Новости Mongolian Skimmer: как Unicode помогает хакерам маскировать вредоносный код

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Киберзлодеи умудряются атаковать одни и те же сайты одновременно. Как они делят выручку?


xs2qbjxhd51mvgqr5hca5wnktehuidel.jpg


Исследователи безопасности из компании Jscrambler Для просмотра ссылки Войди или Зарегистрируйся новую кампанию по цифровому скиммингу, которая использует символы Unicode, многие из которых являются невидимыми, для сокрытия вредоносного кода под названием Mongolian Skimmer. Основной целью скиммера является кража конфиденциальных данных, вводимых на страницах оформления заказа в интернет-магазинах, включая финансовую информацию.

Mongolian Skimmer внедряется на взломанных сайтах в виде встроенного скрипта, который загружает основной вредоносный код с внешнего сервера. При этом скрипт способен обходить меры анализа и отладки, отключая определённые функции при активации инструментов разработчика в браузере.

Благодаря возможности JavaScript использовать любые символы Unicode в идентификаторах, злоумышленникам успешно удаётся скрывать вредоносный функционал от посторонних глаз.

По словам эксперта Jscrambler Педро Фортуны, скиммер применяет известные техники для обеспечения совместимости с разными браузерами, что позволяет ему атаковать широкий круг пользователей, независимо от версии браузера.

Также была обнаружена нестандартная версия загрузчика, активирующая скиммер только при взаимодействии пользователя с сайтом — например, при прокрутке страницы или движении мыши. Такой подход не только помогает обходить системы защиты от ботов, но и снижает нагрузку на сайт, минимизируя негативное воздействие на его производительность.

Забавно, что на одном из взломанных сайтов, через который распространялся Mongolian Skimmer, исследователи обнаружили активность сразу двух групп киберпреступников. Злоумышленники общались через комментарии в исходном коде сайта, договариваясь о разделе прибыли. В одном из сообщений один из злоумышленников предложил делить доходы пополам: «50/50, может быть?». Другой киберпреступник согласился, добавив: «Ты можешь вставить свой код :)».

Специалисты подчёркивают, что используемые методы обфускации с применением Unicode, хотя и могут показаться новыми, на самом деле являются давно известными техниками, которые лишь создают видимость сложного шифрования.

Возросшая популярность цифровых скиммеров достигает новой стадии — киберпреступники уже вынуждены делить прибыль, конкурируя за контроль над одним и тем же сайтом. Обсуждения о «честной» делёжке доходов прямо в исходном коде лишь подчёркивают, насколько распространёнными и обыденными стали эти методы кибератак.
 
Источник новости
www.securitylab.ru

Похожие темы