СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
24.04.2025
#ИБ

Атака веб-скимминга: угроза для организаций Caritas Spain

Атака веб-скимминга: угроза для организаций Caritas Spain

Источник: jscrambler.com

Недавнее расследование, проведенное компанией Jscrambler, выявило сложную кампанию веб-скимминга, которая успешно проникла на несколько веб-сайтов, управляемых Caritas Spain, некоммерческой организацией, входящей в Международную конфедерацию Каритас. Эта атака нацелена на семнадцать сайтов с поддержкой WooCommerce, и использует двухэтапный процесс атаки, направленный на избегание обнаружения и захват конфиденциальных платежных данных.

Методы атаки

Кампания отражает растущую тенденцию среди хакеров, поскольку модульные наборы позволяют злоумышленникам адаптировать методы доставки, поддерживать каналы связи и использовать различные комбинации скриптов загрузки и скиммера.

Этапы реализации атаки:

  • Внедрение загрузчика: Атака началась с механизма загрузки, незаметно встроенного в уменьшенный файл JavaScript. Этот загрузчик выполнял несколько ключевых действий, включая очистку определённых ключей из локального хранилища.
  • Проверка существующих скиммеров: Для предотвращения повторного заражения был произведён контроль за уже установленными скиммерами.
  • Динамическое построение URL: Загрузчик создавал URL-адрес для отправки POST-запроса.
  • Сбор конфиденциальной информации: Поддельная форма оплаты была наложена на законную, и вся собранная информация, такая как имена владельцев карт, номера телефонов и CVV-коды, отправлялась на скрытую конечную точку с использованием схемы кодирования base64.

Адаптивность злоумышленников

Кампания, впервые обнаруженная в марте 2025 года, продемонстрировала гибкость хакеров, которые адаптировали свою инфраструктуру, когда некоторые домены отключались. Этот процесс был эффективен благодаря использованию обширного диапазона из 61 домена, главным образом размещённых под одним и тем же IP-адресом.

Ключевые моменты:

  • Удаление отдельных доменов неэффективно; целенаправленное уничтожение IP-адреса может быть более действенным.
  • На других сайте-мишенях отмечались вариации в методах внедрения скриптов и обфускации, что указывает на разнообразие подходов у злоумышленников.
  • Некоторые загрузчики использовали законные сервисы, такие как Google Tag Manager, для маскировки своих злонамеренных действий.

Текущая ситуация

По состоянию на середину апреля 2025 года Jscrambler сообщила о прекращении активности по скиммингу на этих сайтах, однако остается неясным, сохраняют ли хакеры доступ к ним.

Выводы

Этот инцидент подчеркивает универсальную угрозу веб-скимминга и указывает на то, что мишенью может стать любая организация, обрабатывающая данные о держателях карт. Автоматизация операций скимминга, от заражения до проверки и использования украденных данных, иллюстрирует прибыльность этого подхода для киберпреступников и подчеркивает необходимость обеспечения целостности всех элементов, с которыми сталкиваются пользователи на веб-сайтах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: