Хакеры MageCart усилили деятельность в преддверии Нового года
12/11/24
По данным последнего отчёта компании Sucuri, с началом праздничного шопинга киберпреступники учащают атаки на интернет-магазины. Основной угрозой становятся кражи данных кредитных карт с использованием вредоносного ПО, известного как «MageCart». Это время года привлекает хакеров, поскольку увеличение числа онлайн-покупок позволяет им максимально заработать на продаже украденных данных в даркнете, пишет Securitylab.
Одним из самых популярных методов атаки становится внедрение WebSocket-скиммеров. С августа этого года данная угроза обнаружена на 432 сайтах. Злоумышленники используют специальные серверные технологии для скрытной передачи данных пользователей на внешние серверы, обходя стандартные системы защиты.
Наиболее уязвимыми платформами для таких атак остаются WordPress, Magento и OpenCart. К примеру, один из видов атак использует функцию fromCharCode и шифрование методом XOR с числом 42 — отсылкой к известной книге Дугласа Адамса. Анализ показал, что украденные данные отправляются на сомнительные домены, такие как «cdn[.]iconstaff[.]top».
Другой популярный метод — hex-кодированные скиммеры, которые активно распространяются на сайтах, использующих Magento и WooCommerce. Вредоносный код внедряется в базы данных и файлы JavaScript, создавая фальшивые формы для ввода платёжных данных. После этого информация передаётся на внешние серверы, такие как «cpeciadogfoods[.]com».
Ещё один тип угрозы — base64-кодированные инъекции, которые маскируются под плагины и модули WordPress. Вредоносный код скрывается в файлах плагинов и активируется на страницах оформления заказа. Этот вид атаки набрал популярность благодаря сложности обнаружения антивирусными программами.
Особую активность демонстрирует группа Smilodon, которая уже несколько лет нацелена на WordPress-сайты, используя вредоносные плагины. В этом году злоумышленники усовершенствовали свои методы, заменяя стандартные названия плагинов на случайные строки для обхода защитных систем.