Угрозы печально известны тем, что пытаются скрыть свой код различными способами, от бинарных упаковщиков до обфускаторов. В случае со скиммерами кредитных карт при атаках на стороне клиента обфускаторы являются обычным явлением, поскольку они могут затруднить идентификацию кода. У защитников обычно есть выбор: либо положиться на отладчик браузера и просмотреть код, либо попытаться статически перевернуть его.
Malwarebytes рассматривает скиммер Magecart, использующий Hunter, обфускатор PHP Javascript. В ходе расследования им удалось обнаружить несколько доменов, входящих в одну инфраструктуру с пользовательскими скиммерами для нескольких магазинов Magento.
Indicators of Compromise
IPv4
- 193.201.9.116
Domains
- 1537la.buzz
- 1537li.buzz
- 1537lx.buzz
- 1568la.buzz
- 1568li.buzz
- 1568lx.buzz
- 1599la.buzz
- 1599li.buzz
- 1599lx.buzz
- 1599lz.buzz
- appcloud1.buzz
- appcloud19.buzz
- appcloud2.buzz
- appcloud20.buzz
- appcloud3.buzz
- appcloud5.buzz
- araboxtv.sbs
- blindsmax.sbs
- bubapeq.quest
- dev-extension.cloud
- dev-extension.one
- dev-extension.us
- hedeya.sbs
- inspirefitness.sbs
- motherearthlabs.sbs
- nasaservers.sbs
- newarriwal.quest
- paramountchemicals.sbs
- peqart.sbs
- remediadigital.sbs
- roboshop.sbs
- schmerzfrei-shop.sbs
- swsgswsg.sbs
- thecornerstoreau.sbs
- ultracoolfl.sbs