Специалисты компании Gemini Advisory представили отчет о деятельности хакерской группировки Keeper, которая активна как минимум с 2017 года. Данная группа промышляет веб-скиммингом или атаками типа MageCart (названными так в честь первой группы хакеров, которая использовала эту тактику). То есть злоумышленники взламывают интернет-магазины и внедряют в их код вредоносные скрипты, которые воруют данные платежных карт, введенные покупателями при оформлении заказа.
Другие ИБ-компании отслеживают эту группировку под кодовыми названиями Magecart-группа № 8, CoffeeMokko и JS-Sniffers 4.
Исследователи из Gemini Advisory смогли разобраться в активности группы, так как хакеры использовали одинаковые панели управления для своих внутренних серверов, где собирали данные похищенных карт. Фингерпринтинг бэкэнд-панели помог специалистам проследить всю историю Keeper и обнаружить местоположение старых бэкэнд-панелей, URL-адреса инфраструктуры, а также составить список взломанных интернет-магазинов.
Сообщается, что примерно 85% всех взломанных группой магазинов работали на платформе Magento, и большинство из них относились к сегменту среднего и малого бизнеса. Согласно рейтингам Amazon и Alexa, подавляющее большинство пострадавших сайтов были совсем небольшими, но среди жертв Keeper было и несколько громких имен, то есть сайтов, которые привлекали от 500 000 до 1 000 000 посетителей в месяц:
Изучая инфраструктуру хак-группы, аналитики Gemini Advisory обнаружили, что хакеры не сумели должным образом защитить одну из своих бэкэнд-панелей, где собирали информацию о ворованных картах. Полученные экспертами логи содержали данные примерно 184 000 карт, похищенных в период с июля 2018 года по апрель 2019 года.
Учитывая, что всего за девять месяцев злоумышленники смогли украсть данные о 184 000 платежных картах, специалисты подсчитали, что за весь период активности, начиная с 2017 года, группировка скомпрометировала примерно 700 000 карт.
«Учитывая, что текущая медианная цена одной CNP-карты в даркнете равна 10 долларам США, за время своего существования данная группировка, вероятно, заработала более 7 000 000 долларов США, похищая и продавая информацию о платежных картах», — предполагают исследователи.
Полный список всех скомпрометированных Keeper сайтов можно найти в отчете компании.