✔Magecart-группировки извлекают данные ворованных карт через Telegram-каналы - «Новости»

04 сентября 2020 736 Новости 0

Хакинг для новичков

Содержание выпуска

Подписка на «Хакер»

ИБ-специалист, известный под псевдонимом Affable Kraut, обнаружил, что операторы веб-скиммеров стали использовать Telegram-каналы для извлечения похищенных у пользователей данных. К такому выводу он пришел, опираясь на информацию, полученную компанией Sansec, которая специализируется на борьбе с цифровым скиммингом и Magecart-атаками.

Напомню, что изначально название MageCart было присвоено одной хак-группе, которая первой начала внедрять веб-скиммеры (вредоносные jаvascript) на страницы интернет-магазинов для хищения данных банковских карт. Но такой подход оказался настолько успешным, что у группировки вскоре появились многочисленные подражатели, а название MageCart стало нарицательным, и теперь им обозначают целый класс подобных атак. И если в 2018 году исследователи RiskIQ идентифицировали 12 таких группировок, то уже к концу 2019 года, по данным IBM, их насчитывалось уже около 40.

Исследователь изучил один из таких вредоносных jаvascript и заметил, что тот собирает все данные из заполненных жертвами полей ввода и отправляет их в Telegram.

Вся передаваемая информация зашифрована с использованием публичного ключа, и получив ее, специальный Telegram-бот отправляет украденные данные в чат в виде обыкновенных сообщений.

Affable Kraut отмечает, что этот метод кражи данных, судя по всему, весьма эффективен, но имеет существенный минус: любой, у кого есть токен для Telegram- бота, может взять процесс под свой контроль.

Главный исследователь из компании Malwarebytes, Джером Сегура, тоже заинтересовался данным скриптом, а изучив его, сообщил, что автор этого веб-скиммера использовал простую Base64 для ID бота, канала Telegram и запросам API. Ниже можно увидеть схему, оставленную Сегурой и описывающую весь процесс атаки.

Исследователь отмечает, что кража данных происходит лишь в том случае, если текущий URL-адрес в браузере содержит одно из ключевых слов, указывающее на то, что это интернет-магазин, и лишь когда пользователь подтверждает покупку. После этого платежные реквизиты будут отправлены как обработчику платежей, так и киберпреступникам.

Сегура пишет, что такой механизм извлечения данных – это весьма практическое решение, ведь он позволяет злоумышленникам не беспокоиться о создании специальной инфраструктуры для этих целей. Кроме того, защититься от такого варианта скиммера будет непросто. Блокировка Telegram-соединений будет лишь временным решением, так как затем злоумышленники могут начать использовать другой легитимный сервис, который так же будет маскировать «слив» данных.

Источник новости - google.com

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.

Хакинг для новичков Содержание выпуска Подписка на «Хакер» ИБ-специалист, известный под псевдонимом Affable Kraut, обнаружил, что операторы веб-скиммеров стали использовать Telegram-каналы для извлечения похищенных у пользователей данных. К такому выводу он пришел, опираясь на информацию, полученную компанией Sansec, которая специализируется на борьбе с цифровым скиммингом и Magecart-атаками. Напомню, что изначально название MageCart было присвоено одной хак-группе, которая первой начала внедрять веб-скиммеры (вредоносные jаvascript) на страницы интернет-магазинов для хищения данных банковских карт. Но такой подход оказался настолько успешным, что у группировки вскоре появились многочисленные подражатели, а название MageCart стало нарицательным, и теперь им обозначают целый класс подобных атак. И если в 2018 году исследователи RiskIQ идентифицировали 12 таких группировок, то уже к концу 2019 года, по данным IBM, их насчитывалось уже около 40. Исследователь изучил один из таких вредоносных jаvascript и заметил, что тот собирает все данные из заполненных жертвами полей ввода и отправляет их в Telegram. Вся передаваемая информация зашифрована с использованием публичного ключа, и получив ее, специальный Telegram-бот отправляет украденные данные в чат в виде обыкновенных сообщений. Affable Kraut отмечает, что этот метод кражи данных, судя по всему, весьма эффективен, но имеет существенный минус: любой, у кого есть токен для Telegram- бота, может взять процесс под свой контроль. Главный исследователь из компании Malwarebytes, Джером Сегура, тоже заинтересовался данным скриптом, а изучив его, сообщил, что автор этого веб-скиммера использовал простую Base64 для ID бота, канала Telegram и запросам API. Ниже можно увидеть схему, оставленную Сегурой и описывающую весь процесс атаки. Исследователь отмечает, что кража данных происходит лишь в том случае, если текущий URL-адрес в браузере содержит одно из ключевых слов, указывающее на то, что это интернет-магазин, и лишь когда пользователь подтверждает покупку. После этого платежные реквизиты будут отправлены как обработчику платежей, так и киберпреступникам. Сегура пишет, что такой механизм извлечения данных – это весьма практическое решение, ведь он позволяет злоумышленникам не беспокоиться о создании специальной инфраструктуры для этих целей. Кроме того, защититься от такого варианта скиммера будет непросто. Блокировка Telegram-соединений будет лишь временным решением, так как затем злоумышленники могут начать использовать другой легитимный сервис, который так же будет маскировать «слив» данных. Источник новости - google.com