Скиммеры используют Telegram в качестве канала для отправки украденных данных

Скиммеры используют Telegram в качестве канала для отправки украденных данных

ИБ-эксперты впервые столкнулись с подобной практикой.

Специалисты в области кибербезопасности заметили новый поворот в деятельности киберпреступников, связанных с так называемыми операциями Magecart - атаками, направленными на хищение платежных данных клиентов интернет-магазинов. Теперь злоумышленники используют зашифрованный мессенджер Telegram в качестве канала для отправки похищенных данных кредитных карт на управляющие серверы.

Новый метод был обнаружен ИБ-экспертом, известным как Affable Kraut, в ходе анализа вредоносного скрипта JavaScript, представляющего собой цифровой скиммер. Данный скрипт собирает данные из полей ввода и отправляет их в закрытый Telegram-канал. Вся информация отправляется в зашифрованном виде, затем Telegram-бот публикует ее в чате. Хотя этот метод весьма эффективен в плане эксфильтрации данных, он не слишком надежный, поскольку любой человек, владеющий токеном для доступа к Telegram-боту может перехватить контроль над процессом.

По словам специалиста компании Malwarebytes Жерома Сегуры (Jérôme Segura), также изучившего скиммер, идентификатор бота, Telegram-канал и запросы API закодированы с помощью алгоритма Base64. Весь процесс операции продемонстрирован на изображении ниже.


Как отмечается, извлечение данных начинается только в том случае «если текущий URL в браузере содержит ключевое слово, указывающее на торговую площадку и когда пользователь подтверждает покупку». Затем платежные данные отправляются как легитимному процессору платежей, так и киберпреступникам. Данный механизм позволяет обойтись без инфраструктуры для извлечения данных, которая может быть заблокирована защитными решениями или отключена правоохранительными органами.

Более того, говорит Сегура, обеспечить защиту от данного скиммера - нелегкая задача. Блокировка подключения к Telegram станет только временным решением проблемы, поскольку злоумышленники могут воспользоваться и другими легитимными сервисами, позволяющими скрыть процесс извлечения данных.


Internet Archive увидел мрачное будущее интернета в 2046, хакеры слили данные о заработках в Twitch, Conti встали на тропу войны, а США готовятся к ежедневной борьбе с кибервымогателями. И как всегда еженедельные конкурсы с крутыми призами для подписчиков канала! Смотрите 35-й выпуск наших новостей.