Дарителите на борбата с пожарите в Австралия са ударени от атака с кражба на данни от кредитни карти

Дарителите на борбата с пожарите в Австралия са ударени от атака с кражба на данни от кредитни карти
Australia

Кибер престъпници са компрометирали уебсайт, който събира дарения за жертвите на пожарите в Австралия и са инжектирали злонамерен скрипт, който краде информацията за плащанията на дарителите.

Този тип атака се нарича Magecart и включва хакери, компрометиращи уеб сайтове  и инжектиране на злонамерен JavaScript в страниците за електронна търговия или каси. След това тези скриптове ще откраднат всяка предоставена кредитна карта или платежна информация и ще я изпратят до отдалечен сайт под контрола на нападателя.

Екипът за разузнаване на заплахата от САЩ откри легитимен уеб сайт, който събира дарения за трагичните събития в Австралия, които бяха компрометирани от сценарий на Magecart.

Въпреки че донорите вероятно не са били насочени от тази атака, те за съжаление са попаднали в кръстосания огън.

Когато посетител на сайта добави артикул в кошницата си, като например дарение, злонамерен скрипт за скимер на кредитна карта, наречен ATMZOW, ще бъде зареден в страниците за плащане

Когато потребител изпрати данните си за плащане като част от процеса на плащане, злонамереният скрипт ще открадне предоставената информация и ще я изпрати до домейна vamberlo [.] Com. Този домейн е скрит в скрипта, както е показано по-долу.

Жером Сегура заяви, че след като разберал за компрометирания сайт, е успял да затвори vamberlo [.] Com.

Засега това означава, че всички посетители на сайта вече няма да им бъдат откраднати данните за плащане.

Тъй като кодът все още е активен на сайта, той може да бъде модифициран от хакерите, за да се използва нов домейн, който ще даде възможност за скрипт на скиминг отново.

Сегура се свърза с сайта относно злонамерения скрипт, инжектиран в техния магазин за електронна търговия, но за момента собствениците  нехаят.

Скиммер активен на други сайтове

Използвайки инструмента PublicWWW, Трой Мърч  of Bad Packets Report също откри, че този същия скрипт в момента е активен в други 39 уебсайтове.

Не е известно дали тези сайтове използват един и същ домейн за изпращане на информация за плащане.

Ако са, тогава със спирането на домейна vamberlo [.] Com, те вече няма да бъдат активни.

Източник: по материали от интернет.

Сподели в:

Категории:

Следвай ни в: