Злоумышленники внедряют мультишлюзовый скиммер через поддельные домены Google

Одна из киберпреступных группировок Magecart использует поддельные домены Google для размещения и загрузки скиммера с поддержкой нескольких платежных шлюзов. Специалисты из Sucuri провели исследование и обнаружили, что один из web-сайтов был заражен скиммером для хищения данных платежных карт, загружающим JavaScript-код с вредоносного интернационализированного домена google-analytîcs[.]com.

Magecart — термин, объединяющий несколько киберпреступных группировок, специализирующихся на внедрении скриптов для хищения данных банковских карт в платежных формах на сайтах. Они ответственны за атаки на такие компании, как Amerisleep , MyPillow , Ticketmaster , British Airways , OXO и Newegg . Недавно исследователи раскрыли вредоносную кампанию, в ходе которой злоумышленники успешно взломали 962 сайта электронной коммерции.

Злоумышленники используют интернационализованные доменные имена (IDN) для маскировки серверов, на которых размещается вредоносный контент, с целью замаскировать трафик от вредоносных доменов под пакеты, доставляемые с легитимных сайтов. Использование IDN для маскировки сервера — одна из популярных тактик, используемых злоумышленниками в фишинговых кампаниях.

Поскольку существуют определенные символы, которые могут казаться одинаковыми, но иметь разные коды ASCII (например, «а» в кириллице и латинская буква «а»), злоумышленник может «подделать» URL-адрес web-страницы. Вместо перехода на легитимный сайт пользователя могут перенаправить на вредоносный портал, идентичный реальному. Таким образом преступники могут собирать личную или финансовую информацию, а затем использовать и/или продавать ее.

Одной из отличительных возможностей скиммера, используемого в новых атаках Magecart, является возможность автоматически изменять свое поведение, если сайт открывается в браузерах Google Chrome или Mozilla Firefox. В таком случае во избежание обнаружения скиммер не будет отправлять собранные данные на C&C-сервер.

Скрипт скиммера Magecart также поддерживает десятки платежных шлюзов, что указывает на тщательную подготовку преступников к этой кампании, отмечают специалисты Sucuri.