Веб-скиммеры атакуют WooCommerce и Stripe через сайты

Кардеры смещают фокус на реальные интернет-магазины: Magecart-атаки становятся сложнее и незаметнее

Последние тенденции в области киберкриминала показывают заметный сдвиг: кардеры всё чаще отказываются от классических фишинговых схем в пользу прямого компрометирования легитимных интернет-магазинов. Такой подход позволяет злоумышленникам получать реальные данные карт в момент настоящих транзакций, не вызывая подозрений у клиентов и продавцов.

Недавний анализ был посвящён высокообфусцированному JavaScript-скиммеру, применённому против магазина на платформе WooCommerce. В отличие от традиционного фишинга, вредоносный код встраивается непосредственно в процесс оплаты и ищет на странице элементы Stripe, после чего подменяет их поддельной формой ввода, визуально неотличимой от легитимного платёжного интерфейса.

Как работает атака

Подобная техника является характерной чертой модели Magecart, при которой злоумышленники эксплуатируют доверие пользователей к самому сайту, а не пытаются перенаправить их на стороннюю страницу. Это существенно усложняет обнаружение атаки.

Скиммер способен проверять данные карты в реальном времени, используя такие методы, как:

• определение бренда карты;
• валидация по алгоритму Луна;
• сбор номера карты, даты истечения срока действия и CVV;
• кодирование похищенной информации для обхода обнаружения;
• эксфильтрация данных на конечную точку, контролируемую злоумышленником.

В результате вредоносная операция может выглядеть как обычная легитимная транзакция, а клиент и продавец не замечают аномалий.

Как злоумышленники получают доступ

Первоначальный доступ к инфраструктуре интернет-магазина обычно достигается через:

• уязвимости в устаревших плагинах или темах;
• слабые учетные данные администратора;
• известные уязвимости безопасности CMS.

После проникновения атакующие устанавливают Веб-шелл, который позволяет закрепиться в системе и внедрять бэкдоры. Именно они обеспечивают выполнение кода скиммера в процессе оформления заказа.

Почему атака опасна

Главная проблема таких кампаний заключается в том, что скиммер работает в момент настоящей оплаты. Пока пользователь завершает покупку, вредоносный код незаметно перехватывает и передаёт конфиденциальные данные. Это делает атаку особенно коварной: внешне всё выглядит как обычный checkout-процесс.

«Независимо от того, какой платежный процессор используется, принципы атаки — первоначальный доступ, закрепление и эксфильтрация — остаются неизменными», следует из анализа.

Меры защиты

Эксперты подчёркивают, что защита от этого класса угроз требует комплексного подхода. Среди ключевых мер:

• внедрение Content Security Policies для ограничения источников загрузки скриптов;
• использование Subresource Integrity для проверки сторонних скриптов;
• мониторинг целостности на стороне клиента для выявления несанкционированных изменений на странице оформления заказа;
• регулярные проверки базы данных;
• анализ аномалий в работе платежного процесса;
• управление учетными данными и своевременное обновление базовых систем;
• обеспечение соответствия требованиям PCI DSS.

Специалисты отдельно отмечают, что необходимо не только удалять вредоносный код, но и усиливать общую защиту среды электронной коммерции. В противном случае даже хорошо защищённый на первый взгляд интернет-магазин может оказаться уязвимым для скрытого скимминга.

Вывод

Эволюция стратегий кардинга показывает, что злоумышленники всё активнее делают ставку на компрометацию реальных платформ электронной коммерции. Это означает, что защита платёжных процессов должна строиться на нескольких уровнях — от безопасности инфраструктуры до контроля целостности клиентской стороны.

Для онлайн-продавцов это сигнал к усилению бдительности: угрозы становятся более изощрёнными, а значит, и подход к кибербезопасности должен быть более системным и жёстким.