Исследователи из IBM X-Force обнаружили свидетельства грядущей смены тактики группировок Magecart, массово ворующих платежные данные. Злоумышленники отрабатывают атаки на роутеры прикладного, седьмого уровня, что позволит им внедрять зловредные скрипты в активные сессии посетителей интернет-магазинов.

Под названием Magecart эксперты объединяют ряд преступных сообществ, которые похищают данные пластиковых карт, используя онлайн-скиммеры. От их атак пострадали десятки и даже сотни тысяч различных площадок, а количество параллельно действующих групп достигло такого уровня, что они вынуждены вступать в противоборство за очередную цель.

Новый вектор атаки Magecart

Последние новости на этом фронте связаны с одной из самых активных групп под условным наименованием Magecart 5. Как и другие подобные сообщества, она использует в атаках вредоносные JavaScript- и PHP-скрипты. Преступники взламывают интернет-ресурсы и встраивают посторонний код в страницы оплаты, перехватывая таким образом пользовательские данные.

Как оказалось, в скором будущем к этому вектору атак может добавиться новый, основанный на использовании коммерческих маршрутизаторов, которые служат точкой входа в крупных WiFi-сетях, — такие сетевые устройства известны как L7-роутеры. Это оборудование устанавливают организации с большим трафиком посетителей — отели, торговые центры, аэропорты, администраторы общественных мест.

Функциональная особенность таких маршрутизаторов состоит в возможности управлять трафиком на седьмом уровне сетевой модели OSI, распределяя нагрузку на основании используемых доменных имен, файлов cookies, типов браузеров и прочих технических данных. Это обеспечивает более глубокое взаимодействие с пользовательскими устройствами, нежели при коммуникации через транспортные протоколы, которые задействуются при соединении с интернет-сайтами и оперируют IP-адресами.

Как указывают эксперты, внедрение зловредного кода в L7-роутер откроет преступникам доступ ко всем клиентам, которые выходят онлайн через данную точку. Конечная цель злоумышленников остается прежней — перехват платежных данных и отправка их на удаленный веб-сервер.

Находки на VirusTotal

Именно такие скрипты, ориентированные на маршрутизаторы прикладного уровня, аналитики обнаружили на VirusTotal. Всего на этот ресурс было загружено 17 файлов, которые исследователи разделили на пять групп в соответствии с назначением сценария:

  1. Внедряет безобидные рекламные баннеры в интернет-страницы.
  2. Похищает данные пластиковых карт через JavaScript-инъекции на стороне клиента.
  3. Перенаправляет веб-трафик, если пользователь пришел с одного из поисковиков.
  4. Создает случайный домен в зоне .ru, используя алгоритм DGA.
  5. Внедряет сторонний JavaScript-код в HTML-страницу.

Пользователям, которые хотят защититься от новой угрозы, рекомендуется воздерживаться от интернет-подключений в общественных местах. Кроме того, клиенты интернет-магазинов могут использовать виртуальные платежные карты, которые создаются однократно под конкретную сделку. Эта услуга в настоящий момент доступна лишь в некоторых регионах.

Исследователи не получили доказательств применения этих зловредов в реальных кибератаках. Однако учитывая, что на VirusTotal они появились еще в середине апреля, аналитики допускают, что преступники уже успели опробовать их в действии.

Категории: Вредоносные программы, Хакеры