08/05/20
Специалисты ИБ-компании Malwarebytes обнаружили новую вредоносную кампанию, в ходе которой злоумышленники похищают данные банковских карт пользователей с помощью встроенного в сайт вредоносного ПО. Такая техника называется web-скимминг, e-скимминг или атаки Magecart. Как правило, злоумышленники взламывают сайт и внедряют в него код, похищающий платежные данные из заполняемых пользователями форм. Эксперты фиксируют подобные атаки уже в течение четырех лет, и по мере того, как ИБ-компании находят эффективные способы их выявления, киберпреступники вынуждены искать новые способы.
В новом отчете Malwarebytes сообщается об одной такой группировке, выведшей web-скимминг на качественно новый уровень. Специалисты выявили ее во время расследования серии странных взломов, в ходе которых единственное, что делали хакеры на взломанных ресурсах, – меняли фавиконы (значки сайтов).
Новый значок сайта представлял собой размещенный на MyIcons.net действительный графический файл без какого-либо вредоносного кода. Хотя изменение значка выглядело весьма безобидным, вредоносное ПО каким-то образом все-таки загружалось на взломанные сайты, и значки вызвали подозрения у специалистов.
Как поясняется в отчете Malwarebytes, MyIcons.net обслуживал действительный файл значка для всех страниц сайта, за исключением страниц с формами для оформления заказа. На этих страницах MyIcons.net незаметно заменял значок вредоносным JavaScript-файлом, создающим поддельную форму для оформления заказа и похищающим данные банковских карт.
Владельцы одного такого взломанного сайта посетили MyIcons.net и увидели, что он является полноценным порталом для хостинга значков. Ничего не вызвало у них подозрений. Тем не менее, как обнаружили эксперты Malwarebytes, MyIcons.net представляет собой «клон» легитимного портала IconArchive.com и создан для маскировки вредоносной активности.
Создание целого хостингового портала – это нечто новое для web-скиммеров, хотя данную технику давно используют группировки, специализирующиеся на других видах киберпреступлений.
