att ladda väg med information för att stjäla skadlig kod, de nya ägarna injiceras en annons-sida istället.
“De nya ägarna av domänen är också tjänstgör som JavaScript-fil väg, som de inte skulle göra om de visste vad syftet var och hur de kunde använda den för sina egna intäkter,” RiskIQ säger.
Räknare längs dessa vägar har också setts, vilket tyder på att ägare av den gamla Magecart domän har gjort detta mer än en gång och vill att mäta storleken på deras bedrägliga annons publik.
TechRepublic: 1Password släpper säkerhet verktyg som är avsett för företag
Den så kallade reklam sekundär marknad för gamla Magecart domäner kan inte vara att underlätta färska spridning av malware för närvarande för att återuppliva gamla kort-skimming kampanjer, men användningen av tidigare Magecart domäner för annonsutrymme på grund av att trafiken kommer tillbaka till dem är fortfarande falsk.
“Medan annonser sig själva inte är skadliga, som de utnyttjar sårbarheter i webbplatser samtidigt som webbplatsägare inte nytta,” forskarna säger. “Dessutom, i framtiden, hot aktörer kan också delta i andra system och hot långt mer skadliga än reklam.”
RiskIQ säger att det inte är möjligt att hålla en webbplats “är rent för evigt”, men med Magecart attacker blivit så utbrett hot under de senaste åren, “plikttrogen vaksamhet och underhåll” är det enda sättet att förhindra att följa upp system som föranleddes av den sekundära marknaden för gamla skadliga domäner.
Tidigare och relaterade täckning
Protokoll som används av 630,000 enheter kan missbrukas för förödande DDoS-attacker
DDoS-attacker: Blir mindre, sneakier – och farligare
Windows malware Defender söker inte efter några sekunder
Har ett tips? Komma i kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter