Исследователи Akamai обнаружили и проанализировали новую продолжающуюся кампанию веб-скеймеров в стиле Magecart, предназначенную для кражи персонально идентифицируемой информации (PII) и данных кредитных карт с веб-сайтов цифровой коммерции.
- Жертвы были выявлены в Северной Америке, Латинской Америке и Европе, и их размеры варьируются. Некоторые жертвы, по оценкам, обслуживают сотни тысяч посетителей в месяц, что потенциально подвергает риску кражи PII и кредитных карт десятков тысяч покупателей, которые могут быть использованы или проданы в темной паутине.
- В ходе кампании злоумышленники используют ряд методов обхода, включая обфускацию Base64 и маскировку атаки под популярные сторонние сервисы, такие как Google Analytics или Google Tag Manager.
- Примечательно, что злоумышленники "взламывают" легитимные веб-сайты для работы в качестве импровизированных командно-контрольных (C2) серверов. Эти "жертвы-хосты" действуют как центры распространения вредоносного кода, неизвестные жертве, эффективно скрывая атаку за легитимным доменом.
- Эта атака использовала Magento, WooCommerce, WordPress и Shopify, демонстрируя растущее разнообразие уязвимостей и злоупотребляемых платформ цифровой коммерции.
Подобные атаки становятся все более уклончивыми, и их трудно обнаружить, поэтому специалистам по безопасности рекомендуется рассмотреть возможность использования инструментов и технологий, обеспечивающих поведенческое и аномальное обнаружение активности внутри браузера.
Indicators of Compromise
Domains
- byvlsa.com
- chatwareopenalgroup.net
