В ходе расследования продолжающейся кампании по скиммингу кредитных карт Magecart мы были почти одурачены платежной формой, которая выглядела настолько хорошо, что мы подумали, что она настоящая. Угрожающий субъект использовал оригинальные логотипы взломанного магазина и настроил веб-элемент, известный как модал, чтобы идеально перехватить страницу оформления заказа.
Хотя техника вставки фреймов или слоев не нова, примечательно то, что модальный элемент выглядит более реалистично, чем оригинальная страница оплаты. Нам удалось обнаружить еще несколько взломанных сайтов с такой же схемой использования мошеннического модала.
Этот скиммер и связанные с ним кампании представляют собой одну из самых активных атак Magecart, которые Malwarebytes отслеживали в последние месяцы.
Malwarebytes обнаружили взломанный веб-сайт парижского магазина туристических принадлежностей, работающий на CMS PrestaShop. Скиммер, который мы ранее идентифицировали как Kritec, был внедрен и загружал вредоносный JavaScript, который изменял процесс оформления заказа.
Indicators of Compromise
IPv4
- 195.242.110.172
- 195.242.110.83
- 195.242.111.146
- 45.88.3.201
- 45.88.3.63
Domains
- daichetmob.sbs
- genlytec.us
- interytec.shop
- pyatiticdigt.shop
- shumtech.shop
- stacstocuh.quest
- zapolmob.sbs