Magecart组织使用KPOT木马开展窃密活动

2019年9月26日,我国网络安全企业安天公司发布报告称,发现名为“Magecart”的国际网络犯罪团伙正在利用“KPOT”木马恶意程序开展网络攻击活动,攻击目的是窃取用户的加密货币钱包信息、应用账户信息以及浏览器cookies等多种敏感信息,以牟取不当经济利益。 据安天公司分析,在本次攻击活动中,攻击者主要利用了垃圾邮件以及RIG和Fallout漏洞利用工具包来传播KPOT木马,窃取用户多种信息。 分析人员通过KPOT木马的回传数据所使用的域名关联到了多个公开的Magecart组织第五小组域名。Magecart是一个以获取经济利益为主要目的的窃取支付信息的网络犯罪组织集合,最早攻击活动可以追溯到2015年。根据公开情报描述,Magecart至少有12个不同的小组,这些小组具有不同的运作方式、技术配置,成员水平也参差不齐。Magecart的第五小组最早出现于2016年,主要利用供应链进行攻击。在本次发现的窃密事件中,Magecart第五小组的攻击行为和目的都发生了改变,舍弃了以往使用的专用窃密脚本而改用KPOT木马,窃取了更多的用户信息。