Расследованием занимались специалисты из Cyble.
https://www.securitylab.ru/upload/ib...ve1w4w71ya.jpg
Расследование началось после того, как специалисты увидели сообщение в Twitter , в котором говорилось о новом JavaScript-скиммере, разработанном группировкой Magecart и используемом для атак на сайты онлайн-магазина Magneto.
В ходе атак на Magneto хакеры пытаются использовать уязвимости в популярной CMS, чтобы получить доступ к исходному коду сайта и внедрить вредоносный JavaScript-код, который предназначен для перехвата платежных данных (имя владельца кредитной/дебетовой карты, номер кредитной/дебетовой карты, CVV-номер и срок действия) из платежных форм и страниц оформления заказа. Вредоносный код также выполняет некоторые проверки, чтобы определить, что данные находятся в правильном формате.
В случае, который обнаружили исследователи, когда пользователь заходит на взломанный сайт, скиммер загружает накладку на форму для сбора платежной информации.
https://www.securitylab.ru/upload/im...t-img(364).png
Накладка, создаваемая скиммером
Как только жертва вводит свои платежные данные в форму, JavaScript-файл собирает их, а затем, используя метод POST, отправляет собранные данные в формате Base64 на нужный URL-адрес. Кроме того, эксперты из Cyble заметили, что скиммер проверяет, открыты ли инструменты разработчика браузера, чтобы оставаться незаметным.
Подводя итоги, специалисты порекомендовали пользователям быть бдительными во время покупок в интернете и использовать только надежные онлайн-магазины.