Веб-скиммер ворует данные карт, уже украденные другими преступниками

Специалисты Malwarebytes обнаружили интересный MageCart-скрипт (веб-скиммер), который не просто заражает интернет-магазины и похищает данные банковских карт их посетителей, но паразитирует на малвари других хакеров.

Напомню, что изначально название MageCart было присвоено одной хак-группе, которая первой начала внедрять веб-скиммеры (вредоносные JavaScript) на страницы интернет-магазинов для хищения данных банковских карт. Но такой подход оказался настолько успешным, что у группировки вскоре появились многочисленные подражатели, а название MageCart стало нарицательным, и теперь им обозначают целый класс подобных атак.

Исследователи обнаружил новый скиммер, когда расследовали волну взломов интернет-магазинов, работающих под управлением устаревшей Magento 1. Хотя само по себе присутствие малвари на таких сайтах неудивительно, интересным оказался заразивший их вредонос.

Одним из пострадавших от этих атак стала компания Costway, использовавшая Magento 1 для своих интернет-магазинов во Франции, Великобритании, Германии и Испании.

То есть первая хак-группа взломала сайты компании и внедрила них поддельные платежные формы, ворующие финансовые данные покупателей. Вторая хак-группа дополнительно загрузила на эти сайты собственные кастомные веб-скиммеры с домена securityxx[.]top. Так, один скрипт собирает данные из уже существующего скиммера первой группировки, а второй активируется лишь в том случае, если магазин был очищен от малвари, введенной во время изначального взлома Magento 1.

Таким образом, две хакерские группировки внедрили на сайты взломанных магазинов три разных MageCart-скрипта. Исследователи отмечают, что такие ситуации не редкость и MageCart-группировки нередко конкурируют между собой, уничтожая или пытаясь использоваться малварь своих «коллег по цеху».

Источник: https://xakep.ru/2021/02/03/skimming-wars/