Исследователи в области кибербезопасности рассказали об интересной кампании киберпреступников. Атакуя онлайн-магазины, злоумышленники используют закрытые каналы в Telegram для кражи данных банковских карт, принадлежащих любителям онлайн-шопинга.
Дело в том, что с таким подходом преступники могут эффективнее извлекать данные, да и всю скимминговую операцию осуществить легче.
Новый метод обнаружил Афабл Краут, опираясь на данные компании Sansec, специализирующейся на борьбе со скиммингом. Исследователь изучил вредоносный JavaScript-код, реализующий стандартные методы, препятствующие его анализу.
В специальной ветке в Twitter Краут рассказал, как работает скрипт, а также отметил, что код злоумышленников может собирать данные из любого типа форм ввода, а позже отправлять их в Telegram-канал.
Вся передаваемая информация зашифрована с открытым ключом. Бот в Telegram впоследствии постит украденные данные в чат в виде сообщения.
Краут подчеркнул, что у метода есть существенный минус — любой человек, у которого будет токен для бота, сможет получить контроль над процессом.
По словам специалиста компании Malwarebytes Жерома Сегуры (Jérôme Segura), также изучившего скиммер, идентификатор бота, Telegram-канал и запросы API закодированы с помощью алгоритма Base64. Весь процесс операции продемонстрирован на изображении ниже.
Как отмечается, извлечение данных начинается только в том случае «если текущий URL в браузере содержит ключевое слово, указывающее на торговую площадку и когда пользователь подтверждает покупку». Затем платежные данные отправляются как легитимному процессору платежей, так и киберпреступникам. Данный механизм позволяет обойтись без инфраструктуры для извлечения данных, которая может быть заблокирована защитными решениями или отключена правоохранительными органами.
Более того, говорит Сегура, обеспечить защиту от данного скиммера - нелегкая задача. Блокировка подключения к Telegram станет только временным решением проблемы, поскольку злоумышленники могут воспользоваться и другими легитимными сервисами, позволяющими скрыть процесс извлечения данных.
• Source: https://blog.malwarebytes.com/web-threats/2020/09/web-skimmer-steals-credit-card-data-via-telegram/
Дело в том, что с таким подходом преступники могут эффективнее извлекать данные, да и всю скимминговую операцию осуществить легче.
Новый метод обнаружил Афабл Краут, опираясь на данные компании Sansec, специализирующейся на борьбе со скиммингом. Исследователь изучил вредоносный JavaScript-код, реализующий стандартные методы, препятствующие его анализу.
В специальной ветке в Twitter Краут рассказал, как работает скрипт, а также отметил, что код злоумышленников может собирать данные из любого типа форм ввода, а позже отправлять их в Telegram-канал.
Вся передаваемая информация зашифрована с открытым ключом. Бот в Telegram впоследствии постит украденные данные в чат в виде сообщения.
Краут подчеркнул, что у метода есть существенный минус — любой человек, у которого будет токен для бота, сможет получить контроль над процессом.
По словам специалиста компании Malwarebytes Жерома Сегуры (Jérôme Segura), также изучившего скиммер, идентификатор бота, Telegram-канал и запросы API закодированы с помощью алгоритма Base64. Весь процесс операции продемонстрирован на изображении ниже.
Как отмечается, извлечение данных начинается только в том случае «если текущий URL в браузере содержит ключевое слово, указывающее на торговую площадку и когда пользователь подтверждает покупку». Затем платежные данные отправляются как легитимному процессору платежей, так и киберпреступникам. Данный механизм позволяет обойтись без инфраструктуры для извлечения данных, которая может быть заблокирована защитными решениями или отключена правоохранительными органами.
Более того, говорит Сегура, обеспечить защиту от данного скиммера - нелегкая задача. Блокировка подключения к Telegram станет только временным решением проблемы, поскольку злоумышленники могут воспользоваться и другими легитимными сервисами, позволяющими скрыть процесс извлечения данных.
• Source: https://blog.malwarebytes.com/web-threats/2020/09/web-skimmer-steals-credit-card-data-via-telegram/