Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Злоумышленники внедряют мультишлюзовый скиммер через поддельные домены Google

29/07/19

hack41-1Одна из киберпреступных группировок Magecart использует поддельные домены Google для размещения и загрузки скиммера с поддержкой нескольких платежных шлюзов. Специалисты из Sucuri провели исследование и обнаружили, что один из web-сайтов был заражен скиммером для хищения данных платежных карт, загружающим JavaScript-код с вредоносного интернационализированного домена google-analytîcs[.]com.

Magecart — термин, объединяющий несколько киберпреступных группировок, специализирующихся на внедрении скриптов для хищения данных банковских карт в платежных формах на сайтах. Они ответственны за атаки на такие компании, как Amerisleep , MyPillow , Ticketmaster , British Airways , OXO и Newegg . Недавно исследователи раскрыли вредоносную кампанию, в ходе которой злоумышленники успешно взломали 962 сайта электронной коммерции.

Злоумышленники используют интернационализованные доменные имена (IDN) для маскировки серверов, на которых размещается вредоносный контент, с целью замаскировать трафик от вредоносных доменов под пакеты, доставляемые с легитимных сайтов. Использование IDN для маскировки сервера — одна из популярных тактик, используемых злоумышленниками в фишинговых кампаниях.

Поскольку существуют определенные символы, которые могут казаться одинаковыми, но иметь разные коды ASCII (например, «а» в кириллице и латинская буква «а»), злоумышленник может «подделать» URL-адрес web-страницы. Вместо перехода на легитимный сайт пользователя могут перенаправить на вредоносный портал, идентичный реальному. Таким образом преступники могут собирать личную или финансовую информацию, а затем использовать и/или продавать ее.

Одной из отличительных возможностей скиммера, используемого в новых атаках Magecart, является возможность автоматически изменять свое поведение, если сайт открывается в браузерах Google Chrome или Mozilla Firefox. В таком случае во избежание обнаружения скиммер не будет отправлять собранные данные на C&C-сервер.

Скрипт скиммера Magecart также поддерживает десятки платежных шлюзов, что указывает на тщательную подготовку преступников к этой кампании, отмечают специалисты Sucuri.

 

Темы:GoogleдоменыПреступленияMagecart
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...