Эксперты компании Sansec обнаружили новый мультиплатформеный MageCart-скиммер, который способен похищать платежную информацию из скомпрометированных магазинов, работающих на базе Shopify, BigCommerce, Zencart и Woocommerce (даже если те не поддерживают кастомные скрипты для страниц оформления заказа).
Напомню, что изначально название MageCart было присвоено одной хак-группе, которая первой начала внедрять веб-скиммеры (вредоносные JavaScript) на страницы интернет-магазинов для хищения данных банковских карт. Но такой подход оказался настолько успешным, что у вскоре группировки вскоре появились многочисленные подражатели, а название MageCart стало нарицательным, и теперь им обозначают целый класс подобных атак.
Как правило, веб-скиммеры ориентированы на какую-то одну платформу электронной коммерции, однако находка исследователей работает иначе. Аналитики Sansec выявили новую малварь в нескольких десятках магазинов на разных платформах. Вредонос похищает платежные данные, отображая поддельную страницу оплаты (до того, как клиенты увидят реальную форму оплаты), а также использует кейлоггер для данных карты и личной информации.
Чтобы избежать обнаружения, скиммер показывает ошибку, после того как клиенты нажимают кнопку «Продолжить», собираясь предоставить магазину информацию о своей банковской карте. После этого пострадавших перерадресуют обратно, к настоящему оформлению заказа и форме оплаты.
Примечателен и способ извлечения данных, который применяет скиммер. Злоумышленники используют для этих целей автоматически генерируемые домены на основе счетчика и base64 (к примеру, zg9tywlubmftzw5ldza[.]com и zg9tywlubmftzw5ldze[.]com). Эта особенность помогла исследователям понять, как давно активна данная кампания: первый домен для извлечения данных был зарегистрирован еще 31 августа 2020 года.
«Подводя итог: эта кампания показывает, что разные платформы не являются преградой для прибыльного мошенничества в формате онлайн-скимминга. Где бы клиенты ни вводили свои платежные реквизиты, они подвергаются риску», — резюмируют специалисты.