Эксперты сообщили об активном противостоянии мошенников, промышляющих кражей платежной информации в интернет-магазинах. Одна из группировок выслеживает онлайн-скиммеры своих конкурентов и вмешивается в их работу, дискредитируя собранные данные.

Противоборство развернулось между взломщиками торговых площадок на базе CMS Magento. Эти атаки под общим названием Magecart в последнее время стали серьезной угрозой для интернет-продавцов. Вредоносный скрипт MagentoCore, который перехватывает пользовательские данные на странице оплаты, обеспечивает преступникам контроль над зараженным сайтом с возможностью восстановить присутствие после обнаружения.

Как выяснили эксперты, черный рынок персональных данных становится слишком тесным, что вынуждает преступников идти на ухищрения, чтобы оттеснить конкурентов. Если раньше скиммер просто отключал обнаруженные на взломанном сайте скрипты, то теперь организаторы кампаний подменяют добычу соперников, разрушая их репутацию в глазах покупателей.

Специалисты Malwarebytes и независимый исследователь Magecart Виллем де Грут (Willem de Groot) обнаружили уже несколько примеров противостояния двух криминальных сообществ. Борьба развернулась на сайтах продавца спортивной одежды Umbro Brazil, косметического магазина Bliv.com и других площадках. Некая недавно появившаяся группировка атаковала других, более известных преступников.

Новички добавили в код своего скрипта возможность находить скиммер конкурентов по имени домена. Однако злоумышленники не стремятся избавиться от него. Благодаря тому, что программа противников, в отличие от их собственной, не обфусцирует собранную информацию, зловред перехватывает украденный соперниками номер банковской карты и подменяет последнюю цифру.

Поскольку отредактированный номер отличается от реального всего одной цифрой, вмешательство с высокой степенью вероятности пройдет незамеченным. Однако рассчитаться такой картой уже не получится.

«На черном рынке репутация значит все, — поясняет де Грут. — Если кто-то предлагает неработающие карты, покупатели устроят публичные разбирательства, которые уничтожат бренд [продавца]».

По словам специалиста Malwarebytes Жерома Сегура (Jérôme Segura), этот случай будет иметь серьезные последствия на черном рынке. Онлайн-скимминг открывает относительно простой путь к быстрой прибыли, не требуя при этом серьезной технической подготовки. Даже новичок может быстро включиться в бизнес благодаря готовым к использованию программным пакетам. Все это будет провоцировать все больше конфликтов между преступниками уже в скором будущем.

Конкуренция между хакерскими группировками существует уже давно. Еще в 2015 году создатели банковского трояна Shifu включили в код антивирусные функции, блокирующие активность других вредоносов. Нередко подобные возможности есть у криптомайнеров — мошенники не хотят делить с кем-либо вычислительные мощности своих жертв.

Категории: Вредоносные программы, Хакеры