Группировки Magecart прячут скиммеры с помощью доменов-омоглифов
10/08/20
Исследователи кибербезопасности из компании Malwarebytes рассказали о методе фишинга, в рамках которого злоумышленники используют омоглифические доменные имена и модифицированные фавиконы (значки web-сайтов) для внедрения электронных скиммеров и хищения данных платежных картах пользователей.
Идея состоит в использовании одинаково выглядящих символов для визуального обмана пользователей. Омоглиф — одна из двух или более графем, знаков или глифов с формами, которые или кажутся идентичными, или не могут быть дифференцированы быстрым визуальным осмотром. Например, русская «а» и английская «a» — омоглифы.
Киберпреступные группировки, объединенные ИБ-экспертами под общим названием Magecart, осуществляли омоглифические атаки на архитектуру IDN (интернационализированные доменные имена) для внедрения скиммера Inter, скрытого внутри фавикона.
Злоумышленники воспользовались визуальным сходством символов для создания и регистрации мошеннических версий существующих доменов с целью обмануть ничего не подозревающих пользователей и заставить их посетить вредоносные web-сайты.
По словам экспертов, в нескольких случаях легитимные web-сайты были взломаны и в них был внедрен фрагмент кода со ссылкой на файл значка, который загружает копию фавикона с вредоносного сайта. Фавикон, загруженный из поддельного домена, впоследствии использовался для внедрения скиммера Inter, который фиксирует введенную на странице оплаты информацию и передает ее мошенникам.
Один из таких такой поддельных доменов («zoplm.com») ранее был связан с Magecart Group 8, которая осуществила атаки на электронные магазины NutriBullet, MyPillow и Amerisleep. Злоумышленники взломали сайт компании My Pillow в октябре минувшего года и запустили домен с похожим названием и установленным SSL-сертификатом, выданным центром сертификации Let’s Encrypt.