Новости

calendar_today 27.10.2019 10:16

Хакеры использовали поддельные доменные имена для сбора данных

Magecart Hacking Group - это сообщество киберпреступников, которое существует с 2015 года, и ведет активную деятельность уже на протяжении четырех лет. Они представляют собой команду разработчиков вредоносных программ и сценариев, которые направлены на атаку небольших розничных компаний, и интернет-магазинов. В мае Magecart Group успешно внедрила сценарии чтения платежных карт на страницах оформления заказов, в сотнях интернет-магазинов в США и Канаде. А недавно злоумышленники из Magecart, использовали поддельные доменные имена Google для размещения и загрузки сценариев, которые считывали данные кредитных карт при совершении оплаты. Один из владельцев сайта обнаружил это случайно после внесения доменного имени его интернет магазина в черный список службы McAfee SiteAdvisor. В результате тщательного исследования было обнаружено, что виновником стала форма регистрации платежных карт на основе JavaScript. Хакеры использовали IDN для маскировки сервера, на котором размещается вредоносный контент. Это было отвлекающим маневром, во время фишинговых атак. Сайт был заражен вирусом для считывания данных о кредитных картах с использованием JavaScript, который был загружен с поддельного домена google-analytcs. Злоумышленники использовали сценарий document.getElementsByTagName, для захвата любых введенных данных. Особенность вируса заключается в том, что при попытке обнаружения в веб-браузере Chrome или Firefox вредоносная программа автоматически меняет свое поведение. При проверке сценарий перестает отправлять данные, которые он захватывает, на свой сервер управления и контроля, чтобы избежать обнаружения. После того как вирус был обнаружен в скомпрометированном интернет-магазине и проведения тщательного анализа, стало ясно что скрипт с помощью многопоточного загрузчика собрал данные пользователей из более 50 различных платежных систем по всему миру.