СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
18.04.2025
#ИБ#Инфра

Киберугроза: Атака «веб-скимминга» на онлайн-магазины

Киберугроза: Атака 171веб-скимминга187 на онлайн-магазины

В недавнем отчете о кибератаке был представлен детализированный анализ JavaScript-скрипта, использованного для кражи данных кредитных карт во время онлайн-транзакций на сайте электронной коммерции. Этот вредоносный код относится к категории атак «веб-скимминга» или «Magecart», что подчеркивает серьезность текущей ситуации в сфере кибербезопасности.

Основные моменты атаки

Злоумышленники внедряли вредоносный код в скомпрометированные платформы для перехвата конфиденциальной платежной информации пользователей. Обсуждаемые методы включают:

  • Обфускация кода для обхода мер безопасности;
  • Передача данных кредитных карт на удаленные серверы;
  • Использование вредоносной программы infostealer для получения учетных данных.

Механизм атаки

Злоумышленники получили доступ к серверной части сайта, завладев учетными данными. Процесс кибератаки включал следующие шаги:

  1. Использование infostealer для сбора конфиденциальных данных, таких как пароли и файлы cookie;
  2. Загрузка вредоносного PHP-скрипта, который обеспечивает полный контроль над сервером;
  3. Внедрение вредоносного кода в базу данных, обеспечивающее его постоянное выполнение.

Технические детали вредоносного кода

Злоумышленник использует «загрязнение базы данных» для изменения поведения сайта, внедряя поддельный «тег imager», который напоминает обычные HTML-теги. Это позволяет выполнять вредоносные действия, такие как вызовы сценариев и запросы к серверу, под контролем атакующего.

Стратегии и подходы к нейтрализации

Расследование включает статический анализ захваченного скрипта, что позволяет расшифровать используемые стратегии атаки и разрабатывать эффективные методы устранения последствий. Код использует различные техники обфускации и методы для обработки данных кредитных карт, а также фильтрации конфиденциальной информации.

Заключение

Вредоносный скрипт упаковывает данные, такие как адреса электронной почты и номера банковских карт, в объект «structUserInfo», который затем преобразуется в строку. Фильтрация данных происходит с использованием объектов Image и подключений к веб-сокетам, что позволяет злоумышленникам генерировать уникальные запросы к удаленному серверу. Эта тактика затрудняет обнаружение и повышает вероятность успешной кражи данных.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: