Расследованием занимались специалисты из Cyble.

Расследование началось после того, как специалисты увидели сообщение в Twitter , в котором говорилось о новом JavaScript-скиммере, разработанном группировкой Magecart и используемом для атак на сайты онлайн-магазина Magneto.

В ходе атак на Magneto хакеры пытаются использовать уязвимости в популярной CMS, чтобы получить доступ к исходному коду сайта и внедрить вредоносный JavaScript-код, который предназначен для перехвата платежных данных (имя владельца кредитной/дебетовой карты, номер кредитной/дебетовой карты, CVV-номер и срок действия) из платежных форм и страниц оформления заказа. Вредоносный код также выполняет некоторые проверки, чтобы определить, что данные находятся в правильном формате.

В случае, который обнаружили исследователи, когда пользователь заходит на взломанный сайт, скиммер загружает накладку на форму для сбора платежной информации.

Накладка, создаваемая скиммером

Как только жертва вводит свои платежные данные в форму, JavaScript-файл собирает их, а затем, используя метод POST, отправляет собранные данные в формате Base64 на нужный URL-адрес. Кроме того, эксперты из Cyble заметили, что скиммер проверяет, открыты ли инструменты разработчика браузера, чтобы оставаться незаметным.

Подводя итоги, специалисты порекомендовали пользователям быть бдительными во время покупок в интернете и использовать только надежные онлайн-магазины.

Источник: securitylab