Волшебная тележка возит французов за нос, подменяя формы оплаты в онлайн-магазинах

скимминг скиммер Франция Magecart Malwarebytes Google Tag Manager cookie
Волшебная тележка возит французов за нос, подменяя формы оплаты в онлайн-магазинах
скимминг скиммер Франция Magecart Malwarebytes Google Tag Manager cookie

В ходе кампании Magecart хакеры подделывают страницы оформления заказа и воруют данные карты.

image

Специалисты компании Malwarebytes сообщают , что в ходе продолжающейся кампании Magecart злоумышленники используют поддельные страницы оформления заказа для сбора конфиденциальных данных пользователей.

Киберпреступники использовали настоящие логотипы скомпрометированного магазина и настроили модальное окно, чтобы полностью взломать страницу оформления заказа. Примечательно то, что скиммер выглядит более аутентично, чем исходная платежная страница.

Термин Magecart является универсальным и относится к нескольким группам киберпреступников, которые используют методы онлайн-скимминга для кражи личных данных с веб-сайтов — чаще всего, сведений о клиентах и ​​платежной информации на сайтах электронной коммерции.

Обнаруженная кампания, нацеленная на неназванный французский онлайн-магазин аксессуаров для путешествий, работающем на PrestaShop CMS, использовала скиммер под названием «Kritec» для перехвата процесса оформления заказа и отображения поддельного диалогового окна оплаты для жертв. Kritec выдавал себя за Google Tag Manager, чтобы не вызвать подозрений и избежать обнаружения.

Код скиммера сильно обфусцирован, а вредоносный режим загружается только, когда жертва на скомпрометированном сайте выбирает платёжную карту в качестве способа оплаты. Как только данные карты собраны, жертве на короткое время отображается поддельное сообщение об отмене платежа, а затем пользователь перенаправляется на реальную платежную страницу, после чего платеж успешно совершается.

Поддельная (слева) и легитимная (справа) формы оплаты

Кроме того, скиммер доставляет cookie-файл, чтобы текущая сессия была помечена как завершенная. Если пользователь вернется и попытается совершить платеж еще раз, вредоносное модальное окно больше не будет отображаться.

Утверждается, что субъекты угрозы, стоящие за этой операцией, используют разные домены для размещения скиммера, которым даны похожие имена: «[имя магазина]-loader.js». Это позволяет предположить, что модальные окна настраиваются индивидуально под каждый атакуемый интернет-магазин.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Новости по теме

Сисадмины в опасности: PuTTY и FileZilla как начальный вектор компрометации

«Хорошо посмеялся»‎: крупнейшая утечка данных в истории Франции

Cookie больше не воруют: новая функция Google Chrome разрушила бизнес хакеров

Масштабная кибератака вывела из строя госслужбы Франции

Le Slip Français: кибербандиты копаются в нижнем белье французов

Meta Pixel: полезный инструмент веб-аналитики или ловушка для вашего кошелька?

Французское правительство пострадало от кибератак «беспрецедентной интенсивности»

Кибертерроризм в больнице: французы лишились врачей из-за хакеров

RisePro, RedLine, StealC: самые распространенные инфостилеры 2024 года