Pada hari Rabu (18/11/2020), peneliti dari RiskIQ menjelaskan bagaimana skimmer Grelos baru menunjukkan adanya “peningkatan overlap” di infrastruktur dan grup Magecart. Malware ini – bersama dengan bentuk skimmer lainnya – sekarang dihosting di infrastruktur domain yang digunakan oleh banyak grup, atau terhubung melalui catatan WHOIS, operasi phishing yang diketahui, dan penyebaran malware lainnya, menciptakan persilangan yang sulit dipisahkan.
Varian baru dari skimmer Grelos, malware yang telah ada setidaknya sejak 2015 dan terkait dengan Magecart grup 1 dan 2, mirip dengan strain terpisah yang dijelaskan oleh peneliti @AffableKraut pada bulan Juli 2020. Varian ini adalah skimmer berbasis WebSocket yang menggunakan obfuscation base64 untuk menyembunyikan aktivitasnya.
“Kami yakin skimmer ini tidak secara langsung terkait dengan aktivitas Grup 1-2 dari 2015-2016, melainkan pengulangan beberapa kode mereka,” kata RiskIQ. “Versi skimmer ini memiliki fitur tahap loader dan tahap skimmer, yang keduanya dikodekan base64 lima kali lipat.”
Mengikuti serangan Magecart di Boom! Mobile, RiskIQ memeriksa tautan yang di-set oleh Malwarebytes dan serangan ini, di mana grup Fullz House memuat JavaScript berbahaya di penyedia jaringan seluler untuk melakukan scraping data pelanggan.
Domain yang digunakan dalam serangan ini mengarahkan tim ke cookie dan situs web skimmer terkait, termasuk facebookapimanager[.]com dan googleapimanager[.]com.
Baca Juga: “Visa Peringatkan Tentang Baka, Sebuah Skimmer Kartu Kredit JavaScript Baru“
Namun, alih-alih menemukan skimmer Fullz House, para peneliti malah menemukan varian skimmer Grelos baru. Jenis ini memiliki tahap loader berenkode base64 yang serupa, tetapi hanya menampilkan satu lapisan pengkodean, tag skrip duplikat, kesalahan ejaan, dan termasuk kamus yang disebut “terjemahkan” yang berisi frasa yang digunakan oleh formulir pembayaran palsu yang dibuat oleh malware. WebSocket masih digunakan untuk eksfiltrasi data.
RiskIQ telah mengamati varian baru skimmer terkait Magecart yang menggunakan kembali kode dari operasi-operasi selama beberapa tahun terakhir. Perusahaan mengatakan bahwa skimmer Fullz House telah dikooptasi oleh grup peretasan lain, bahkan memanfaatkan beberapa infrastruktur yang sama – seperti penyedia hosting – untuk menampung skimmer lain, termasuk Grelos, yang juga berbagi IP dengan skimmer Inter.
Hal ini, pada gilirannya, menciptakan “kesuraman” ketika harus melacak aktivitas grup Magecart yang terpisah, banyak di antaranya secara aktif meluncurkan serangan baru terhadap perusahaan e-commerce setiap harinya.
