Исследователи Jscrambler обнаружили новую скимминговую кампанию, которая привлекла внимание из-за использования обфускации JavaScript. Они установили, что автор просто использовал необычные символы Unicode для идентификаторов, что делает код сложным для чтения, но не является новой техникой обфускации. Команда быстро переименовала идентификаторы в более удобочитаемые, что позволило обнаружить скрытый скиммер, передаваемый в вызов функции eval.
Mongolian Skimmer
Скиммер включал типичные характеристики скимминга, такие как мониторинг изменений в DOM-элементах, сбор данных и отправку на удаленный сервер через отслеживающий пиксель, обнаружение открытых инструментов разработчика браузера и захват последних введенных данных перед закрытием страницы. Скиммер также использовал хорошо известные методы для обеспечения совместимости с различными браузерами и имел механизм для защиты от отладки.
Когда исследователи Jscrambler анализировали переменные в скиммере, они заметили, что одна из них начиналась со странного символа Unicode, называемого "Mongolian Letter OE". Это привело команду к названию скиммера "монгольский скиммер".
Использование обфускации и необычных символов в скиммерах делает их сложными для обнаружения. Однако, с помощью соответствующих инструментов, таких как Jscrambler Code Integrity, исследователи могут быстро обнаружить и анализировать такие скиммеры. Несмотря на использование новых методов обфускации, скиммеры все еще следуют стандартной структуре скимминга и используют известные техники для кражи информации.
Indicators of Compromise
IPv4
- 191.96.56.171
- 198.187.29.127
- 217.21.77.96
- 62.72.7.8
- 82.180.138.247
- 82.197.83.18
- 82.197.83.29
Domains
- cache.cdn-core.com
- common.gifcache.com
- mdn.safecontentdelivery.com
- process.services.bz
- seomgr.com
- stat.mystatpal.com
- widget.statictool.com
- widget.useonline.org