Компания Group-IB, специализирующаяся на предотвращении кибератак, представила первый аналитический отчет по исследованию JavaScript-снифферов, класса вредоносного кода, предназначенного для кражи данных банковских карт на веб-сайтах. В ходе исследования было проанализировано 2 440 зараженных онлайн-магазинов.
JavaScript-сниффер — это несколько строк кода, который внедряется злоумышленниками на сайт для перехвата вводимых данных: номеров банковских карт, имен, адресов, логинов, паролей и т. д. Полученные платежные данные продаются кардерам на специализированных форумах в даркнете по цене от 1 до 5 долларов за карту. При этом значительная часть форумов с предложениями о покупке и аренде JS-снифферов состоит из русскоязычных киберпреступников. Доход «сниффероводов» может составлять сотни тысяч долларов в месяц.
Эксперты Group-IB выявили 38 разных семейств JS-снифферов, отличающихся уникальными признаками. Из них 15 представлены в отчете, доступном клиентам Group-IB Threat Intelligence. При этом как минимум восемь обнаружены и описаны впервые в мире.
По словам CTO Group-IB Дмитрия Волкова, при заражении сайта в цепочку пострадавших вовлечены все: конечные пользователи, платежные системы, банки и крупные компании, торгующие своими товарами и услугами через Интернет. Проблема неизученности JS-снифферов позволяет группам, создающим такие коды для воровства денег онлайн-покупателей, чувствовать себя безнаказанными.
Исследование зараженных сайтов показало, что более половины были атакованы сниффером семейства MagentoName, операторы которого используют уязвимости устаревших версий систем управления сайтом CMS Magento для внедрения вредоносного кода в код сайтов. Более 13% заражений приходится на долю снифферов семейства WebRank, использующего схему атаки на сторонние сервисы для внедрения вредоносного кода на целевые сайты. Также более 11% приходится на заражения снифферами семейства CoffeMokko, операторы которого используют скрипты, нацеленные на кражу данных из форм оплаты определенных платежных систем. Среди таких систем можно отметить PayPal, Verisign, Authorize.net, eWAY, Sage Pay, WorldPay, Stripe, USAePay и другие. Многие семейства снифферов используют уникальные варианты для каждой отдельной платежной системы, что требует модификации и тестирования скрипта перед каждым заражением.
Также снифферы могут использоваться как определенной преступной группой, разработавшей его, так и другими группами, купившими или взявшими сниффер в аренду. В некоторых случаях сложно определить, сколько преступных групп используют конкретную программу, именно поэтому эксперты Group-IB называют их семействами, а не группами. Стоимость JS-снифферов составляет от 250 до 5 000 долларов на подпольных форумах.
JavaScript-сниффер — это несколько строк кода, который внедряется злоумышленниками на сайт для перехвата вводимых данных: номеров банковских карт, имен, адресов, логинов, паролей и т. д. Полученные платежные данные продаются кардерам на специализированных форумах в даркнете по цене от 1 до 5 долларов за карту. При этом значительная часть форумов с предложениями о покупке и аренде JS-снифферов состоит из русскоязычных киберпреступников. Доход «сниффероводов» может составлять сотни тысяч долларов в месяц.
Эксперты Group-IB выявили 38 разных семейств JS-снифферов, отличающихся уникальными признаками. Из них 15 представлены в отчете, доступном клиентам Group-IB Threat Intelligence. При этом как минимум восемь обнаружены и описаны впервые в мире.
По словам CTO Group-IB Дмитрия Волкова, при заражении сайта в цепочку пострадавших вовлечены все: конечные пользователи, платежные системы, банки и крупные компании, торгующие своими товарами и услугами через Интернет. Проблема неизученности JS-снифферов позволяет группам, создающим такие коды для воровства денег онлайн-покупателей, чувствовать себя безнаказанными.
Исследование зараженных сайтов показало, что более половины были атакованы сниффером семейства MagentoName, операторы которого используют уязвимости устаревших версий систем управления сайтом CMS Magento для внедрения вредоносного кода в код сайтов. Более 13% заражений приходится на долю снифферов семейства WebRank, использующего схему атаки на сторонние сервисы для внедрения вредоносного кода на целевые сайты. Также более 11% приходится на заражения снифферами семейства CoffeMokko, операторы которого используют скрипты, нацеленные на кражу данных из форм оплаты определенных платежных систем. Среди таких систем можно отметить PayPal, Verisign, Authorize.net, eWAY, Sage Pay, WorldPay, Stripe, USAePay и другие. Многие семейства снифферов используют уникальные варианты для каждой отдельной платежной системы, что требует модификации и тестирования скрипта перед каждым заражением.
Также снифферы могут использоваться как определенной преступной группой, разработавшей его, так и другими группами, купившими или взявшими сниффер в аренду. В некоторых случаях сложно определить, сколько преступных групп используют конкретную программу, именно поэтому эксперты Group-IB называют их семействами, а не группами. Стоимость JS-снифферов составляет от 250 до 5 000 долларов на подпольных форумах.
