В даркнете набирает популярность скимминговый сервис Caramel
11/05/22
Среди киберпреступников растет популярность сервиса Caramel, продающего web-скиммеры для кражи данных кредитных карт.
Web-скиммеры – это вредоносные скрипты, внедряемые во взломанные сайты электронной коммерции и ждущие, когда жертва сделает на нем покупку. Как только жертва заполняет форму заказа на сайте, вредоносные скрипты отправляют данные ее кредитной карты на подконтрольный киберпреступникам удаленный сервер. С помощью этих данных злоумышленники могут совершать online-покупки. Кроме того, они могут продать их другим киберпреступникам на подпольных торговых площадках.
Специалисты из Domain Tools обнаружили новый ресурс, работающий по модели «скиммер как услуга» (skimmer-as-a-service). По их словам, оператором сервиса является российская киберпреступная группировка CaramelCorp.
Caramel поставляет своим подписчикам вредоносные скрипты, инструкции по их развертыванию и панель управления вредоносными операциями. Однако стать подписчиками сервиса могут только русскоязычные хакеры, прошедшие предварительный процесс отбора, в ходе которого отсеиваются малоопытные киберпреступники и те, кто пользуются машинным переводом.
Пожизненная подписка на сервис стоит $2 тыс. За эти деньги его операторы обещают подписчикам полную техподдержку, обновления кода и улучшения механизмов обхода обнаружения. Если верить CaramelCorp, их скиммеры способны обходить защиту от Cloudflare, Akamai, Incapsula и пр.
Клиентам сервиса предоставляется быстрая инструкция по методам JavaScript, хорошо работающим на определенных системах управления контентом сайтов (CMS).
Поскольку скиммеры написаны на JavaScript, Caramel предлагает клиентам различные техники обфускации для обхода обнаружения.
Данные кредитных карт собираются с помощью метода setInterval(), извлекающего информацию через фиксированные промежутки времени. Хотя этот метод не кажется эффективным, с его помощью можно похищать данные даже из корзин покупателей и незавершенных покупок.
Управление вредоносными операциями осуществляется с помощью специальной панели, на которой отображаются взломанные хакерами online-магазины и можно управлять шлюзами для получения похищенных данных.