Сразу два известных ИБ-специалиста, Виллем де Грот (Willem de Groot) и Джером Сегура из Malwarebytes (Jérôme Segura), обнаружили, что конкуренция в сфере атак MageCart обостряется.
Напомню, что атаки MageCart также называют веб-скиммингом, и с их помощью злоумышленники похищают данные банковских карт пользователей. «Почерк» преступников почти всегда выглядит так: они взламывают самые разные сайты, чаще всего, это магазины на базе популярных CMS, которые ломают через уязвимости в самой CMS или ее плагинах. Затем преступники внедряют вредоносный код JavaScript на страницы оплаты (своеобразный софтверный «скиммер»), похищая таким образом вводимые пользователями финансовые данные (номера банковских карт, имена, адреса и так далее).
На прошлой неделе аналитики компаний RiskIQ и Flashpoint представили совместный отчет об атаках MageCart, в котором описали действующие такими методами группировки и их тактики. Эксперты подчеркнули, что в последнее время атаки MageCart стали прикрытием для многих хакерских групп и перечислили семь наиболее активных и заметных из них.
Теперь Сегура и де Грот обнаружили, что среди MageCart-хакеров началась борьба за «место под солнцем». Если использовать терминологию экспертов RiskIQ, которые присвоили группировкам порядковые номера, получится, что Группа 9, появившаяся на сцене недавно, активно мешает своим конкурентам, в частности, деятельности Группы 3, которая атакует сайты и платежные системы в странах Южной Америки.
Say hello to Magecart group 3 being bullied by Magecart group 9. https://t.co/omO9D1Co3h
— Yonathan Klijnsma (@ydklijnsma) November 20, 2018
Специалисты рассказывают, что Группа 9 добавила в свой «скиммер» специальный код, который ищет домены, связанные с операциями конкурентов. Когда такие домены обнаруживаются, малварь Группы 9 не просто мешает работе скриптов конкурентов, но поступает более изощренно и портит данные, которые собирает Группа 3. Так, «скиммер» Группы 9 вмешивается в происходящее и подменяет последнюю цифру в украденных Группой 3 номерах банковских карт, генерируя ее случайным образом.
Сегура предполагает, что таким образом участники Группы 9 хотят не просто помешать работе конкурента, но испортить репутации Группы 3. Дело в том, что после похищения номера банковских карт выставляются на продажу на черном рынке, но при этом Группа 3, похоже, не подозревала, что часть ее «товара» была испорчена, и продавала недействительные данные. «Со временем покупатели поймут, что купили неработающие банковские карты, после чего более не станут доверять этому продавцу», — пишет Сегура.
В настоящее время специалисты обнаружили «скиммеры» Групп 9 и 3 в спортивном магазине Umbro Brazil, а также в косметическом Bliv[.]com.
Эксперты полагают, что дальше станет только хуже, ведь веб-скимминг уже набрал немалую популярность в преступных кругах, а столкновение между Группами 9 и 3, свидетельствует о том, что в будущем конкуренция в этой области станет только жестче, ведь различные скимминговые «наборы» уже доступны всем желающим, с любым уровнем подготовки.