Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Скиммеры используют Telegram в качестве канала для отправки украденных данных

03/09/20

magecart-1Специалисты в области кибербезопасности заметили новый поворот в деятельности киберпреступников, связанных с так называемыми Magecart - атаками, направленными на хищение платежных данных клиентов интернет-магазинов. Теперь злоумышленники используют зашифрованный мессенджер Telegram в качестве канала для отправки похищенных данных кредитных карт на управляющие серверы.

Новый метод был обнаружен ИБ-экспертом, известным как Affable Kraut, в ходе анализа вредоносного скрипта JavaScript, представляющего собой цифровой скиммер. Данный скрипт собирает данные из полей ввода и отправляет их в закрытый Telegram-канал. Вся информация отправляется в зашифрованном виде, затем Telegram-бот публикует ее в чате. Хотя этот метод весьма эффективен в плане эксфильтрации данных, он не слишком надежный, поскольку любой человек, владеющий токеном для доступа к Telegram-боту может перехватить контроль над процессом.

По словам специалиста компании Malwarebytes Жерома Сегуры (Jérôme Segura), также изучившего скиммер, идентификатор бота, Telegram-канал и запросы API закодированы с помощью алгоритма Base64. Весь процесс операции продемонстрирован на изображении ниже.

Как отмечается, извлечение данных начинается только в том случае «если текущий URL в браузере содержит ключевое слово, указывающее на торговую площадку и когда пользователь подтверждает покупку». Затем платежные данные отправляются как легитимному процессору платежей, так и киберпреступникам. Данный механизм позволяет обойтись без инфраструктуры для извлечения данных, которая может быть заблокирована защитными решениями или отключена правоохранительными органами.

Более того, говорит Сегура, обеспечить защиту от данного скиммера - нелегкая задача. Блокировка подключения к Telegram станет только временным решением проблемы, поскольку злоумышленники могут воспользоваться и другими легитимными сервисами, позволяющими скрыть процесс извлечения данных.

Подробнее: https://www.securitylab.ru/news/511660.php

Темы:TelegramУгрозыMagecart
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • Опасные связи
    Популярные мессенджеры оказались под прицелом из-за нарушений конфиденциальности. Можно ли им доверять?

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...