Последен ъпдейт на 4 май 2020 в 11:57 ч.
Агенти от групата Magecart, която специализира в краденето на платежна информация от онлайн магазини, са разработили и използват значително подобрен уеб скимер за целите си.
Изследователите от RiskIQ разкриват, че атакуваните онлайн магазини се използват както за източване на данни, така и като носители на зловредните файлове за друг вид атаки. Анализи показват, че кражбата на данни за платежни средства се случва чрез създаването на iframe елементи, които заместват формата за плащане и събират въведената в нея информация.
Механизмът на работа не е напълно изследван, тъй като технологията използвана от престъпнците, която RiskIQ наричат MakeFrame, е създадена така, че да пречи на лесното разчитане на кода. Освен няколко слоя обфускация (завоалиране с цел прикриване на реалното съдържанието на кода), при форматиране на вече разкритият код (т.нар. beautification), той спира да работи. Това един от примерите, че атаките на Magecart продължават да се усъвършенстват.
Засечени са поне три разновидности на скимера, използвани на общо 19 домейна разкрити досега. Извлечените данни се изпращат към външни сървъри, два от които са идентифицирани като собственост на френската компания Online SAS. RiskIQ отчита и увеличение на обема на атаки към онлайн търговията, най-вероятно поради ръст в онлайн пазаруването, породен от световната пандемия от COVID-19.
Сред най-известните сайтове, засегнати от скимерите на групата, са nutribullet.com, ba.com и tupperware.com.
Повече по темата прочетете тук.