本文說明 Lemon Group 如何利用預先感染的行動裝置來打造犯罪事業,以及這樣的模式如何複製到其他物聯網 (IoT) 裝置。這項研究的所有發現已在 2023 年 5 月新加坡舉行的 Black Hat Asia 2023 駭客大會上發表。
趨勢科技在接獲並追查一起有關行動裝置被用於詐騙的案件時,分析到一個被預載了兩種不同惡意程式載入器 (loader) 的裝置,這兩個載入器分別會從不同駭客集團下載其他元件到裝置上安裝。不久前,我們才在 5 月舉行的 Black Hat Asia 2023 駭客大會 上發表了這份研究的完整內容,詳細揭露了駭客用到的其他系統、公司名稱與其他營業據點、獲利途徑、Telegram 群組以及員工個人檔案。
趨勢科技的研究報告「網路犯罪組織內部情況」(Inside the Halls of a Cybercrime Business,PDF 檔案請點我) 根據警方破獲的案例與內部知情人士的資訊,詳細研究了大、中、小型犯罪集團的內部結構。我們也將它們與傳統相似規模的企業對照,從中發掘有關這些犯罪組織的洞察。
根據此次攻擊假借第三方服務廠商軟體元件的情況來看,我們推測應該是
Magecart Group 5 犯罪集團所為。RiskIQ 曾指出該集團涉及了多起資料外洩事件,如去年的 Ticketmaster 資料外洩事件。在 Risk IQ 研究人員 Yonathan
Klijnsma 的協助下,我們判斷這波支付卡資料竊盜網路攻擊應該是 Magecart 犯罪集團底下一個新的「Magecart Group 12」次團體所為。
Magecart Group 12 的攻擊模式
有別於其他網路盜卡集團直接入侵目標電子商務網站結帳平台的作法,Magecart Groups 5 和 Magecart Group 12 會攻擊電子商務網站所採用的第三方服務,將惡意程式碼注入這些服務所提供的 JavaScript 程式庫當中。如此一來,所有採用該服務的網站都會載入這些盜卡程式碼。而攻擊第三方服務的作法也讓歹徒能夠擴大攻擊範圍,進而竊取更多支付卡資料。
就此次 Adverline 的案例來說,歹徒是將程式碼注入一個可根據不同對象提供不同廣告的
JavaScript 程式庫。電子商務網站經常使用這樣的程式庫來標記網站訪客並提供可能會吸引他們回流的廣告。我們的研究指出,受害的網站因使用了
Adverline 的程式庫而載入Magecart Group 12 的盜卡程式碼,而該程式碼會將使用者在網頁上輸入的付款資料傳送至歹徒遠端的伺服器。
【資安大會 即將登場】,最不能錯過的超級品牌,立馬點選,一目瞭然
