Кибер престъпници са компрометирали уебсайт, който събира дарения за жертвите на пожарите в Австралия и са инжектирали злонамерен скрипт, който краде информацията за плащанията на дарителите.
Този тип атака се нарича Magecart и включва хакери, компрометиращи уеб сайтове и инжектиране на злонамерен JavaScript в страниците за електронна търговия или каси. След това тези скриптове ще откраднат всяка предоставена кредитна карта или платежна информация и ще я изпратят до отдалечен сайт под контрола на нападателя.
Екипът за разузнаване на заплахата от САЩ откри легитимен уеб сайт, който събира дарения за трагичните събития в Австралия, които бяха компрометирани от сценарий на Magecart.
Въпреки че донорите вероятно не са били насочени от тази атака, те за съжаление са попаднали в кръстосания огън.
Когато посетител на сайта добави артикул в кошницата си, като например дарение, злонамерен скрипт за скимер на кредитна карта, наречен ATMZOW, ще бъде зареден в страниците за плащане
Когато потребител изпрати данните си за плащане като част от процеса на плащане, злонамереният скрипт ще открадне предоставената информация и ще я изпрати до домейна vamberlo [.] Com. Този домейн е скрит в скрипта, както е показано по-долу.
Жером Сегура заяви, че след като разберал за компрометирания сайт, е успял да затвори vamberlo [.] Com.
Засега това означава, че всички посетители на сайта вече няма да им бъдат откраднати данните за плащане.
Тъй като кодът все още е активен на сайта, той може да бъде модифициран от хакерите, за да се използва нов домейн, който ще даде възможност за скрипт на скиминг отново.
Сегура се свърза с сайта относно злонамерения скрипт, инжектиран в техния магазин за електронна търговия, но за момента собствениците нехаят.
Скиммер активен на други сайтове
Използвайки инструмента PublicWWW, Трой Мърч of Bad Packets Report също откри, че този същия скрипт в момента е активен в други 39 уебсайтове.
Не е известно дали тези сайтове използват един и същ домейн за изпращане на информация за плащане.
Ако са, тогава със спирането на домейна vamberlo [.] Com, те вече няма да бъдат активни.
Източник: по материали от интернет.