WebSocket-бэкдор для скимминга кредитных карт: новая волна атак на интернет-магазины

Принцип работы вредоносной схемы выглядит следующим образом. На страницу интернет-магазина попадает замаскированный JavaScript-код. Он устанавливает WebSocket-соединение с C2-сервером. Затем через этот канал загружается полезная нагрузка - скиммер, который перехватывает поля ввода данных банковских карт. Как только покупатель вводит номер карты, срок действия и CVV-код, эта информация немедленно отправляется обратно на C2 через то же WebSocket-соединение. Использование именно WebSocket позволяет атакующим обойти многие традиционные средства защиты, так как трафик выглядит как легитимное обновление страницы.

Исследователи обнаружили что инфраструктура кампании построена на сочетании выделенных серверов и прокси-сетей. Например, командные домены lgstd[.]net, lgstd[.]ws и stores-content[.]com размещены на сервере с IP-адресом 45.227.255[.]221. Другая группа - logstash[.]in, logstorage[.]in, siteimproveanalytic[.]net - работает на сервере 5.188.86[.]202. При этом часть C2-адресов, таких как astryxrix[.]com, iconstaff[.]top и nexorxwa[.]com, использует прокси-сервисы Cloudflare, что дополнительно затрудняет блокировку. Мониторинг этих IP на предмет появления новых доменов может помочь выявить будущие атаки той же группы.

Чтобы скрыть вредоносную активность, преступники применяют несколько тем маскировки. Они подделывают доменные имена, похожие на популярные сервисы. Среди них - имитация JavaScript-фреймворков (jqueryuslibs[.]com, jqueurystatic[.]xyz), подмена CDN-площадок и статических хранилищ (frontstatics.com, api-statics.com), а также копирование систем мониторинга и аналитики (js-agentnewrelic[.]com, hexaqon-analytics[.]com). Отдельно выделяются домены, мимикрирующие под сайты поддержки инфраструктуры (sitesupport.vip, store-content.net). Кроме того, злоумышленники активно используют тайпсквоттинг - регистрацию доменов, визуально неотличимых от известных брендов. Например, gstatlc[.]org выдает себя за gstatic, а js-agentnewrelic[.]com - за настоящий сервис New Relic.

Ещё один характерный признак кампании - массовая регистрация доменов небольшими партиями в один день. Так, logstash[.]in и logstorage[.]in появились 19 февраля 2025 года, а qetbootstrap[.]com, bootstrapcda[.]com и sitesocket[.]store - 1 мая 2025 года. Все они имеют схожие отпечатки NS-серверов (имена DNS-серверов, отвечающих за преобразование доменных имён в IP-адреса). Если службы безопасности научатся отслеживать такие групповые регистрации с одинаковыми паттернами, они смогут заранее выявлять новые домены командных центров.

Последствия успешных атак для бизнеса очевидны. Утечка платёжных данных клиентов грозит не только финансовыми потерями, но и репутационным ущербом, а также судебными исками со стороны банков и регуляторов. Для конечных пользователей это означает риск несанкционированных списаний и необходимость блокировки карт. При этом сам факт кражи может оставаться незамеченным неделями, пока данные не начнут использовать.

Что могут сделать специалисты по безопасности? В первую очередь стоит обратить внимание на мониторинг входящих WebSocket-соединений на легитимных страницах оплаты. Необычные запросы к незнакомым доменам - серьёзный повод для проверки. Также полезно регулярно сканировать код страниц на предмет обфусцированных скриптов и сравнивать контрольные суммы загружаемых файлов с эталонными. Фильтрация на уровне межсетевого экрана по спискам известных вредоносных IP и доменов, в том числе из этого отчёта, поможет снизить риск.

Кампания, обнаруженная в начале мая 2026 года, демонстрирует эволюцию методов кражи данных через веб-приложения. WebSocket-бэкдоры становятся всё более популярным инструментом у злоумышленников, поскольку они позволяют обходить классические сигнатурные детекторы. Владельцам интернет-магазинов следует усилить защиту клиентской части сайта и уделить особое внимание анализу сетевого трафика на стороне сервера. Только комплексный подход - сочетание проактивного мониторинга, регулярных аудитов кода и обучения персонала - способен противостоять таким скрытым угрозам.

Domains

• api-statics.com
• astryxrix.com
• beuatyplussalon.com
• bootstrapcda.com
• bootstrapcmd.com
• bootstrapgui.com
• deliastamaels.com
• ebatkopat.click
• esicm.biz
• fallodick87-78.sbs
• fontspace.us
• frontstatics.com
• gatetpere.space
• gstatlc.org
• hexaqon-analytics.com
• iconstaff.top
• jonnienesimy.online
• jqueryuslibs.com
• jqueurystatic.xyz
• js-agentnewrelic.com
• lgstd.net
• lgstd.ws
• logstash.in
• logstorage.in
• mxlclinfo.com
• nexorxwa.com
• onelitteday.com
• ppheaimondon.store
• prosoucediesel.com
• qetbootstrap.com
• redfromscalamandre.info
• restratmed.com
• siteanallizations.com
• siteimproveanalytic.net
• sitesocket.store
• sitesupport.vip
• store-content.net
• stores-content.com
• usps-trackin.us
• west-report.com