В конце мая мы о растущей популярности Web-скимминга, отмеченной многими экспертами наших партнеров. Этот тип атак соответствует своему аналоговому эквиваленту, когда с клавиатуры банкомата с помощью приставленного к ней устройства копируются введенные PIN-коды, и нацелен на кражу платежных данных из онлайн-магазинов и агрегаторов. Также мы упоминали об использовании иконок в качестве заглушек для Web-скиммеров, где скиммер загружался вместе с картинкой с зараженного сайта, но сам по себе был JavaScript кодом.
Злоумышленники становятся все более изобретательными. Найденный экспертами компании Malwarebytes Web-скиммер спрятан уже с помощью одного из методов стеганографии: вредоносный код заключен в метаданных изображения – EXIF metadata.
Он загружался вместе с WooCommerce плагином WordPress – это популярный плагин в сфере онлайн-маркетинга, поэтому он часто подвергается атакам. При загрузке файла логотипа магазина или бренда favicon с перенаправленного сайта cddn[.]site/favicon.ico эксперты заметили, что в поле метаданных ‘Copyright’ вложен вредоносный JavaScrypt код, который, активируясь по системному событию onerror, уже осуществлял кражу платежных данных: имя, адрес доставки, данные кредитной карты. И, что интересно, на ресурс злоумышленника эти данные передавались не просто зашифрованными Base64 и обратным чтением строки, но и как POST request в формате изображения. Собственником скиммера подозревают группировку Magecart, так как множество нюансов указывает на их почерк работы.
Напомним, что свои Web-ресурсы необходимо регулярно сканировать на наличие возможного встроенного вредоносного кода и следов реализованных атак, а также на наличие незакрытых уязвимостей. Для этого используются соответствующие инструменты анализа кода, SIEM, сканеры уязвимостей.
Индикаторы компрометации для описанного web-скиммера указаны ниже.
EXIF skimmers
cddn[.]site
magentorates[.]com
pixasbay[.]com
lebs[.]site
bestcdnforbusiness[.]com
apilivechat[.]com
undecoveria[.]com
wosus[.]site
Older EXIF skimmer
jqueryanalise[.]xyz
jquery-analitycs[.]com
Skimmer #3
xciy[.]net
yxxi[.]net
cxizi[.]net
yzxi[.]net
Other skimmers
sonol[.]site
webtrans[.]site
koinweb[.]site
xoet[.]site
ads-fbstatistic[.]com
bizrateservices[.]com
towbarchat[.]com
teamsystems[.]info
j-queries[.]com
Registrant emails
anya.barber56@gmail[.]com
smithlatrice100@yahoo[.]com
rotrnberg.s4715@gmail[.]com
newserf@mail[.]ru
