Les opérateurs Magecart ont ajusté un écumeur de cartes de crédit populaire pour cibler uniquement les utilisateurs mobiles, car les consommateurs effectuent davantage leurs achats en ligne depuis leur smartphone que depuis leur ordinateur. Selon un nouveau rapport de RiskIQ, le kit Inter Skimmer est l'une des solutions d'écrémage numérique les plus courantes au monde. Divers groupes de cybercriminels utilisent le kit Inter depuis fin 2018 pour voler des données de paiement, ce qui affecte des milliers de sites et de consommateurs dans le monde. En mars de l'année dernière, une nouvelle version éditée de l'Inter est apparue en ligne. Cependant, les opérateurs de Magecart l'ont encore modifié pour créer MobileInter, qui se concentre uniquement sur les utilisateurs mobiles et cible à la fois leurs informations de connexion et leurs données de paiement. Alors que la première itération de MobileInter téléchargeait les URL d'exfiltration cachées dans les images des référentiels GitHub, la nouvelle version contient les URL d'exfiltration dans le code du skimmer et utilise WebSockets pour l'exfiltration des données. MobileInter abuse également des domaines et des services de suivi de Google qui imitent le géant de la recherche pour se déguiser ainsi que son infrastructure.
Mobile Inter
Étant donné que MobileInter cible uniquement les utilisateurs mobiles, le skimmer repensé effectue diverses vérifications pour garantir qu'il analysera une transaction effectuée sur un appareil mobile. Le skimmer effectue d'abord une vérification d'expression régulière par rapport à l'emplacement de la fenêtre pour déterminer si elle se trouve sur une page de paiement, mais ce type de vérification peut également déterminer si l'userAgent d'un utilisateur est défini sur un. Navigateurs mobiles. MobileInter vérifie également les dimensions d'une fenêtre de navigateur pour voir s'il s'agit d'une taille associée à un navigateur mobile. Après ces vérifications, le skimmer effectue son écrémage et son exfiltration des données à l'aide de diverses autres fonctions. Certaines de ces fonctionnalités reçoivent des noms qui pourraient être confondus avec des services légitimes afin d'éviter toute détection. Par exemple, une fonction appelée « rumbleSpeed » est utilisée pour déterminer la fréquence à laquelle une exfiltration de données est tentée, bien qu'elle soit censée être combinée avec le plugin jRumble pour jQuery, qui « gronde » les éléments d'une page Web. Pour que l'utilisateur puisse se concentrer sur eux. RiskIQ a également identifié MobileInter déguisant ses opérations d'une autre manière. Depuis que la société a commencé à suivre Magecart, elle a observé que les acteurs malveillants déguisent leurs domaines en services légitimes. Bien que la liste de domaines liés à MobileInter de RiskIQ soit longue, beaucoup imitent Alibaba, Amazon et jQuery. Bien que les récupérateurs de cartes de crédit soient apparus pour la première fois dans le monde réel dans les stations-service et autres endroits où les utilisateurs glissaient pour payer, ils ont rapidement trouvé leur chemin en ligne et sont maintenant passés au mobile.