Эксперты компании RiskIQ, давно наблюдающие за MageCart-группами, писали, что MageCart 5 — одна из наиболее профессиональных и серьезных групп в данной сфере. Напомню, что в 2018 году исследователи RiskIQ идентифицировали 12 таких группировок, тогда как сейчас, по данным IBM, их насчитывается уже 38.
По мнению ИБ-специалистов, именно эта группировка прицельно взламывает только сторонних сервис-провайдеров, но не атакует интернет-магазины напрямую. И именно эта группировка уже проявляла креативность и использовала CDN (content delivery network, «сеть доставки контента») и рекламу для внедрения своего вредоносного кода на сайты. А в сентябре текущего года специалисты IBM обнаружили, что MageCart 5 разработала специальные скрипты для размещения на Layer 7 маршрутизаторах и последующей кражи банковских карт, то есть от атак на сайты злоумышленники перешли к атакам на маршрутизаторы.
Теперь специалисты компании Malwarebytes сообщили, что им удалось связать группировку MageCart 5 с известной преступной группой Carbanak и банковским трояном Dridex. Для этого исследователи изучили восемь доменов верхнего уровня, использующих имя Informaer и связанных с MageCart 5 по данным RiskIQ.
Используя записи WHOIS, предшествовавшие появлению Общего регламента по защите данных ЕС (General Data Protection Regulation, GDPR), исследователи вышли на «пуленепробиваемого» регистратора в Китае, который называется BIZCN/CNOBIN. По аналогии с «пуленепробиваемым» хостингом, такие компании игнорируют все жалобы на противозаконную активность клиентов, а личности пользователей хранятся в тайне. Однако специалистам удалось выявить девятый домен Informaer (informaer[.]info), который оказался защищен не так хорошо и привел экспертов к адресу электронной почты (guotang323@yahoo.com) и номеру телефона (+86.1066569215).
Этот домен был зарегистрирован в то же время, что и другие домены Informaer (речь буквально идет о секундах), и почти наверняка использовался в операциях MageCart 5.
Упомянутый адрес электронной почты оказался связан и с другими доменами, зарегистрированными тем же лицом. В их числе были несколько доменов, имеющие отношение к фишинговым кампаниям Dridex, к которых швейцарский CERT детально рассказывал еще в 2017 году: corporatefaxsolutions[.]com, onenewpost[.]com и xeronet[.]org.
Интересно, что номер телефона тоже уже встречался экспертам. В прошлом году известный ИБ-журналист Брайан Кребс уже упоминал этот номер в своей статье, посвященной расследованию деятельности Carbanak и теориям о происхождении группировки.
При этом эксперты Malwarebytes признают, что вся регистрационная информация informaer[.]info могла быть специально сфальсифицирована, чтобы сбить с толку исследователей. Однако все это происходило в 2016 году, когда атрибуция MageCart еще не исследовалась. Аналитики считают маловероятным, что участники Magecart 5 уже тогда пытались запутать следы, учитывая, что на них еще никто не охотился.