CarderPlanet
Professional
Более года с помощью веб-скиммеров проводится финансово мотивированная кампания, ориентированная на компании, осуществляющие онлайн-платежи в Азиатско-Тихоокеанском регионе, Северной Америке и Латинской Америке.
Команда BlackBerry Research and Intelligence отслеживает активность под названием Silent Skimmer, приписывая ее действующему лицу, хорошо знающему китайский язык. Среди известных жертв - онлайн-компании и поставщики услуг торговых точек (PoS).
"Операторы кампании используют уязвимости в веб-приложениях, особенно в тех, которые размещены в Internet Information Services (IIS)", - заявила канадская фирма по кибербезопасности. "Их основная цель - скомпрометировать страницу оформления платежа и стащить конфиденциальные платежные данные посетителей".
За успешным первоначальным плацдармом следуют злоумышленники, использующие множество инструментов с открытым исходным кодом и методы "жизни за пределами земли" (LotL) для повышения привилегий, последующей эксплуатации и выполнения кода.
Цепочка атак приводит к развертыванию троянца удаленного доступа на базе PowerShell (server.ps1), который позволяет удаленно управлять хостом, который, в свою очередь, подключается к удаленному серверу, на котором размещены дополнительные утилиты, включая загрузку скриптов, обратные прокси-серверы и маяки Cobalt Strike.
Конечная цель вторжения, согласно BlackBerry, заключается в проникновении на веб-сервер и внедрении скребка в службу оформления платежей с помощью веб-оболочки и скрытом захвате финансовой информации, введенной жертвами на странице.
Изучение инфраструктуры противника показывает, что виртуальные частные серверы (VPS), используемые для командования и контроля (C2), выбираются на основе геолокации жертв в попытке избежать обнаружения.
Разнообразие целевых отраслей и регионов в сочетании с типом взломанных серверов указывает на оппортунистическую кампанию, а не на преднамеренный подход.
"Злоумышленник фокусируется преимущественно на региональных веб-сайтах, которые собирают платежные данные, используя уязвимости в широко используемых технологиях для получения несанкционированного доступа и извлечения конфиденциальной платежной информации, введенной или хранящейся на сайте", - заявили в BlackBerry.
Раскрытие происходит после того, как Sophos раскрыла детали мошенничества с забоем свиней, в ходе которого потенциальных жертв заманивали инвестировать в фиктивные схемы инвестирования в криптовалюту после обращения в приложения для знакомств, такие как MeetMe, что приносило актерам миллионную незаконную прибыль.
Что отличает последнюю операцию, так это использование приманок для добычи ликвидности, обещающих пользователям регулярный доход при высокой доходности инвестиций в пул ликвидности, где виртуальные активы хранятся для облегчения торговли на децентрализованных биржах.
"Для этих мошенничеств не требуется вредоносного ПО на устройстве цели и никакого "взлома" любого рода, кроме мошеннических веб—сайтов и социальной инженерии, чтобы убедить цели подключить свой кошелек к смарт-контракту Ethereum, который дает мошенникам разрешение на опустошение кошелька", - сказал исследователь безопасности Шон Галлахер.
