Европол уведомил владельцев более 400 интернет-магазинов о том, что их сайты взломаны и заражены вредоносными скриптами, которые воруют данные дебетовых и кредитных карты у людей, совершающих покупки.
Веб-скиммеры представляют собой небольшие JavaScript-сниппеты, которые внедряются на страницы оформления заказов или загружаются с удаленных ресурсов, чтобы избежать обнаружения. Такие вредоносы предназначены для перехвата и кражи данных платежных карт, имен и адресов доставки, которые затем передаются на серверы злоумышленников.
Впоследствии хакеры используют украденные данные для совершения несанкционированных транзакций (например, совершают покупки в сети) или перепродают информацию об украденных картах другим киберпреступникам в даркнете.
Правоохранители отмечают, что порой такие атаки могут оставаться незамеченными до нескольких месяцев, и киберпреступники могут успеть собрать большое количество данных (в зависимости от популярности взломанных интернет-магазинов).
Как теперь сообщают специалисты, в ходе двухмесячной международной операции, координируемой Европолом и возглавляемой властями Греции, правоохранительные органы из 17 стран мира (включая США, Великобританию, Германию, Колумбию, Испанию, Нидерланды и так далее), а также частные ИБ-компании, включая Group-IB и Sansec, обнаружили заражение веб-скиммерами на 443 сайтах.
Дополнительными подробностями этой операции поделилась компания Group-IB, сообщившая, что обнаружила 23 различных семейства JavaScript-снифферов, включая ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter и R3nin.
Исследователи пишут, что эти вредоносы отличаются скрытным поведением, например, используют Google Tag Manager для обновлений и имитируют код Google Analytics, чтобы избежать обнаружения при проверке кода сайта.
В общей сложности, по данным Group-IB, в 2023 году существовало 132 семейства веб-скиммеров, заражавших сайты по всему миру.
