Во взломанные интернет-магазины были внедрены скиммеры, скрывающиеся вокруг скрипта Google Tag Manager. Специалисты Malwarebytes стали называть этот новый скиммер "Kritec" в честь одного из его доменных имен. У него интересный способ загрузки вредоносного JavaScript, который они также не встречали ранее. Внедренный код вызывает первый домен и генерирует ответ Base64. Декодирование ответа показывает URL-адрес, указывающий на фактический код скимминга, который сильно обфусцирован.
Indicators of Compromise
Domains
- accotech.quest
- apexit.yachts
- bereelec.quest
- cloud-cdn.org
- cloveselec.quest
- defimob.bar
- entrydelt.sbs
- flagmob.quest
- flowit.pics
- gemdigit.pics
- gretit.yachts
- klstech.shop
- kouelec.cyou
- kritec.pics
- kruktech.shop
- lavutele.yachts
- ledeehub.shop
- nebiltech.shop
- nevomob.quest
- nujtec.shop
- oumymob.shop
- paunit.pics
- pracelec.yachts
- prijetech.shop
- regtech.sbs
- rithdigit.cyou
- sanpatech.shop
- screenmet.sbs
- shokomob.sbs
- shotsmob.sbs
- smestech.shop
- sorotele.yachts
- tochdigital.pics
- ukatec.pics
- vitalmob.pics
- vuroselec.quest