Компания Group-IB выпустила первый в России отчет по исследованию JavaScript-снифферов – вредоносного ПО для кражи данных банковских карт посетителей сайтов электронной коммерции.
Ранее черный рынок снифферов в России не изучался, а первыми, кто начал исследовать данную тему на мировой арене, стали специалисты компаний RiskIQ и Flashpoint. Они выделили 12 киберпреступных группировок, использующих вышеупомянутое вредоносное ПО, и объединили их под общим названием MageCart. Эксперты Group-IB изучили обнаруженные снифферы и с помощью собственных аналитических систем исследовали инфраструктуру и получили доступ к исходным кодам, панелям администраторов и инструментам злоумышленников.
В ходе исследования специалисты проанализировали 2440 взломанных интернет-магазинов, посетители которых подверглись риску компрометации (порядка 1,5 млн человек в день). В общей сложности им удалось выявить 38 разных семейств снифферов, отличающихся уникальными признаками.
Более половины изученных сайтов были заражены снифферами семейства MagentoName, операторы которого используют уязвимости в устаревших версиях систем управления контентом Magento. Более 13% заражений приходится на долю снифферов семейства WebRank, использующего схему атаки на сторонние сервисы для внедрения вредоносного кода на атакуемые сайты. Также более 11% приходится на заражения снифферами семейства CoffeMokko, использующего обфусцированные скрипты для кражи данных из платежных форм определенных платежных систем. Названия полей вшиты в код самого вредоноса.
«При заражении сайта в цепочку пострадавших вовлечены все – конечные пользователи, платежные системы, банки и крупные компании, торгующие своими товарами и услугами через интернет. Тот факт, что об инцидентах и ущербе, нанесенном JS-снифферами, до сих пор почти ничего неизвестно, говорит о слабой изученности этой проблемы и позволяет группам, создающим снифферы для воровства денег онлайн-покупателей, чувствовать себя безнаказанными», – отметил главный технический директор Group-IB Дмитрий Волков.
