Group-IB: черный рынок снифферов нужно глубоко изучать

Опубликовано at 03.04.2019
46 0

Компания Group-IB выпустила первый в России отчет по исследованию JavaScript-снифферов – вредоносного ПО для кражи данных банковских карт посетителей сайтов электронной коммерции. Эти зловреды, перехватывающие трафик, по сути дела, программный аналог скиммеров для похищения данных банковских карт, на удивление плохо изучен.

Более того, ранее Ранее черный рынок снифферов в России не изучался. Первыми, кто начал исследовать данную тему на мировой арене, стали специалисты компаний RiskIQ и Flashpoint. Они выделили 12 киберпреступных группировок, использующих вышеупомянутое вредоносное ПО, и объединили их под общим названием MageCart. Объединение это, впрочем, достаточно условное, так как все группировки грызутся между собой. Так, до того неприметная группировка Magecart Group 12 недавно вырвалась вперед на полкорпуса: ее атаке подверглись тысячи сайтов электронной коммерции с целью похищения данных банковских карт пользователей, в общей сложности пострадали 277 сервисов, связанных с бронированием авиабилетов и туризмом, online-магазинов косметики и одежды и.т.д

В списке жертв Magecart с прошлого года числится британский авиаперевозчик British Airways, сервис уведомлений Feedify, филиппинский медиаконгломерат ABS-CBN, крупный американский ритейлер Newegg и другие. Почти сразу же атакующие разделились на несколько враждующих группировок, которые теперь специалисты различают по номерам.

Эксперты Group-IB, тем временем, изучили обнаруженные снифферы и с помощью собственных аналитических систем исследовали инфраструктуру и получили доступ к исходным кодам, панелям администраторов и инструментам злоумышленников. Сообщается, что в ходе исследования Group-IB проанализировали 2440 взломанных интернет-магазинов, посетители которых подверглись риску компрометации (порядка 1,5 млн человек в день). В общей сложности им удалось выявить 38 разных семейств снифферов, отличающихся уникальными признаками.

Более половины изученных сайтов были заражены снифферами семейства MagentoName, операторы которого используют уязвимости в устаревших версиях систем управления контентом Magento. Более 13% заражений приходится на долю снифферов семейства WebRank, использующего схему атаки на сторонние сервисы для внедрения вредоносного кода на атакуемые сайты. Также более 11% приходится на заражения снифферами семейства CoffeMokko, использующего обфусцированные скрипты для кражи данных из платежных форм определенных платежных систем. Названия полей вшиты в код самого вредоноса.

«Тот факт, что об инцидентах и ущербе, нанесенном JS-снифферами, до сих пор почти ничего неизвестно, говорит о слабой изученности этой проблемы и позволяет группам, создающим снифферы для воровства денег онлайн-покупателей, чувствовать себя безнаказанными», – главный технический директор Group-IB Дмитрий Волков.

АКБ хотело бы отметить, что снифферы отнюдь не всегда являются обязательным условием, чтобы ваши данные куда-то утекли. Вот, к примеру, кому уходят ваши персональные данные, когда вы совершаете покупку с карты на кассе? А черт его знает. «Системы мониторинга безопасности выявили случаи изменения настроек на кассовом аппарате для передачи фискальных данных в адрес третьих лиц», — говорится в рассылке. оператора фискальных данных «Первый ОФД», где также подчеркивается, что это нарушение одного из федеральных законов.

В документах указано, что кассовая техника была перенастроена на передачу данных третьим лицам, хотя по договору вся информация должна храниться исключительно на сервере ОФД, отмечает издание. В сервисном центре оператора сообщили, что в ряде случаев настройки касс были изменены и информация направлялась «на сторону, в неизвестном направлении».

Подписываемся, следим @CyberAgency

Related Post