» » Скиммеры платежных карт в сети добавляют анти-криминалистические возможности

Скиммеры платежных карт в сети добавляют анти-криминалистические возможности

PipkaИсследователи обнаружили новые вредоносные скрипты на сайтах электронной коммерции, они являются новым скиммером платежных карт на основе jаvascript, в котором используются методы криминалистической экспертизы, в том числе возможность удаления себя из кода веб-страницы после выполнения. Этот вредоносный сценарий, получивший название Pipka, был обнаружен исследователями из команды Visa Payment Fraud Disruption (PFD) на сайте североамериканского торговца, ранее зараженного другим скиммером Inter. Дальнейшее расследование выявило еще 16 сайтов онлайн-торговцев, зараженных Pipka. 

Новая угроза в интернете 

Скимминг в Интернете - это кража данных платежных карт с сайтов электронной коммерции с помощью вредоносных скриптов, внедряемых в них. Сценарии, как правило, вводятся на страницы оформления заказа, чтобы скачать информацию о карточке, когда покупатели вводят ее в веб-формы. 

Этот тип атаки стал популярным в последние несколько лет, с появлением одного конкретного скиммера под названием 
Magecart, которым пользуются более десятка групп. Несмотря на использование одного и того же скиммера, эти группы используют разные методы и методы для внедрения своего вредоносного кода на веб-сайты и его скрытия. 

Некоторые используют известные уязвимости. Другие ставят под угрозу легитимные сторонние скрипты, которые загружаются на веб-сайты, например, скрипты для сервисов веб-аналитики, и есть свидетельства того, что некоторые группы 
компрометируют маршрутизаторы, используемые для настройки точек доступа Wi-Fi в аэропортах и других общественных местах, чтобы внедрить их код в легитимный траффик. 

Исследователи даже нашли доказательства того, что некоторые группы Magecart 
связаны со сложными группами по киберпреступности, такими как Cobalt и FIN6, которые исторически предназначались для инфраструктуры банков и предприятий розничной торговли. Это говорит о том, что веб-скимминг достаточно прибылен, чтобы быть на радаре у известных преступных группировок, которые уже украли сотни миллионов долларов у организаций по всему миру. 

Тогда неудивительно, что другие веб-скиммеры, такие как Inter, а теперь Pipka, похоже, начали конкурировать с Magecart, и некоторые из них начали продаваться как товары на подпольных рынках. Исследователи ожидают, что атаки по скиммингу будут продолжаться. 

Что отличает Pipka 

Согласно анализу Visa PFD, Pipka настраивается, злоумышленники могут настроить, из каких полей форм они хотят украсть данные. Украденные данные хранятся в файле cookie в зашифрованном виде, а затем отправляются на сервер управления. 

Скиммер может предназначаться для двухэтапных страниц оформления заказа, имея настраиваемые поля как для данных выставления счета, так и для данных платежного счета. Однако наиболее интересной его особенностью является возможность удалять себя со страницы после успешного выполнения. 

«Когда скиммер запускается при загрузке скрипта, он вызывает функцию запуска, которая вызывает функцию очистки и настраивает скиммер на поиск данных каждую секунду, - сказали исследователи Visa в своем предупреждении безопасности - Функция очистки находит тег скрипта скиммера на странице и удаляет его. Поскольку это происходит сразу после загрузки сценария, аналитикам или администраторам веб-сайта трудно определить код при посещении страницы». 

По словам исследователей Visa, этот тип процедуры самоуничтожения ранее использовался в настольных вредоносных программах, но это впервые наблюдается в веб-скиммерах, что знаменует собой «значительное развитие» в этом типе атак. 

Меры по смягчению последствий 

Visa PFD советует администраторам добавлять повторяющиеся проверки в своих средах электронной коммерции для связи с известными командно-контрольными серверами, используемыми скиммерами, регулярно сканировать свои сайты на наличие уязвимостей или вредоносных программ, проверять свои сети доставки контента и сторонний код, загружаемый у партнеров на своих веб-сайтах, чтобы обеспечить актуальность и исправление программного обеспечения и других услуг их корзины покупок, использовать надежные административные пароли и ограничить доступ к административному порталу, а также рассмотреть возможность использования внешнего платежного решения, когда клиенты вводят свои платежные реквизиты на другой веб-странице вместо сайта продавца.