Нещодавно виявлене шкідливе програмне забезпечення для веб-скімінгу здатне ховатися у Вас перед очима, при цьому викрадаючи дані платіжних карток на скомпрометованих веб-сторінках інтернет-магазинів.
Творці шкідливого програмного забезпечення замаскували його під кнопки шерингу у соціальних мережах, що підробляють такі популярні платформи, як Facebook, Twitter та Instagram, пише Bleeping Computer.
Скімери кредитних карток – це сценарії на основі JavaScript, якими група кіберзлочинців Magecart інфікує сторінки замовлення сайтів електронної комерції. Після завантаження в цільові магазини сценарії автоматично збирають платіжну та особисту інформацію, надіслану клієнтами, та передають її на сервери хакерів Magecart.
Це нове зловмисне програмне забезпечення було виявлено дослідниками нідерландської компанії з кіберзахисту Sansec, яка зосереджується на захисті веб-сайтів електронної комерції від атак цифрового скімінгу (також відомого як Magecart).
Шкідливе програмне забезпечення для обробки платежів використовує хитрість за допомогою подвійної структури передачі атрибутів платежу, де вихідний код сценарію скімера, який викрадає кредитні картки клієнтів, буде прихований в піктограмі шерингу у соціальних мережах, завантаженої як елемент HTML-svg з елемент ‘path’ як контейнер.
Синтаксис приховування вихідного коду скімера як кнопки шерингу у соціальних мережах ідеально імітує елемент svg, названий за допомогою імен платформ соціальних медіа (наприклад, facebook_full, twitter_full, instagram_full, youtube_full, pinterest_full та google_full).
Окремий декодер, розгорнутий окремо десь на сервері сайту електронної комерції, використовується для вилучення та виконання коду прихованого викрадача кредитних карток.
Ця тактика збільшує шанси уникнути виявлення, навіть якщо знайдено один із двох компонентів шкідливого програмного забезпечення, оскільки завантажувач шкідливого програмного забезпечення не обов’язково зберігається в тому самому місці, що і корисний набір скімера, і їх справжнє призначення може уникнути поверхневого аналізу.
Незважаючи на те, що кіберзлочинці не вперше використовують скімери, приховані у фейкових зображеннях, це шкідливе програмне забезпечення є першим, що використовує “цілком дійсне зображення”.
“Результатом є те, що сканери безпеки більше не можуть знаходити шкідливе програмне забезпечення, лише перевіряючи дійсний синтаксис”, – пояснюють у Sansec.
Подібне шкідливе програмне забезпечення за допомогою цієї інноваційної техніки завантаження було вперше виявлено ще в червні 2020 року.
“Це шкідливе програмне забезпечення не було таким складним, і його було виявлено лише на 9 сайтах за один день”, – кажуть у Sansec. – З цих 9 заражених веб-сайтів лише 1 мав функціональне шкідливе програмне забезпечення. Усі 8 інших сайтів пропустили один із двох компонентів, що зробило шкідливе програмне забезпечення марним. Ці частково працюючі зразки скімерів платежів могли бути використані в якості тестових запусків для повністю функціонуючої версії, виявленої в середині вересня”
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ
Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ
Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС
Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ
Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ
До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.
Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.
Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.
У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.
П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.
