ИБ-специалист, известный под псевдонимом Affable Kraut, обнаружил, что операторы веб-скиммеров стали использовать Telegram-каналы для извлечения похищенных у пользователей данных. К такому выводу он пришел, опираясь на информацию, полученную компанией Sansec, которая специализируется на борьбе с цифровым скиммингом и Magecart-атаками.
Напомню, что изначально название MageCart было присвоено одной хак-группе, которая первой начала внедрять веб-скиммеры (вредоносные JavaScript) на страницы интернет-магазинов для хищения данных банковских карт. Но такой подход оказался настолько успешным, что у группировки вскоре появились многочисленные подражатели, а название MageCart стало нарицательным, и теперь им обозначают целый класс подобных атак. И если в 2018 году исследователи RiskIQ идентифицировали 12 таких группировок, то уже к концу 2019 года, по данным IBM, их насчитывалось уже около 40.
Исследователь изучил один из таких вредоносных JavaScript и заметил, что тот собирает все данные из заполненных жертвами полей ввода и отправляет их в Telegram.
Вся передаваемая информация зашифрована с использованием публичного ключа, и получив ее, специальный Telegram-бот отправляет украденные данные в чат в виде обыкновенных сообщений.
Affable Kraut отмечает, что этот метод кражи данных, судя по всему, весьма эффективен, но имеет существенный минус: любой, у кого есть токен для Telegram- бота, может взять процесс под свой контроль.
Главный исследователь из компании Malwarebytes, Джером Сегура, тоже заинтересовался данным скриптом, а изучив его, сообщил, что автор этого веб-скиммера использовал простую Base64 для ID бота, канала Telegram и запросам API. Ниже можно увидеть схему, оставленную Сегурой и описывающую весь процесс атаки.
Исследователь отмечает, что кража данных происходит лишь в том случае, если текущий URL-адрес в браузере содержит одно из ключевых слов, указывающее на то, что это интернет-магазин, и лишь когда пользователь подтверждает покупку. После этого платежные реквизиты будут отправлены как обработчику платежей, так и киберпреступникам.
Сегура пишет, что такой механизм извлечения данных – это весьма практическое решение, ведь он позволяет злоумышленникам не беспокоиться о создании специальной инфраструктуры для этих целей. Кроме того, защититься от такого варианта скиммера будет непросто. Блокировка Telegram-соединений будет лишь временным решением, так как затем злоумышленники могут начать использовать другой легитимный сервис, который так же будет маскировать «слив» данных.