Работает даже при белом списке
Image

MAX. SecurityLab. Белый список. Ваш сисадмин ничего не запретит — и это его будет бесить

Мы пишем про взломы, утечки и катастрофы — и делаем это лучше всех. Скромно, но это правда. Проверьте сами, вам несложно.

Карты, деньги, два звонка. Технология для видеозвонков теперь помогает грабить интернет-магазины

leer en español

8007
Sansec WebRTC скиммер PolyShell уязвимость
Карты, деньги, два звонка. Технология для видеозвонков теперь помогает грабить интернет-магазины
Sansec WebRTC скиммер PolyShell уязвимость

Хакеры нашли дыру в защите, которую никто не додумался закрыть.

image

Киберпреступники нашли новый способ красть данные банковских карт, который проходит мимо привычных защитных механизмов интернет-магазинов. На этот раз под удар попал автопроизводитель с оборотом свыше 100 млрд долларов, а вредоносный код оказался куда изощрённее обычных «скиммеров».

Компания Sansec обнаружила вредоносный скрипт, который собирает платежные данные с сайтов и передает их злоумышленникам необычным способом. Вместо стандартных запросов через веб-протокол или скрытых изображений злоумышленники задействовали технологию WebRTC, обычно используемую для видеосвязи прямо в браузере.

Главная особенность атаки в том, как именно передается вредоносная нагрузка и украденные данные. Скрипт устанавливает прямое соединение с сервером злоумышленников через WebRTC и получает оттуда дополнительный код. Затем тот же канал используют для отправки похищенной информации. Подобную схему ранее не фиксировали.

Атака позволяет обойти политику безопасности содержимого, которая ограничивает сетевые запросы браузера. WebRTC работает вне этих ограничений, поэтому даже строго настроенные сайты остаются уязвимыми. Дополнительно усложняется обнаружение, поскольку трафик передается в зашифрованном виде по протоколу, не связанному с обычными веб-запросами. Средства защиты, анализирующие только веб-трафик, попросту не видят утечку.

Сам вредоносный код запускается автоматически при загрузке страницы. Он устанавливает соединение с заранее заданным IP-адресом, получает фрагменты кода и собирает их в единый скрипт. После этого скрипт внедряется в страницу, причем злоумышленники предусмотрели обход защитных механизмов браузера. Например, вредоносный код ищет специальные метки в легитимных скриптах страницы и использует их, чтобы обойти ограничения на выполнение кода.

Судя по времени атаки, злоумышленники могли получить доступ к сайту через уязвимость PolyShell. Массовая эксплуатация этой проблемы началась 19 марта, и сейчас она затрагивает более половины уязвимых интернет-магазинов. Уязвимость позволяет загружать файлы на сервер без авторизации, а исправления для рабочих систем до сих пор нет.

Атака на автопроизводителя стала частью более широкой волны взломов. За последние два месяца вредоносные скиммеры нашли как минимум в пяти крупных компаниях, включая один из крупнейших банков США и международную сеть супермаркетов.