Специалисты IBM обнаружили доказательства того, что злоумышленники создают специальные скрипты для размещения на Layer 7 маршрутизаторах и последующей кражи банковских карт. До недавнего времени атаки MageCart (или так называемый веб-скимминг) затрагивали только сайты, в которые атакующие внедряли вредоносный код  JavaScript или PHP и воровали платежные данные. Теперь же хакеры перешли на компрометацию сетевого оборудования.

Маршрутизаторы Layer 7 (L7) — это коммерческие, мощные сетевые устройства, которые обычно устанавливаются в местах скопления людей, например, в отелях, торговых центрах, аэропортах, общественных местах и так далее. Такие маршрутизаторы работают так же, как и обычные, однако могут манипулировать трафиком на седьмом уровне (Layer 7, уровень приложений), согласно сетевой модели OSI.

Специалисты IBM пишут, что злоумышленники компрометируют маршрутизаторы L7, чтобы затем использовать их мощные возможности управления трафиком для внедрения этих вредоносных скриптов в активные сеансы в браузерах пользователей. Причем обнаруженные аналитиками скрипты были специально разработаны для хищения данных платежных карт из онлайн-магазинов и передачи украденной информации на удаленный сервер.

Обнаружить скрипты удалось в силу того, что в апреле текущего года их загрузили на VirusTotal (очевидно, это сделали сами злоумышленники, чтобы проверить, обнаруживают ли защитные решения вредоносный код). Всего исследователи нашли 17 таких скриптов, которые в отчете разделены на пять групп, сообразно их назначению.

Обнаруженные в коде домены и другие индикаторы в коде указывают на то, что эти 17 файлов связаны с хакерской группой, известной как MageCart 5. По мнению ИБ-специалистов, эта группировка прицельно взламывает только сторонних сервис-провайдеров. И именно эта группировка уже проявляла креативность и использовала CDN (content delivery network, «сеть доставки контента») и рекламу для внедрения своего вредоносного кода на сайты. Эксперты RiskIQ, давно наблюдающие за MageCart-группами, считают, что MageCart 5 — одна из наиболее профессиональных и серьезных групп из всех. Напомню, что в 2018 году исследователи RiskIQ идентифицировали 12 таких группировок, тогда как по данным IBM, сейчас их насчитывается уже 38.

Аналитики IBM пишут, что пока неясно, удалось ли MageCart 5 использовать свои скрипты для атак на реальные маршрутизаторы, но такая вероятность есть.

Оставить мнение