Аналитики компании Silent Push, специализирующейся на превентивной киберзащите, раскрыли масштабную сеть вредоносных доменов, связанных с долгосрочной кампанией по хищению платёжных данных, известной под общим названием Magecart. Согласно исследованию, активность злоумышленников, нацеленных на клиентов крупнейших платёжных систем, фиксируется с начала 2022 года и продолжается в настоящее время.
Описание
Суть угрозы: как работает цифровой скимминг
Кампания использует технику веб-скимминга - внедрения вредоносного кода, обычно на JavaScript, на легитимные сайты электронной коммерции. Этот код, работающий на стороне клиента, незаметно перехватывает данные банковских карт и личную информацию покупателей в момент оформления заказа. Впоследствии украденные данные используются для мошеннических операций или продаются на теневых форумах.
Изначально термин Magecart относился к группам, атакующим онлайн-магазины на платформе Magento. Однако со временем он стал общим обозначением для всего класса атак, связанных с хищением данных из веб-форм, независимо от используемой платформы или конкретной преступной группы.
Цели и масштаб атаки
В фокусе злоумышленников оказались данные карт, обслуживаемых глобальными платёжными сетями, включая American Express, Diners Club, Discover, JCB, Mastercard и UnionPay. Таким образом, под угрозой находятся покупатели по всему миру, а также сами интернет-магазины, чьи сайты оказались скомпрометированы, и их платёжные провайдеры.
Расследование началось с анализа домена "cdn-cookie[.]com", который использовался для размещения обфусцированных скриптов. Этот домен был зарегистрирован на IP-адрес, принадлежащий европейскому хостеру PQ.Hosting/Stark Industries, также известному как THE.Hosting/WorkTitans B.V., который находится под санкциями. Дальнейший анализ позволил выявить целую инфраструктуру, связанную с кампанией.
Используя собственную платформу Silent Push, эксперты установили, что вредоносный код с домена "cdn-cookie[.]com" загружался более чем десятком различных, на первый взгляд, не связанных между собой сайтов. Примечательно, что большинство из них оказались интернет-магазинами. На одном из таких скомпрометированных сайтов, "colunexshop[.]com", исследователям удалось детально изучить механизм работы скиммера.
Сложный механизм обмана
Анализ показал, что вредоносный скрипт применяет целый ряд изощрённых техник для маскировки и повышения эффективности. Код активно использует обфускацию, динамическое создание строк и самовыполняющиеся функции. Его ключевой особенностью является использование механизма MutationObserver в JavaScript, который отслеживает любые изменения в структуре веб-страницы (DOM). Это позволяет скиммеру повторно активироваться при модификации страницы, например, в процессе заполнения формы.
Перед началом своей основной работы скрипт проверяет наличие на странице элемента административной панели WordPress ("wpadminbar"). Если он обнаружен, что указывает на возможное присутствие администратора сайта, вредоносный код самоуничтожается. Этот приём повышает скрытность атаки, позволяя ей долгое время оставаться незамеченной владельцами ресурса.
Основная логика атаки разворачивается на странице оформления заказа. Скиммер определяет, использует ли магазин платёжную систему Stripe. В случае положительного ответа, он скрывает легитимную платёжную форму и заменяет её на внешне идентичную, но контролируемую злоумышленниками подделку, размещённую внутри iframe.
Фальшивая форма обладает высокой степенью правдоподобия: она автоматически определяет тип карты (Visa, Mastercard, American Express и другие) по введённому номеру и отображает соответствующий логотип, форматирует номер и срок действия, а также проводит базовую валидацию введённых данных. Это создаёт у жертвы полное ощущение легитимности процесса.
Сбор и утечка данных
Скиммер перехватывает не только данные карты, но и всю информацию, вводимую в форму оформления заказа: имя, адрес, email и телефон. Когда пользователь нажимает кнопку оплаты, все собранные данные шифруются с помощью XOR с ключом «777», кодируются в Base64 и отправляются методом POST на сервер злоумышленников по адресу "lasorie[.]com/api/add".
После успешной отправки данных скрипт совершает финальный обманный манёвр: он удаляет фальшивую платёжную форму, снова отображает оригинальную форму Stripe и имитирует клик по кнопке оплаты. Поскольку данные карты были введены в поддельную форму, легитимный платёжный процесс не инициирован, и пользователь видит ошибку. Как правило, покупатель думает, что просто допустил опечатку, вводит данные повторно - на этот раз уже в настоящую форму - и успешно завершает транзакцию, не подозревая об утечке.
Рекомендации по защите
Эксперты Silent Push дали рекомендации для обеих сторон. Владельцам интернет-магазинов следует внедрять политику безопасности контента (Content Security Policy, CSP) для контроля загружаемых ресурсов, строго соблюдать стандарт безопасности индустрии платёжных карт (PCI DSS), своевременно обновлять системы и плагины, а также периодически проверять свои сайты в режиме инкогнито, чтобы обойти возможные механизмы скрытия угроз от администраторов.
Потребителям рекомендуется совершать покупки только на проверенных площадках, скептически относиться к подозрительно низким ценам, регулярно проверять выписки по картам и быть внимательными к неожиданным ошибкам на этапе оплаты. Использование защитных расширений для браузера также может помочь в блокировке известных вредоносных скриптов.
Аналитики подчёркивают, что Magecart остаётся активной и долгосрочной угрозой для глобальной электронной коммерции. Они продолжат отслеживание этой и подобных кампаний, ожидая дальнейшей эволюции методов обфускации и доставки вредоносного кода.
Индикаторы компрометации
Domains
- cdn-cookie.com
- lasorie.com
