Хакеры пользуются доверием компаний для кражи данных их клиентов.
ИБ-специалисты из компании Akamai обнаружили новую кампанию веб-скимминга, которая использует зараженные сайты в качестве серверов управления и контроля (C2-сервер) для атак.
Веб-скиммер — это вредоносный код, встраиваемый в страницы оплаты для кражи личных данных и данных кредитных карт клиентов сайта. Поскольку код выполняется на стороне клиента, злонамеренное поведение не обнаруживается брандмауэрами и другими средствами защиты сервера.
Обнаруженная кампания отличается тем, что она полагается на заражённые легитимные сайты, чтобы трафик выглядел подлинным. Поскольку сайты обычно работают как законные компании, они вызывают меньше подозрений у жертвы. Целевые сайты работают на CMS-системах Magento, WooCommerce, WordPress и Shopify, но содержат ряд уязвимостей.
Некоторые из заражённых сайтов посещают сотни тысяч посетителей в месяц, у которых потенциально могут быть украдены платёжные и личные данные. Особенно учитывая, что кампания проходила незамеченной почти месяц для многих жертв.
В кампании легитимные сайты, которые захвачены для размещения вредоносного кода, работают в качестве C2-сервера злоумышленника. Также вместо того, чтобы напрямую внедрять код в ресурсы сайта, злоумышленники используют небольшие фрагменты кода JavaScript, которые загружают полный вредоносный код с другого зараженного сайта компании, что позволяет хакерам скрывать большую часть вредоносного кода.
Вредоносный код разработан таким образом, чтобы имитировать популярные сервисы типа Google Tag Manager или Facebook* Pixel. Такой метод популярен среди веб-скиммеров, потому что он помогает вредоносному коду «сливаться с окружением», маскируя истинные намерения.