Gli operatori Magecart hanno adattato un popolare skimmer per carte di credito per rivolgersi solo agli utenti mobili, poiché i consumatori fanno più acquisti online dai loro smartphone che dai loro computer. Secondo un nuovo rapporto di RiskIQ, l'Inter Skimmer Kit è una delle soluzioni di skimming digitale più comuni al mondo. Diversi gruppi criminali informatici utilizzano il kit dell'Inter dalla fine del 2018 per rubare dati di pagamento e questo colpisce migliaia di siti e consumatori in tutto il mondo. Nel marzo dello scorso anno è apparsa online una nuova versione modificata dell'Inter. Tuttavia, gli operatori Magecart lo hanno ulteriormente modificato per creare MobileInter, che si concentra solo sugli utenti mobili e prende di mira sia le loro credenziali di accesso che i dati di pagamento. Mentre la prima iterazione di MobileInter scaricava URL di esfiltrazione nascosti nelle immagini dai repository GitHub, la nuova versione contiene gli URL di esfiltrazione nel codice dello skimmer e utilizza WebSocket per l'esfiltrazione dei dati. MobileInter sta inoltre abusando dei domini Google e dei servizi di tracciamento che imitano il gigante della ricerca per mascherare se stesso e la sua infrastruttura.
Mobile Inter
Poiché MobileInter si rivolge solo agli utenti mobili, lo skimmer riprogettato esegue una serie di controlli per garantire che esegua la scansione di una transazione effettuata su un dispositivo mobile. Lo skimmer esegue innanzitutto un controllo regex rispetto alla posizione della finestra per determinare se si trova su una pagina di pagamento, ma questo tipo di controllo può anche scoprire se l'userAgent di un utente è impostato su uno. Browser mobili. MobileInter controlla anche le dimensioni di una finestra del browser per vedere se è una dimensione associata a un browser mobile. Dopo questi controlli lo schiumatoio effettua la scrematura e l'estrazione dei dati utilizzando diverse altre funzioni. Ad alcune di queste funzionalità vengono assegnati nomi che potrebbero essere scambiati per servizi legittimi per evitare il rilevamento. Ad esempio, per determinare la frequenza con cui viene tentata un'estrazione di dati viene utilizzata una funzione chiamata "rumbleSpeed", anche se dovrebbe essere combinata con il plugin jRumble per jQuery, che "rimbomba" gli elementi su una pagina web. In modo che l'utente possa concentrarsi su di essi. RiskIQ ha anche identificato MobileInter che maschera le sue operazioni in altri modi. Da quando l'azienda ha iniziato a monitorare Magecart, ha osservato che gli autori delle minacce mascherano i loro domini come servizi legittimi. Sebbene l'elenco di domini relativi a MobileInter di RiskIQ sia lungo, molti emulano Alibaba, Amazon e jQuery. Sebbene gli skimmer per carte di credito siano apparsi per la prima volta nel mondo reale nelle stazioni di servizio e in altri luoghi in cui gli utenti utilizzavano lo swipe per pagare, hanno rapidamente trovato la loro strada online e ora sono passati ai dispositivi mobili.