Cкиммер cпособен автоматически изменять свое поведение, если панель инструментов разработчика открыта в браузерах Chrome или Firefox.
Одна из киберпреступных группировок Magecart использует поддельные домены Google для размещения и загрузки скиммера с поддержкой нескольких платежных шлюзов. Специалисты из Sucuriисследование и обнаружили, что один из web-сайтов был заражен скиммером для хищения данных платежных карт, загружающим JavaScript-код с вредоносного интернационализированного домена google-analytîcs[.]com.
Magecart — термин, объединяющий несколько киберпреступных группировок, специализирующихся на внедрении скриптов для хищения данных банковских карт в платежных формах на сайтах. Они ответственны за атаки на такие компании, какAmerisleep,MyPillow,Ticketmaster,British Airways, OXO иNewegg. Недавно исследователираскрыли вредоносную кампанию, в ходе которой злоумышленники успешно взломали 962 сайта электронной коммерции.
Злоумышленники используют интернационализованные доменные имена (IDN) для маскировки серверов, на которых размещается вредоносный контент, с целью замаскировать трафик от вредоносных доменов под пакеты, доставляемые с легитимных сайтов. Использование IDN для маскировки сервера — одна из популярных тактик, используемых злоумышленниками вфишинговыхкампаниях.
Поскольку существуют определенные символы, которые могут казаться одинаковыми, но иметь разные коды ASCII (например, «а» в кириллице и латинская буква «а»), злоумышленник может «подделать» URL-адрес web-страницы. Вместо перехода на легитимный сайт пользователя могут перенаправить на вредоносный портал, идентичный реальному. Таким образом преступники могут собирать личную или финансовую информацию, а затем использовать и/или продавать ее.
Одной из отличительных возможностей скиммера, используемого в новых атаках Magecart, является возможность автоматически изменять свое поведение, если сайт открывается в браузерах Google Chrome или Mozilla Firefox. В таком случае во избежание обнаружения скиммер не будет отправлять собранные данные на C&C-сервер.
Скрипт скиммера Magecart также поддерживает десятки платежных шлюзов, что указывает на тщательную подготовку преступников к этой кампании, отмечают специалисты Sucuri.