СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
19.09.2025
#Dev#ИБ#Инфра

Расследование Magecart: деобфускация JavaScript и инфраструктура кражи платежных данных

Расследование Magecart: деобфускация JavaScript и инфраструктура кражи платежных данных

Недавнее расследование выявило сложную и выдержанную по времени кампанию в стиле Magecart, цель которой — кража платёжных данных с компрометированных сайтов электронной коммерции. Всё началось с одного твита, упомянувшего возможное участие злоумышленников, нацеленных на cc-analytics.com, что побудило аналитиков к углублённому изучению техники атаки и использованной инфраструктуры.

Как началось расследование

Первичная подсказка пришла из публичного сигнала — твита — с указанием на подозрительную активность, связанную с доменом cc-analytics.com. Это позволило исследователям сосредоточиться на сборе артефактов и создании гипотез о методах внедрения вредоносного JavaScript на страницы магазинов.

Методы деобфускации и технический анализ

Ключевой задачей было разгадать обфусцированные скрипты. Для этого аналитики применяли сочетание ручной отладки и автоматизированных приёмов:

  • В браузерных инструментах разработчика скрипты запускали с префиксом «debugger;» для пошаговой отладки и понимания динамики выполнения кода.
  • Скрипты и строковые литералы, содержащие шестнадцатеричные значения и представления с префиксом x, декодировали с помощью Python, что упростило извлечение реального содержимого и конечных URL.
  • Инструменты вроде UrlScan помогли подтвердить, что обнаруженные скрипты загружаются и указывают на инфраструктуру, контролируемую злоумышленниками.

Особенности внедрения и масштабы компрометации

Расследование показало, что вредоносный JavaScript был внедрён как минимум в две различные области на компрометированных платформах электронной коммерции — что указывает на целенаправленную модификацию клиентской части сайтов для перехвата платёжных данных пользователей.

Инфраструктура злоумышленников и шаблоны доменов

Анализ инфраструктуры выявил характерные закономерности в именовании доменов, используемых злоумышленниками. Чаще всего встречались шаблоны с элементами вроде get*js и *analytics, что свидетельствует о попытках создать видимость легитимных JavaScript- и аналитических подсистем. Такое постоянное переименование и переработка инфраструктуры типичны для операторов, стремящихся сохранить работоспособность операций и избегать обнаружения.

Использование Passive DNS и средств анализа WHOIS позволило расширить список связанных доменов. Выявленные ресурсы демонстрировали устойчивую активность в течение года, что подчёркивает долговременное присутствие злоумышленников «за кулисами» и их способность поддерживать кампанию на протяжении длительного времени.

Инструменты, использованные в расследовании

  • UrlScan — для подтверждения загрузок скриптов и сопоставления HTTP-артефактов;
  • PublicWWW — для поиска вхождений скриптов и шаблонов в публичных копиях сайтов;
  • Passive DNS и WHOIS — для картирования доменной инфраструктуры и установления связей между ресурсами;
  • Python и браузерные DevTools — для декодирования и отладки обфусцированного JavaScript;
  • Дополнительный мониторинг публичных сигналов (включая активность в социальных медиа) — как источник триггеров для дальнейшего анализа.

«Небольшие общественные сигналы, такие как активность в социальных сетях, могут стать ключом к выявлению более масштабных киберугроз.»

Выводы и рекомендации

Расследование демонстрирует несколько важных выводов для экспертов по безопасности и владельцев сайтов электронной коммерции:

  • Публичные индикаторы (твиты, сообщения в форумах, обнаружения в PublicWWW) следует рассматривать как ценные триггеры для начала более глубокого анализа.
  • Регулярный мониторинг ресурсов, загружаемых на страницы оплаты (скриптов, внешних доменов), помогает быстро выявлять инъекции JavaScript.
  • Автоматизированные и ручные методы деобфускации (отладка в DevTools, декодирование с помощью Python) остаются эффективными при анализе сложных скриптов.
  • Использование Passive DNS и WHOIS важно для картирования и блокировки вражеской инфраструктуры; обращайте внимание на шаблоны в именах доменов (get*js, *analytics) как возможный индикатор компрометации.
  • Организациям рекомендуется внедрять контроль целостности клиентских скриптов и ограничивать загрузку внешних ресурсов на страницах с платёжными формами.

В целом, расследование подтверждает, что даже небольшие публичные сигналы могут привести к раскрытию масштабных и длительных кампаний Magecart. Бесплатные инструменты и внимательное сообщество аналитиков способны значительно повысить вероятность обнаружения и нейтрализации таких угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: