По словам директора отдела разведки угроз Malwarebytes Жерома Сегуры, онлайн-преступники продолжают нацеливаться на интернет-магазины с помощью скиммеров информации о кредитных картах, поскольку они представляют собой богатую и легкую добычу.
Сегура сказал ITnews, что поставщик безопасности видит, как около дюжины интернет-магазинов в день взламываются, а платежные реквизиты крадут скиммер.
Недавно он обнаружил скомпрометированный торговый сайт, использующий популярный плагин WooCommerce для WordPress, который имел вредоносный код, добавленный к законному скрипту.
Анализируя код, Malwarebytes обнаружил, что сайт будет загружать favicon.ico-файл с логотипом продавца с сервера, размещенного на компании с физическим адресом в Объединенных Арабских Эмиратах.
Аналитики Malwarebytes обнаружили Javascript-код скиммера, вставленный в заголовки метаданных для favicon.файл изображения ico.
Это не первый случай, когда вредоносный код вводится в поля заголовков файлов изображений, но Malwarebytes считает, что это первый случай, когда этот метод был использован для развертывания скиммера.
Как только Javascript выполнит и захватит данные платежной формы пользователя, такие как имя, платежный адрес и данные кредитной карты, он закодирует украденную информацию с помощью Base64 и отправит данные преступникам в виде файла изображения.
Полный набор инструментов скиммера был оставлен преступниками на скомпрометированном хосте и найден Malwarebytes, который исследовал его и обнаружил связи с группой Magecart.
Magecart-это вредоносная программа-скиммер, которая за последние несколько лет нацелилась на программное обеспечение электронной коммерции Adobe Magento.
Сегура сказал, что независимо от используемой системы управления контентом (CMS) необходимо правильное управление патчами и их упрочнение.
«Большинство инцидентов происходит потому, что известная уязвимость обнаружена и используется», — сказал Сегура.
Хакеры атакуют крупные бренды и небольшие магазины, причем большая часть активности приходится на Соединенные Штаты, но пострадали и другие страны, выяснил Malwarebytes.
Эти атаки имеют финансовую мотивацию, и в основном для выявления уязвимых сайтов используются автоматические сканирования, пояснил Сегура.
«Мы слышали о взломе сайтов в течение многих лет и с различными намерениями.
«Скимминг кредитных карт, вероятно, является одной из самых прибыльных схем прямо сейчас, поэтому злоумышленники тратят больше усилий и внимания на сайты электронной коммерции, а не на другие платформы CMS»,-сказал он.
