Специалисты Visa обнаружили ранее неизвестный вредоносный скрипт, похищающий данные банковских карт со страниц интернет-магазинов. Зловред, получивший название Pipka, нашли как минимум на 16 сайтах, занимающихся онлайн-торговлей. Вредоносный JavaScript-сценарий можно настроить под конкретный веб-ресурс, при этом он способен самоликвидироваться после выполнения своей задачи.

Эксперты выяснили, что скиммер охотится за номерами банковских карт, CVV, учетными данными PayPal и другой финансовой информацией — в зависимости от структуры целевого сайта. Один из вариантов программы, попавший в руки исследователей, справлялся с двухэтапным вводом сведений, когда биллинговые данные запрашиваются на разных страницах.

Как скиммер Pipka скрывает следы своей деятельности

Исследователей удивила способность зловреда самоудаляться из HTML-кода инфицированного интернет-магазина. Как только скрипт загружается на сайт, он очищает все свои теги, не оставляя видимых следов присутствия в системе. Такое поведение серьезно затрудняет обнаружение Pipka как средствам безопасности, так и администратору ресурса.

Вредоносный сценарий передает собранные данные на командный сервер, предварительно закодировав их при помощи шифра ROT13 и по Base64. Прежде чем отправить очередную порцию информации, программа проверяет, не загружала ли она эти сведения ранее, чтобы избежать дублирования данных.

Киберкампания, зафиксированная в сентябре этого года, затронула веб-ресурсы, расположенные в Северной Америке. Один из сайтов, инфицированных Pipka, был ранее заражен скиммером Inter, однако специалисты не берутся утверждать, что обе программы написаны одним автором.

Аналитики также не назвали движок, на котором работали зараженные сайты. В начале октября ИБ-специалисты нашли скиммер на сайте разработчика решений для Magento. Похититель информации перехватывал платежные данные покупателей плагинов Extendware, а также мог быть внедрен в исходный код расширений, скачиваемых из репозитория.

Категории: Вредоносные программы