Китайские хакеры уже далеко продвинулись в области кражи платёжных данных.
Исследователи из компании BlackBerry https://blogs.blackberry.com/en/2023...m-apac-to-nala вредоносную операцию, направленную на онлайн-бизнесы и поставщиков услуг с оплатой через платёжные терминалы (PoS). Активность отслеживается под именем «Silent Skimmer» и связана с киберпреступниками, владеющими китайским языком.
«Злоумышленники используют уязвимости веб-приложений, особенно тех, которые размещены на Internet Information Services (IIS)», — сообщает канадская компания. Целью атаки является компрометация страницы оплаты и кража платёжных данных посетителей.
После успешного вторжения в целевые системы хакеры используют различные инструменты для повышения привилегий, последующей эксплуатации и выполнения кода. Данная цепочка атак обычно приводит к развёртыванию PowerShell-трояна для удалённого доступа, который контролирует хост и связывается с удалённым сервером.
Основная цель вторжения, как указано BlackBerry, — проникновение на веб-сервер и установка скрейпера в службе платёжной проверки через веб-оболочку, чтобы тайно перехватывать и сохранять всю финансовую информацию, вводимую жертвами.
Анализ инфраструктуры атакующих показал, что виртуальные частные серверы (VPS), используемые в целях управления и контроля (C2) выбираются злоумышленниками на основе геолокации жертв. Разнообразие целевых отраслей и регионов указывает на то, что кампания носит скорее случайный, чем целенаправленный характер.
В BlackBerry подчёркивают: «Атакующие преимущественно концентрируется на региональных сайтах, которые собирают платёжные данные, используя уязвимости в широко используемых технологиях для получения несанкционированного доступа и извлечения конфиденциальной платёжной информации, введённой или хранящейся на сайте».
Примечательно, что специалисты BlackBerry раскрыли кампанию вскоре после того, как их коллеги из Sophos описали похожую вредоносную операцию с использованием метода Pig Butchering. В этой схеме потенциальные жертвы вовлекались в инвестиции по ложным криптовалютным схемам, «откармливаясь обещаниями» о высокой доходности и быстром выводе средств.
«Для этих мошенничеств даже не требуется вредоносное ПО на устройстве жертвы, только поддельные сайты и социальная инженерия», — заявил Шон Галлахер, исследователь безопасности Sophos.