За последние годы хакерские группы придумали множество уловок, чтобы скрыть код своих веб-скиммеров от посторонних глаз. Напомню, что таким термином обозначают вредоносные JavaScripts, ворующие из интернет-магазинов данные банковских карт пользователей. Еще такую малварь называют и скриптами MageCart — по названию первой хак-группы, придумавшей подобные атаки.
Ранее исследователи находили веб-скиммеры внутри изображений (логотипы сайтов, favicon, кнопки социальных сетей), в популярных библиотеках, включая jQuery, Modernizr и Google Tag Manager, или внутри различных виджетов, например, в окне чата поддержки.
Теперь же эксперт голландской компании Sanguine Security Виллем де Грот (Willem de Groot) рассказал журналистам издания ZDNet, что обнаружил веб-скиммеры, внедренные в файлы CSS.
Исследователь отмечает, что сейчас CSS уже совсем не тот, что был в начале 2000-х. За последнее десятилетие CSS превратился в мощный инструмент, который веб-разработчики теперь используют для создания серьезных анимаций, причем почти без JavaScript.
Одним из недавних дополнений к CSS стала функция, позволяющая загружать и запускать код JavaScript с помощью правил CSS. Именно этим и злоупотребляют хакеры. Де Гроот говорит, что по меньшей мере одна хак-группа внедряет малварь в файлы CSS и, как правило, это обычный кейлоггер.
Такой малварью уже были заражены несколько неназванных интернет-магазинов, а инфраструктура злоумышленников функционировала примерно с сентября 2020 года, однако после твита исследователи о проблеме, кейлоггер, похоже, был отключен. Де Грот пишет, что все это было похоже на чей-то эксперимент.
The next frontier will be robots.txt https://t.co/2bOq9BKL4A
— gwillem (@gwillem) December 9, 2020
Хотя использование CSS-правил в качестве прокси для загрузки малвари, это что-то новое, эксперт считает, что владельцам сайтов и покупателям стоит переживать не об этом:
«Хотя большинство исследований скимминговых атак связаны с JavaScript, большая часть скимминга происходит на стороне сервера, где он полностью невидим. Примерно 65% наших криминалистических исследований в этом году обнаруживали скиммеры именно на стороне сервера, где те были скрыты в базах данных, PHP-коде или системных процессах Linux».