Тъй като манията за най-новите маратонки Off-White, Nike и Adidas се разраства лавинообразно, сайтовете, които продават фалшиви спортни обувки, наизскочиха, за да се възползват от клиенти, търсещи най-добрата сделка. За да направят лошата сделка още по-лоша, сега хакерите се насочват към тези сайтове, за да инсталират злонамерени скриптове на Magecart, които също крадат информацията за кредитната ви карта.
Когато купувачите купуват маратонки от фалшивите сайтове, те ще установят, че не са получили маратонките, които са очаквали, а в някои случаи може да не получат нищо.
В нов доклад на експерти по киберсигурност се описва мащабна хакерска операция, която е насочена към тези фалшиви сайтове за маратонки и ги зарази със злонамерени скриптове, за да откраднат кредитните карти на купувача.
“Неотдавна идентифицирахме скимер на кредитни карти, инжектиран в стотици измамни сайтове, продаващи фалшиви обувки с марка. Нещастните купувачи може да не са само разочаровани от фалшивата стока, но и ще предадат личните си и финансови данни на измамниците на Magecart.”
Тези видове злонамерени скриптове се наричат атаки на Magecart – хакерът компрометира онлайн магазин, така че предоставената информация за кредитната карта се краде и изпраща на отдалечен сървър, управляван от нападателите.
Фалшивите маратонки са лоша сделка
Много от сайтовете за фалшиви маратонки, идентифицирани от експертите, все още са онлайн, така че успяхме лесно да проверим един от тях за скриптове на Magecart, които крадат информация за кредитни карти.
Като пример за една от „сделките“, които можете да получите в тези фалшиви сайтове за маратонки, едната е продажба на кецове Off-White Nike Air Force 1 Low, които обикновено струват около 2000 долара, само за 134 долара.
Според експертите хакерите вкарват в тези сайтове за маратонки злонамерен скрипт с име translate.js. След проверка на изходния код за страницата за плащане на сайта, JavaScript файл с име /js/mage/translate.js беше видян, както е показано по-долу.
От пръв поглед изглежда, че този скрипт принадлежи на платформата за електронна търговия Magento, която се използва за създаване на фалшиви сайтове за маратонки. Ако погледнете отблизо обаче, можете да видите, че объркан JavaScript е добавен в долната част на скрипта Magento.
След стартиране на JavaScript чрез JS козметик, можем да видим, че скриптът събира предоставена информация за кредитна карта, въведена от купувача и след това я изпраща до сайт, разположен на адрес http://103.139.11.34. След това тази открадната информация за кредитната карта може да бъде събрана по-късно от нападателите.
След анализ на всички сайтове, които са компрометирани, на изследователя на информация за заплахата , Жером Сегура, стана ясно, че всички сайтове споделят нещо общо. Всички те работеха с подобни шаблони, използвайки остаряла версия на езика за програмиране на PHP, използвайки Magento , и бяха разположени на малък брой подмрежи на IP адреси.
Поради това Сегура смята, че нападателят е извършил масово сканиране, търсейки уязвими сайтове, вероятно такива, работещи с Magento или остарели версии на PHP, и удари джакпота с тази група фалшиви сайтове за маратонки.
„Мисля, че това е автоматизиран скенер, който се случило да обходи тези IP диапазони и тъй като всички сайтове са почти копие един на друг (и всички остарели), той имаше успешен ден“, заяви в разговор изследователят на разузнавателните заплахи Жером Сегура .
Ако наскоро сте закупили маратонки на сравнително непознат уеб сайт, може да искате да проверите блога на Malwarebytes, за да видите пълния списък на компрометирани магазини.
Ако сте пазарували в някой от изброените магазини, трябва да се свържете с вашата финансова институция, издала вашата карта, за да обясните какво се е случило и да продължите да следите извлеченията си за съмнителни или измамни такси.
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08