• Главная /
• Новости /
• Group-IB представила первый отчет по крадущему данные банковских карт на сайтах вредоносному ПО

Group-IB представила первый отчет по крадущему данные банковских карт на сайтах вредоносному ПО

Компания Group-IB, специализирующаяся на предотвращении кибератак, представила первый аналитический отчет по исследованию JavaScript-снифферов, класса вредоносного кода, предназначенного для кражи данных банковских карт на web-сайтах. В ходе исследования было проанализировано 2440 зараженных онлайн-магазинов.

JavaScript-сниффер – это несколько строк кода, который внедряется злоумышленниками на сайт для перехвата вводимых данных: номеров банковских карт, имен, адресов, логинов, паролей и т.д. Полученные платежные данные продаются кардерам на специализированных форумах в даркнете по цене от 1 доллара до 5 долларов за карту. При этом значительная часть форумов с предложениями о покупке и аренде JS-снифферов состоит из русскоязычных киберпреступников. Доход «сниффероводов» может составлять сотни тысяч долларов в месяц.

Эксперты Group-IB выявили 38 разных семейств JS-снифферов, отличающихся уникальными признаками. Из них 15 представлены в отчете, доступном клиентам Group-IB Threat Intelligence. При этом, как минимум, 8 обнаружены и описаны впервые в мире.

По словам CTO Group-IB Дмитрия Волкова, при заражении сайта в цепочку пострадавших вовлечены все — конечные пользователи, платежные системы, банки и крупные компании, торгующие своими товарами и услугами через интернет. Проблема неизученности JS-снифферов позволяет группам, создающим такие коды для воровства денег онлайн-покупателей, чувствовать себя безнаказанными.

Исследование зараженных сайтов показало, что более половины были атакованы сниффером семейства MagentoName, операторы которого используют уязвимости устаревших версий систем управления сайтом CMS Magento для внедрения вредоносного кода в код сайтов. Более 13% заражений приходится на долю снифферов семейства WebRank, использующего схему атаки на сторонние сервисы для внедрения вредоносного кода на целевые сайты. Также более 11% приходится на заражения снифферами семейства CoffeMokko, операторы которого используют скрипты, нацеленные на кражу данных из форм оплаты определенных платежных систем. Среди таких систем — PayPal, Verisign, Authorize.net, eWAY, Sage Pay, WorldPay, Stripe, USAePay и другие. Многие семейства снифферов используют уникальные варианты для каждой отдельной платежной системы, что требует модификации и тестирования скрипта перед каждым заражением.

Также снифферы могут использоваться как определенной преступной группой, разработавшей его, так и другими группами, купившими или взявшими сниффер в аренду. В некоторых случаях сложно определить, сколько преступных групп используют конкретную программу, именно поэтому эксперты Group-IB называют их семействами, а не группами. Стоимость JS-снифферов составляет от 250 долларов до 5000 долларов на подпольных форумах.