Веб-скиммер ворует данные карт, уже украденные другими преступниками

  • Автор темы Admin

Admin

#1
Администратор
Регистрация
31.12.2019
Сообщения
6,642
Реакции
23
Специалисты Malwarebytes обнаружили интересный MageCart-скрипт (веб-скиммер), который не просто заражает интернет-магазины и похищает данные банковских карт их посетителей, но паразитирует на малвари других хакеров.

Напомню, что изначально название MageCart было присвоено одной хак-группе, которая первой начала внедрять веб-скиммеры (вредоносные JavaScript) на страницы интернет-магазинов для хищения данных банковских карт. Но такой подход оказался настолько успешным, что у группировки вскоре появились многочисленные подражатели, а название MageCart стало нарицательным, и теперь им обозначают целый класс подобных атак.

Исследователи обнаружил новый скиммер, когда расследовали волну взломов интернет-магазинов, работающих под управлением устаревшей Magento 1. Хотя само по себе присутствие малвари на таких сайтах неудивительно, интересным оказался заразивший их вредонос.

«Злоумышленники разработали специальную версию скрипта, которая знает о сайтах, уже зараженных другим скиммером для Magento 1. Второй скиммер просто собирает данные кредитных карты из уже существующих фейковых форм, которые были внедрены на сайт предыдущими злоумышленниками», — пишут аналитики Malwarebytes.

skimmer2_-1.png


Одним из пострадавших от этих атак стала компания Costway, использовавшая Magento 1 для своих интернет-магазинов во Франции, Великобритании, Германии и Испании.

То есть первая хак-группа взломала сайты компании и внедрила них поддельные платежные формы, ворующие финансовые данные покупателей. Вторая хак-группа дополнительно загрузила на эти сайты собственные кастомные веб-скиммеры с домена securityxx[.]top. Так, один скрипт собирает данные из уже существующего скиммера первой группировки, а второй активируется лишь в том случае, если магазин был очищен от малвари, введенной во время изначального взлома Magento 1.

traffic.png


Таким образом, две хакерские группировки внедрили на сайты взломанных магазинов три разных MageCart-скрипта. Исследователи отмечают, что такие ситуации не редкость и MageCart-группировки нередко конкурируют между собой, уничтожая или пытаясь использоваться малварь своих «коллег по цеху».


Source: blog.malwarebytes.com/cybercrime/2021/02/credit-card-skimmer-piggybacks-on-magento-1-hacking-spree/
 

Members, viewing this thread

Сейчас на форуме нет ни одного пользователя.