В ходе новой неординарной MageCart-кампании хак-группа создала вредоносный сайт для размещения favicon и маскировки вредоносного кода.
Изначально название MageCart было присвоено одной хак-группе, которая первой начала использовать так называемые веб-скиммеры на сайтах для хищения данных банковских карт. Сегодня название MageCart стало нарицательным, и теперь им обозначают целый класс подобных атак. В конце 2019 года, по данным IBM, их насчитывалось около 40 таких группировок.
Новые favicon (значок веб-сайта, который отображается браузером во вкладке перед названием страницы) представляли собой файлы изображений, размещенные на сайте MyIcons.net, и не содержали вредоносного кода. И все же эксперты обнаружили на всех пострадавших сайтах веб-скиммеры. Как это произошло?
Оказалось, что сайт MyIcons.net предоставлял легитимный файл favicon для всех страниц атакованного ресурса, кроме тех, где размещались формы оформления заказа.
На страницах оформления заказа MyIcons.net подменял обычный favicon вредоносным файлом JavaScript, который создавал поддельную форму оплаты и воровал введенные в нее данные карты пользователя.
Этот метод весьма изящен, так как владельцы сайтов, заметившие обращения к MyIcons.net, при проверке обнаружили бы безвредный портал для хостинга favicon.
Прошлой осенью исследователи безопасности из компании Malwarebytes обнаружили связь между группировкой Magecart Group 5, Dridex и группировкой Carbanak. Используемые ими вредоносные домены зарегистрированы на один и тот же адрес [email protected].
Читайте также на АКБ:
