Недавно обнаруженный скрипт Pipka может удалить себя с веб-сайта после выполнения, что очень затрудняет его обнаружение.
Исследователи обнаружили взломы на сайтах электронной коммерции с помощью нового скиммера платежных карт на основе JavaScript, который использует методы защиты от криминалистики, включая возможность удаления себя из кода веб-страницы после выполнения. Вредоносный скрипт, получивший название Pipka, был обнаружен исследователями из группы Visa по предотвращению мошенничества с платежами (PFD) на сайте североамериканского продавца, который ранее был заражен другим скиммером под названием Inter. Дальнейшее расследование выявило еще 16 сайтов интернет-магазинов, зараженных Pipka.
Новая угроза на блоке
Веб-скимминг - это кража данных платежных карт с веб-сайтов электронной коммерции посредством внедрения в них вредоносных сценариев. Сценарии обычно вводятся на страницы оформления заказа, чтобы выкачать информацию о карте, которую покупатели вводят в веб-формы.
Этот тип атак стал популярным за последние несколько лет, с появлением одного скиммера под названием Magecart, который используют более десятка групп. Несмотря на использование одного и того же скиммера, эти группы используют разные техники и методы, чтобы внедрять свой вредоносный код на веб-сайты и скрывать его.
Некоторые используют известные уязвимости. Другие компрометируют законные сторонние скрипты, которые загружаются на веб-сайты, например, для служб веб-аналитики, и есть свидетельства того, что некоторые группы взламывают маршрутизаторы, используемые для настройки точек доступа Wi-Fi в аэропортах и других общественных местах, чтобы внедрить свой код в законные движение.
Исследователи даже нашли доказательства, которые связывают некоторые из групп Magecart с изощренными группами киберпреступников, такими как Cobalt и FIN6, которые исторически нацелены на инфраструктуру банков и розничных торговцев. Это говорит о том, что веб-сканирование достаточно прибыльно, чтобы быть на радаре хорошо зарекомендовавших себя преступных группировок, которые уже украли сотни миллионов долларов у организаций по всему миру.
Тогда неудивительно, что другие веб-скиммеры, такие как Inter и теперь Pipka, начали конкурировать с Magecart, и некоторые из них начали продаваться как товары на подпольных рынках. Исследователи ожидают, что при отсутствии недостатка в методах взлома веб-сайтов, атаки веб-скимминга будут продолжаться.
Что отличает Пипку
Согласно анализу Visa PFD, Pipka настраивается, и злоумышленники могут настроить, из каких полей формы они хотят украсть данные. Похищенные данные хранятся в файле cookie в зашифрованном виде и затем отправляются на командно-управляющий сервер.
Скиммер может ориентироваться на двухэтапные страницы оформления заказа, имея настраиваемые поля как для платежных данных, так и для данных платежного аккаунта. Однако его самая интересная особенность - это способность удалять себя со страницы после успешного выполнения.
«Когда скиммер запускается при загрузке скрипта, он вызывает функцию запуска, которая вызывает функцию очистки и заставляет скиммер искать данные каждую секунду», - заявили исследователи Visa в своем предупреждении о безопасности. «Функция очистки находит тег скрипта скиммера на странице и удаляет его. Поскольку это происходит сразу после загрузки скрипта, аналитикам или администраторам веб-сайтов трудно обнаружить код при посещении страницы».
Этот тип процедуры самоудаления использовался в вредоносных программах для настольных компьютеров, но это первый случай, когда он наблюдается в веб-скиммерах, что, по словам исследователей Visa, является «значительным достижением» в этом типе атак.
Меры по смягчению последствий
Visa PFD советует администраторам добавлять повторяющиеся проверки в свои среды электронной торговли для связи с известными серверами управления и контроля, используемыми скиммерами, регулярно сканировать свои сайты на наличие уязвимостей или вредоносных программ, проверять свои сети доставки контента и сторонний код, загружаемый с помощью партнеров на свои веб-сайты, чтобы убедиться, что их программное обеспечение корзины покупок и другие услуги обновлены и содержат исправления, использовать надежные административные пароли и ограничить доступ к административному порталу, а также рассмотреть возможность использования внешнего решения для проверки, в котором клиенты вводят свои платежные данные на другая веб-страница вместо сайта продавца.
Исследователи обнаружили взломы на сайтах электронной коммерции с помощью нового скиммера платежных карт на основе JavaScript, который использует методы защиты от криминалистики, включая возможность удаления себя из кода веб-страницы после выполнения. Вредоносный скрипт, получивший название Pipka, был обнаружен исследователями из группы Visa по предотвращению мошенничества с платежами (PFD) на сайте североамериканского продавца, который ранее был заражен другим скиммером под названием Inter. Дальнейшее расследование выявило еще 16 сайтов интернет-магазинов, зараженных Pipka.
Новая угроза на блоке
Веб-скимминг - это кража данных платежных карт с веб-сайтов электронной коммерции посредством внедрения в них вредоносных сценариев. Сценарии обычно вводятся на страницы оформления заказа, чтобы выкачать информацию о карте, которую покупатели вводят в веб-формы.
Этот тип атак стал популярным за последние несколько лет, с появлением одного скиммера под названием Magecart, который используют более десятка групп. Несмотря на использование одного и того же скиммера, эти группы используют разные техники и методы, чтобы внедрять свой вредоносный код на веб-сайты и скрывать его.
Некоторые используют известные уязвимости. Другие компрометируют законные сторонние скрипты, которые загружаются на веб-сайты, например, для служб веб-аналитики, и есть свидетельства того, что некоторые группы взламывают маршрутизаторы, используемые для настройки точек доступа Wi-Fi в аэропортах и других общественных местах, чтобы внедрить свой код в законные движение.
Исследователи даже нашли доказательства, которые связывают некоторые из групп Magecart с изощренными группами киберпреступников, такими как Cobalt и FIN6, которые исторически нацелены на инфраструктуру банков и розничных торговцев. Это говорит о том, что веб-сканирование достаточно прибыльно, чтобы быть на радаре хорошо зарекомендовавших себя преступных группировок, которые уже украли сотни миллионов долларов у организаций по всему миру.
Тогда неудивительно, что другие веб-скиммеры, такие как Inter и теперь Pipka, начали конкурировать с Magecart, и некоторые из них начали продаваться как товары на подпольных рынках. Исследователи ожидают, что при отсутствии недостатка в методах взлома веб-сайтов, атаки веб-скимминга будут продолжаться.
Что отличает Пипку
Согласно анализу Visa PFD, Pipka настраивается, и злоумышленники могут настроить, из каких полей формы они хотят украсть данные. Похищенные данные хранятся в файле cookie в зашифрованном виде и затем отправляются на командно-управляющий сервер.
Скиммер может ориентироваться на двухэтапные страницы оформления заказа, имея настраиваемые поля как для платежных данных, так и для данных платежного аккаунта. Однако его самая интересная особенность - это способность удалять себя со страницы после успешного выполнения.
«Когда скиммер запускается при загрузке скрипта, он вызывает функцию запуска, которая вызывает функцию очистки и заставляет скиммер искать данные каждую секунду», - заявили исследователи Visa в своем предупреждении о безопасности. «Функция очистки находит тег скрипта скиммера на странице и удаляет его. Поскольку это происходит сразу после загрузки скрипта, аналитикам или администраторам веб-сайтов трудно обнаружить код при посещении страницы».
Этот тип процедуры самоудаления использовался в вредоносных программах для настольных компьютеров, но это первый случай, когда он наблюдается в веб-скиммерах, что, по словам исследователей Visa, является «значительным достижением» в этом типе атак.
Меры по смягчению последствий
Visa PFD советует администраторам добавлять повторяющиеся проверки в свои среды электронной торговли для связи с известными серверами управления и контроля, используемыми скиммерами, регулярно сканировать свои сайты на наличие уязвимостей или вредоносных программ, проверять свои сети доставки контента и сторонний код, загружаемый с помощью партнеров на свои веб-сайты, чтобы убедиться, что их программное обеспечение корзины покупок и другие услуги обновлены и содержат исправления, использовать надежные административные пароли и ограничить доступ к административному порталу, а также рассмотреть возможность использования внешнего решения для проверки, в котором клиенты вводят свои платежные данные на другая веб-страница вместо сайта продавца.
