LIVE_FEED

--:--:--[HIGH]shop-***-deals.com→Magecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.net→Drive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.io→Obfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.co→Credential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.org→Malicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.com→FakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.app→Unauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ru→Drive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyz→C2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shop→Affiliate cloaking + cookie stuff// US-CENTRAL--:--:--[HIGH]shop-***-deals.com→Magecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.net→Drive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.io→Obfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.co→Credential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.org→Malicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.com→FakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.app→Unauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ru→Drive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyz→C2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shop→Affiliate cloaking + cookie stuff// US-CENTRAL

← назад към блога

Technik2026-06-048 мин. четене

Anatomie eines Scans: Was die Engine wirklich tut

Ein Scan ist keine curl-Anfrage. Wir gehen jede Phase durch — vom Einreihen einer URL bis zum verifizierten Urteil — damit Sie wissen, was Ihre Alarme antreibt.

Jeder Scan beginnt als Job in einer Prioritätswarteschlange. Bezahlte Tarife mit kurzen Intervallen erhalten höhere Priorität, aber jeder Job durchläuft dieselbe Pipeline, sodass Ergebnisse über die Stufen hinweg vergleichbar sind.

Phase eins ist die Erfassung: Eine echte Chromium-Instanz, kein reiner Header-Abruf, lädt die Seite mit aktiviertem JavaScript. Wir haken Service-Worker-Registrierung, Fetch-Initiatoren und dynamische Import-Aufrufe ein, damit nichts zur Laufzeit Geladenes der Aufzeichnung entgeht.

Phase zwei ist die Analyse. Wir vergleichen den beobachteten Skriptbaum mit Ihrer Baseline, bewerten neue oder veränderte Ressourcen und führen Verhaltensheuristiken aus, die Exfiltrationsmuster markieren — POSTs an frisch registrierte Domains, Tastenanschlag-Listener auf Zahlungsfeldern oder zur Laufzeit dekodierte, verschleierte Payloads.

Phase drei ist die Verifizierung. Bevor etwas Ihren Posteingang erreicht, werden verdächtige Funde in einer sauberen Sitzung erneut ausgeführt, um Sprunghaftigkeit auszuschließen. Nur ein stabiles, reproduziertes Ergebnis wird zum Urteil — deshalb lohnt es sich, auf unsere Alarme zu reagieren.

свързани_статии

Magecart-Skimmer erkennen im Jahr 2026: Was sich nach Gruppe 12 verändert hat

Threat Intelligence

Anatomie des „Fake-CAPTCHA → ClickFix“-Köders