В последнее время было обнаружено новое вредоносное ПО, нацеленное на несколько интернет-магазинов, использующих платформу Magento. Злоумышленники внедряют фрагменты кода, называемые цифровыми скиммерами, для кражи номеров кредитных карт, даты истечения срока действия и CVV/CVC при их вводе при покупке в интернет-магазинах.
Magento Skimmer
Во время этой кампании было обнаружено более десяти вредоносных сайтов, созданных злоумышленниками для получения украденных данных. Благодаря этому, более 1,1 тысячи попыток кражи были заблокированы Malwarebytes для пользователей, совершавших покупки в одном из взломанных магазинов.
Технические аспекты этой атаки показали, что скиммеры были внедрены с помощью простого скриптового тега, который загружает содержимое с удаленного сайта. Злоумышленники использовали схожую схему именования для взломанных сайтов. Затем они использовали JavaScript, чтобы передавать информацию с взломанного сайта на свой сервер и сохранять ее в базе данных.
Когда пользователь вводит номер кредитной карты, срок действия и CVC на странице оформления заказа, фальшивый фрейм "Способ оплаты" вставляется на страницу магазина, приоритизируясь перед официальными фреймами платежных процессоров. Таким образом, злоумышленники получают информацию о платежных данных в режиме реального времени.
Indicators of Compromise
Domains
- analytlx.shop
- artvislon.shop
- codcraft.shop
- codemingle.shop
- datawiz.shop
- deslgnpro.shop
- happywave.shop
- luckipath.shop
- pixelsmith.shop
- salesguru.online
- statistall.com
- statlstic.shop
- statmaster.shop
- trendset.website
- vodog.shop
