На 29-й ежегодной международной конференции Virus Bulletin 2019, которая прошла в Лондоне в начале октября, Джордан Херман (Jordan Herman) и Йонатан Клинсма (Yonathan Klijnsma) из компании RiskIQ выступили с докладом о росте угрозы со стороны киберпреступной группы Magecart. Исследователи рассказали о среднем сроке жизни скиммера, новой тактике распространения вредоносных скриптов и атаках на цепочку поставок.

Как сообщили специалисты RiskIQ, за 10 лет наблюдений им удалось засечь скиммеры Magecart около двух миллионов раз. Всего с августа 2010 года группировке удалось взломать более 18 тыс. хостов. Для управления зловредами преступники используют 573 домена, данные с которых загружают около 10 тыс. хостов.

По данным RiskIQ, недавно злоумышленники начали использовать для распространения скиммеров рекламные баннеры. Как заявили исследователи, почти пятая часть всех вредоносных объявлений в Интернете содержит скрипты Magecart.

Впервые специалисты RiskIQ заметили активность преступников 8 августа 2010 года, хотя внимание к себе группа Magecart начала привлекать относительно недавно. Обычно интерес к деятельности злоумышленников возрастал после успешных атак на цепочку поставок.

Одно из таких нападений летом 2018 года злоумышленники совершили на британский сервис по продаже билетов Ticketmaster. Преступники внедрили скиммер через ПО для поддержки пользователей, разработанное компанией Inbenta Technologies.

Позднее вредоносный скрипт обнаружили и в продуктах других поставщиков. По подсчетам специалистов, всего от действий Magecart пострадало более чем 800 онлайн-магазинов и около десяти тысяч пользователей.

В апреле этого года злоумышленникам удалось взломать контейнеры Amazon. Преступники сканировали Сеть в поисках некорректно настроенных хранилищ S3 с файлами JavaScript и добавляли в них вредоносный скрипт для внедрения скиммера. В результате атаки были скомпрометированы 17 тыс. доменов.

Аналитики RiskIQ подсчитали, что в среднем вредоносный скрипт работает 22 дня. Однако иногда скиммер может оставаться на сайте годами, похищая данные посетителей. Часть заброшенных Magecart доменов находят и используют в своих целях другие группировки. Новые владельцы могут продолжать красть платежную информацию или, например, разместить на странице рекламные ссылки и получать доход от переходов по ним.

По мнению исследователей, Magecart  пользуется тем, что многие компании зачастую не рассматривают собственный сайт как вектор атаки.

«Часто жертвы не подозревают об изменении JavaScript на их сайте и о том, что вредоносный код существовал там неограниченно долго. В случае атак на цепочку поставок жертва зачастую даже не знает, что сторонний скрипт скомпрометирован и опасен», — говорится в отчете.

Категории: Аналитика, Хакеры