Недавнее расследование, проведенное компанией Jscrambler, выявило сложную кампанию веб-скимминга, которая успешно проникла на несколько веб-сайтов, управляемых Caritas Spain, некоммерческой организацией, входящей в Международную конфедерацию Каритас. Эта атака нацелена на семнадцать сайтов с поддержкой WooCommerce, и использует двухэтапный процесс атаки, направленный на избегание обнаружения и захват конфиденциальных платежных данных.
Методы атаки
Кампания отражает растущую тенденцию среди хакеров, поскольку модульные наборы позволяют злоумышленникам адаптировать методы доставки, поддерживать каналы связи и использовать различные комбинации скриптов загрузки и скиммера.
Этапы реализации атаки:
- Внедрение загрузчика: Атака началась с механизма загрузки, незаметно встроенного в уменьшенный файл JavaScript. Этот загрузчик выполнял несколько ключевых действий, включая очистку определённых ключей из локального хранилища.
- Проверка существующих скиммеров: Для предотвращения повторного заражения был произведён контроль за уже установленными скиммерами.
- Динамическое построение URL: Загрузчик создавал URL-адрес для отправки POST-запроса.
- Сбор конфиденциальной информации: Поддельная форма оплаты была наложена на законную, и вся собранная информация, такая как имена владельцев карт, номера телефонов и CVV-коды, отправлялась на скрытую конечную точку с использованием схемы кодирования base64.
Адаптивность злоумышленников
Кампания, впервые обнаруженная в марте 2025 года, продемонстрировала гибкость хакеров, которые адаптировали свою инфраструктуру, когда некоторые домены отключались. Этот процесс был эффективен благодаря использованию обширного диапазона из 61 домена, главным образом размещённых под одним и тем же IP-адресом.
Ключевые моменты:
- Удаление отдельных доменов неэффективно; целенаправленное уничтожение IP-адреса может быть более действенным.
- На других сайте-мишенях отмечались вариации в методах внедрения скриптов и обфускации, что указывает на разнообразие подходов у злоумышленников.
- Некоторые загрузчики использовали законные сервисы, такие как Google Tag Manager, для маскировки своих злонамеренных действий.
Текущая ситуация
По состоянию на середину апреля 2025 года Jscrambler сообщила о прекращении активности по скиммингу на этих сайтах, однако остается неясным, сохраняют ли хакеры доступ к ним.
Выводы
Этот инцидент подчеркивает универсальную угрозу веб-скимминга и указывает на то, что мишенью может стать любая организация, обрабатывающая данные о держателях карт. Автоматизация операций скимминга, от заражения до проверки и использования украденных данных, иллюстрирует прибыльность этого подхода для киберпреступников и подчеркивает необходимость обеспечения целостности всех элементов, с которыми сталкиваются пользователи на веб-сайтах.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Атака веб-скимминга: угроза для организаций Caritas Spain".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.