Исследователи компании Distil Networks, которая специализируется на обнаружении ботнетов и связанных с ними атак, сообщили о появлении ботнета GiftGhostBot. По словам специалистов, ботнет существует с 26 февраля 2017 года и его главная цель – мошенничество с подарочными картами.
Операторы GiftGhostBot нацелили свои атаки на инфраструктуру множества сайтов, принимающих к оплате подарочные карты. В основном это интернет-магазины, где за товары можно расплатиться подарочной картой. Такие ресурсы поддерживают end point для взаимодействия со стороной, выпустившей карту.
Ботнет использовался для брутфорс-атак на данный end point, то есть злоумышленники просто перебирали случайные номера подарочных карт. В среднем атака осуществлялась со скоростью 1,7 млн номеров в час, но в некоторых случаях атака достигала 4 млн номеров за один час. По данным исследователей, за один час удавалось обнаружить активность 6400 уникальных устройств и 20 900 IP-адресов. При этом ботнет умеет работать с JavaScript, и боты тщательно мимикрируют под простых пользователей, тогда как на самом деле GiftGhostBot распределен между хостинг-провайдерами, дата-центрами и мобильными операторами разных стран мира.
Как только атакующие получали ответную реакцию от end point’а, это означало, что карта существует и на ней есть средства. В результате злоумышленники могли воспользоваться чужими подарочными картами для оплаты товаров в магазинах, или могли попросту перепродать номера работающих карт в даркнете. Аналитики Distil Networks не уточняют, сколько карт удалось скомпрометировать операторам ботнета, сообщается лишь, что уже пострадали около 1000 сайтов.
Эксперты Distil Networks рекомендуют владельцам сайтов, работающих с подарочными картами, добавить CAPTCHA на страницы, с которых можно проверить баланс карты, или ограничивать число запросов к этим страницам.