Осторожно web-скимминг: под угрозой платежные данные

Аналитики компании Malwarebytes обнаружили и расследовали интересную web-скимминг кампанию, нацеленную на похищение платежных данных. Для этого злоумышленники создали сайт myicons.net, содержащий базу иконок (favicon) известных брендов, который является копией сайта и базы Iconarchive

Далее в легитимные сайты встраивался код, который являлся ссылкой на иконки с сайта myicons.net, не вызывал особых подозрений и не содержал java-скрипта или подобного нелегитимного действия. Исследователи даже проверили самую скачиваемую иконку Magento на наличие стенографии (сокрытие вредоносного кода в картинке), но картинка оказалась чистой.

Самое интересное было обнаружено в момент перехода пользователя на платежные страницы скомпрометированных ресурсов: там вместо иконки сайт myicons.net передавал уже не картинку PNG, а JavaScript код, который подделывал форму оплаты и передавал все платежные данные на ресурсы злоумышленников, отправляя при этом копию в PayPal, а также копию на страницу оформления заказа, таким образом делая кражу незаметной для пользователя.

Эту атаку эксперты достаточно легко обнаружили на основании данных о сайте myicons.net: его время регистрации буквально от 2020 года, при этом он содержит полную библиотеку картинок, и IP-адреса принадлежат уже скомпрометированной ранее группе адресов.

Полные индикаторы компрометации:

  •  Skimmer URL, domain, IP and SHA256

myicons[.]net/d/favicon.png

myicons[.]net

83.166.244[.]76

825886fc00bef43b3b7552338617697c4e0bab666812c333afdce36536be3b8e

  • Exfiltration domain and IP

psas[.]pw

83.166.242[.]105

Web-скиммеры – относительно новое направление web-атак, которое активно проявилось в 2016–2018 годах и продолжает атаковать пользователей в настоящее время. В 2018 году громкий инцидент web-скимминга был связан с British Airways, когда порядка 380 тысяч данных карт были украдены у пользователей онлайн-ресурса авиакомпании.

Суть атаки заключается в заражении содержимого сайта вредоносным кодом, который подменяет ожидаемые пользователем ресурсы (например платежную страницу) на копию от злоумышленника, которая выполняет два основных действия: отправляет данные платежных документов на ресурсы злоумышленника и отправляет web-форму на зараженный сайт для имитации совершенной покупки, чтобы скрыть следы утечки.

Одна из крупных группировок, производящих такого рода скиммеры – Magecart. Как утверждают специалисты компании RiskIQ, за 10 лет наблюдений им удалось засечь скиммеры Magecart около двух миллионов раз. Всего с августа 2010 года группировке удалось взломать более 18 тысяч хостов. Для управления зловредами преступники используют 573 домена, данные с которых загружают около 10 тысяч хостов.

Для внедрения скриптов используются:

  • Рекламные баннеры,

  • Иконки (favicon),

  • ПО поддержки пользователей (инцидент с Ticketmaster) и др.

Рекомендации экспертов группы компаний Angara по борьбе с такого рода атаками:

  • В первую очередь отслеживать исходящий трафик вашего сайта. Если идет поток на известные скомпрометированные ресурсы, как в случае с myicons, то это повод провести расследование и анализ ПО сайта. Оперативный мониторинг с включением Threat Intelligence сервисов и подключением индикаторов компрометации реализуется средствами SIEM-систем или сервиса MSSP SIEM, куда необходимо подключить ваш сайт.

  • Регулярно производить анализ кода на включение в него ошибок разработки, уязвимостей и возможно вредоносных включений. Для этого существует отдельный класс решений – сканеры исходного кода.

  • Регулярно проверять рабочий сайт средствами внешних сканеров защищенности (сетевые сканеры, сканеры поиска уязвимостей  в веб-скриптах, средства поиска эксплоитов, средства автоматизации инъекций и другие).

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах