Специалисты Malwarebytes рассказали об интересной MageCart-кампании, для осуществления которой хак-группа создала вредоносный сайт для размещения favicon и маскировки вредоносного кода.
Напомню, что изначально название MageCart было присвоено одной хак-группе, которая первой начала использовать так называемые веб-скиммеры на сайтах для хищения данных банковских карт. Хакеры взламывают сайты, а затем внедряют на их страницы вредоносный код, который записывает и похищает данные платежных карт, когда пользователи вводят их во время оформления заказа.
Этот подход оказался настолько успешным, что у группировки вскоре появились многочисленные подражатели, а название MageCart стало нарицательным, и теперь им обозначают целый класс подобных атак. И если в 2018 году исследователи RiskIQ идентифицировали 12 таких группировок, то в конце 2019 года, по данным IBM, их насчитывалось уже около 40.
Исследователи Malwarebytes пишут, что обнаруженная ими недавно хак-группа вывела свои операции на совершенно новый уровень сложности. Аналитики компании выявили вредоносную кампанию, расследуя серию странных взломов, единственной целью которых была подмена favicon на взломанных сайтах.
Новые favicon представляли собой файлы изображений, размещенные на сайте MyIcons.net, и не содержали вредоносного кода. И хотя на первый взгляд эта подмена выглядела вполне невинной, эксперты обнаружили на всех пострадавших сайтах веб-скиммеры, а с новыми favicon что-то было не в порядке.
Как показало дальнейшее расследование, хитрость заключалась в том, что сайт MyIcons.net предоставлял легитимный файл favicon для всех страниц атакованного ресурса, кроме тех, где размещались формы оформления заказа.
На страницах оформления заказа MyIcons.net подменял обычный favicon вредоносным файлом JavaScript, который создавал поддельную форму оплаты и воровал введенные в нее данные карты пользователя.
Эксперты отмечают, что владельцы сайтов, заметившие обращения к MyIcons.net, обнаружили бы безвредный портал для хостинга favicon. Однако на самом деле данный сайт выступал клоном легитимного портала IconArchive.com и служил обычной ширмой для проведения атак.
Кроме того, стоит отметить, что данный сайт был размещен на те же серверах, которые ранее использовались в других скиммерских операциях, что несколько недель назад заметили специалисты компании Sucuri.