Новая кампания веб-скимминга использует зараженные сайты для управления атаками

ИБ-специалисты из компании Akamai обнаружили новую кампанию веб-скимминга, которая использует зараженные сайты в качестве серверов управления и контроля (C2-сервер) для атак.

Веб-скиммер — это вредоносный код, встраиваемый в страницы оплаты для кражи личных данных и данных кредитных карт клиентов сайта. Поскольку код выполняется на стороне клиента, злонамеренное поведение не обнаруживается брандмауэрами и другими средствами защиты сервера.

Обнаруженная кампания отличается тем, что она полагается на заражённые легитимные сайты, чтобы трафик выглядел подлинным. Поскольку сайты обычно работают как законные компании, они вызывают меньше подозрений у жертвы. Целевые сайты работают на CMS-системах Magento, WooCommerce, WordPress и Shopify, но содержат ряд уязвимостей.

Некоторые из заражённых сайтов посещают сотни тысяч посетителей в месяц, у которых потенциально могут быть украдены платёжные и личные данные. Особенно учитывая, что кампания проходила незамеченной почти месяц для многих жертв.

В кампании легитимные сайты, которые захвачены для размещения вредоносного кода, работают в качестве C2-сервера злоумышленника. Также вместо того, чтобы напрямую внедрять код в ресурсы сайта, злоумышленники используют небольшие фрагменты кода JavaScript, которые загружают полный вредоносный код с другого зараженного сайта компании, что позволяет хакерам скрывать большую часть вредоносного кода.

Вредоносный код разработан таким образом, чтобы имитировать популярные сервисы типа Google Tag Manager или Facebook* Pixel. Такой метод популярен среди веб-скиммеров, потому что он помогает вредоносному коду «сливаться с окружением», маскируя истинные намерения.

* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.