Группировки Magecart нацелились на маршрутизаторы промышленного класса

Группировки Magecart нацелились на маршрутизаторы промышленного класса

До недавнего времени злоумышленники заражали скиммерами только сайты, но теперь они нацелились на маршрутизаторы.

image

Объединенные под названием Magecart киберпреступные группировки совершенствуют свои атаки таким образом, что их становится все сложнее обнаруживать.

Группировки Magecart занимаются так называемым web-скиммингом – внедряют в сайты интернет-магазинов вредоносный код, похищающий данные банковских карт пользователей. До недавнего времени злоумышленники заражали скрытым в файлах JavaScript или PHP вредоносным ПО только сайты. Однако теперь их атаки перешли на новый уровень, и вместо сайтов киберпреступники стали внедрять код в маршрутизаторы.

Если говорить точнее, группировки Magecart нацелились на маршрутизаторы с функциональностью уровня Layer 7 (L7) – промышленные высокомощные устройства, устанавливаемые в отелях, торговых центрах, аэропортах, правительственных сетях, общественных местах и пр. Данные маршрутизаторы работают как и все остальные, но также способны управлять трафиком на седьмом уровне (уровне приложений) сетевой модели OSI. То есть, они могут реагировать на трафик, основываясь не на одном только IP-адресе, а также на файлах cookie, доменных именах, типах браузера и т.д.

Как сообщают специалисты из IBM X-Force Incident Response and Intelligence Services (IRIS), компрометация маршрутизаторов промышленного класса позволит злоумышленникам использовать их способность манипулировать трафиком для внедрения вредоносных скриптов в активные сеансы браузера.

Выявленные исследователями скрипты предназначены специально для похищения и отправки на удаленный сервер данных банковских карт. Скрипты были обнаружены после того, как злоумышленники загрузили их на VirusTotal, вероятно, с целью проверить, детектируются ли они антивирусными решениями.

Используемые домены и вредоносные коды указывают на то, что новую технику атак тестирует группировка Magecart 5, являющаяся одной из самых «продвинутых» в семействе Magecart.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle