Grupo de skimming digital UltraRank atingiu centenas de sites

Chamado de “UltraRank” pelo grupo de segurança Group-IB, com sede em Cingapura, a atividade do grupo era anteriormente associada aos Grupos Magecart 2, 5 e 12, de acordo com uma nova postagem no blog.

No entanto, essas foram, na verdade, campanhas distintas do UltraRank, com a número dois datando de 2015 e a número 12 em andamento até hoje, afirmou o fornecedor.

Com o passar do tempo, o grupo mudou sua infraestrutura e malware, tirando os pesquisadores da pista. No entanto, alguns elementos permaneceram os mesmos.

“Em todas as três campanhas, foram usados ​​mecanismos semelhantes para ocultar a localização do servidor dos agentes da ameaça e padrões semelhantes de registro de domínio. Além disso, vários locais de armazenamento de código malicioso com conteúdo idêntico foram descobertos em todas as campanhas ”, observou o Group-IB.

“O que distingue as três operações é a escolha da família JS sniffer empregada – FakeLogistics na Campanha 2, WebRank na Campanha 5 e SnifLite na Campanha 12.”

Excepcionalmente para grupos de skimmer digital, o UltraRank atacou sites / organizações individuais e participantes da cadeia de suprimentos. O Grupo IB afirmou ter identificado 691 sites separados infectados pelo grupo mais 13 provedores de serviços terceirizados, incluindo publicidade e notificação de navegador, design da web, marketing e desenvolvimento de sites.

O UltraRank “foi muito além da noção de operadores comuns de farejadores JS”, ​​desenvolvendo um modelo de negócios separado. Em vez de lavar fundos comprando e revendendo produtos caros, ou vendendo aos carders, o grupo monetizou dados roubados por meio de uma loja de cartões afiliada: ValidCC.

O Grupo IB afirmou que o administrador da ValidCC parece ser um falante de russo.

ValidCC afirma ter feito $ 5.000- $ 7.000 por dia em uma semana em 2019.

O mercado de sniffer JS está vendo um grande interesse no submundo do crime cibernético, com o número de famílias distintas de malware dobrando no ano passado para chegar a 96 hoje, alertou o Grupo-IB.

“Hoje, os sniffers JS representam o produto final da evolução de ferramentas destinadas ao comprometimento de dados de cartões bancários, diminuindo consideravelmente a intensidade de recursos de tais ataques”, concluiu o analista de inteligência de ameaças da empresa, Victor Okorokov.

“Nos próximos anos, certamente veremos o crescimento no uso desse instrumento malicioso, uma vez que muitas lojas online e provedores de serviço ainda negligenciam sua segurança cibernética, usando CMSs desatualizados que apresentam vulnerabilidades.”

Fonte: https://www.infosecurity-magazine.com/news/ultrarank-digital-skimming-group