13/07/21
Киберпреступные группировки, объединенные ИБ-экспертами под общим названием Magecart, вооружились новыми техниками обфускации вредоносного кода и шифрования украденных данных кредитных карт во избежание обнаружения.
Специалисты из компании Sucuri связывают данные атаки с группировкой Magecart Group 7 на основании совпадений в тактике, техниках и процедурах.
В одном случае заражения web-сайта электронной коммерции Magento компании GoDaddy скиммер был внедрен в один из PHP-файлов, участвующих в процессе оформления заказа, в виде сжатой строки в кодировке Base64.
Для дополнительной маскировки присутствия вредоносна злоумышленники объединили вредоносный код с фрагментами комментариев, которые «функционально ничего не делают, но добавляют уровень обфускации».
Целью злоумышленников является кража данных платежных карт клиентов в режиме реального времени на скомпрометированном web-сайте. Похищенные данные сохраняются в файл изображения на сервере и впоследствии загружаются хакерами путем отправки GET-запроса.
