Аналитики компании Malwarebytes обнаружили и расследовали интересную web-скимминг кампанию, нацеленную на похищение платежных данных. Для этого злоумышленники создали сайт myicons.net, содержащий базу иконок (favicon) известных брендов, который является копией сайта и базы.
Далее в легитимные сайты встраивался код, который являлся ссылкой на иконки с сайта myicons.net, не вызывал особых подозрений и не содержал java-скрипта или подобного нелегитимного действия. Исследователи даже проверили самую скачиваемую иконку Magento на наличие стенографии (сокрытие вредоносного кода в картинке), но картинка оказалась чистой.
Самое интересное было обнаружено в момент перехода пользователя на платежные страницы скомпрометированных ресурсов: там вместо иконки сайт myicons.net передавал уже не картинку PNG, а JavaScript код, который подделывал форму оплаты и передавал все платежные данные на ресурсы злоумышленников, отправляя при этом копию в PayPal, а также копию на страницу оформления заказа, таким образом делая кражу незаметной для пользователя.
Эту атаку эксперты достаточно легко обнаружили на основании данных о сайте myicons.net: его время регистрации буквально от 2020 года, при этом он содержит полную библиотеку картинок, и IP-адреса принадлежат уже скомпрометированной ранее группе адресов.
Полные индикаторы компрометации:
- Skimmer URL, domain, IP and SHA256
myicons[.]net/d/favicon.png
myicons[.]net
83.166.244[.]76
825886fc00bef43b3b7552338617697c4e0bab666812c333afdce36536be3b8e
- Exfiltration domain and IP
psas[.]pw
83.166.242[.]105
Web-скиммеры – относительно новое направление web-атак, которое активно проявилось в 2016–2018 годах и продолжает атаковать пользователей в настоящее время. В 2018 году громкий инцидент web-скимминга был связан с British Airways, когда порядка 380 тысяч данных карт были украдены у пользователей онлайн-ресурса авиакомпании.
Суть атаки заключается в заражении содержимого сайта вредоносным кодом, который подменяет ожидаемые пользователем ресурсы (например платежную страницу) на копию от злоумышленника, которая выполняет два основных действия: отправляет данные платежных документов на ресурсы злоумышленника и отправляет web-форму на зараженный сайт для имитации совершенной покупки, чтобы скрыть следы утечки.
Одна из крупных группировок, производящих такого рода скиммеры – Magecart. Как утверждают специалисты компании RiskIQ, за 10 лет наблюдений им удалось засечь скиммеры Magecart около двух миллионов раз. Всего с августа 2010 года группировке удалось взломать более 18 тысяч хостов. Для управления зловредами преступники используют 573 домена, данные с которых загружают около 10 тысяч хостов.
Для внедрения скриптов используются:
- Рекламные баннеры,
- Иконки (favicon),
- ПО поддержки пользователей (инцидент с Ticketmaster) и др.
Рекомендации экспертов группы компаний Angara по борьбе с такого рода атаками:
- В первую очередь отслеживать исходящий трафик вашего сайта. Если идет поток на известные скомпрометированные ресурсы, как в случае с myicons, то это повод провести расследование и анализ ПО сайта. Оперативный мониторинг с включением Threat Intelligence сервисов и подключением индикаторов компрометации реализуется средствами SIEM-систем или сервиса MSSP SIEM, куда необходимо подключить ваш сайт.
- Регулярно производить анализ кода на включение в него ошибок разработки, уязвимостей и возможно вредоносных включений. Для этого существует отдельный класс решений – сканеры исходного кода.
- Регулярно проверять рабочий сайт средствами внешних сканеров защищенности (сетевые сканеры, сканеры поиска уязвимостей в веб-скриптах, средства поиска эксплоитов, средства автоматизации инъекций и другие).
