ИБ-специалист, известный под псевдонимом Affable Kraut, обнаружил, что операторы веб-скиммеров стали использовать Telegram-каналы для извлечения похищенных у пользователей данных. К такому выводу он пришел, опираясь на информацию, полученную компанией Sansec, которая специализируется на борьбе с цифровым скиммингом и Magecart-атаками.
Напомню, что изначально название MageCart было присвоено одной хак-группе, которая первой начала внедрять веб-скиммеры (вредоносные JavaScript) на страницы интернет-магазинов для хищения данных банковских карт. Но такой подход оказался настолько успешным, что у группировки вскоре появились многочисленные подражатели, а название MageCart стало нарицательным, и теперь им обозначают целый класс подобных атак. И если в 2018 году исследователи RiskIQ идентифицировали
Исследователь
Вся передаваемая информация зашифрована с использованием публичного ключа, и получив ее, специальный Telegram-бот отправляет украденные данные в чат в виде обыкновенных сообщений.
Affable Kraut отмечает, что этот метод кражи данных, судя по всему, весьма эффективен, но имеет существенный минус: любой, у кого есть токен для Telegram- бота, может взять процесс под свой контроль.
Главный исследователь из компании Malwarebytes, Джером Сегура, тоже заинтересовался данным скриптом, а
Исследователь отмечает, что кража данных происходит лишь в том случае, если текущий URL-адрес в браузере содержит одно из ключевых слов, указывающее на то, что это интернет-магазин, и лишь когда пользователь подтверждает покупку. После этого платежные реквизиты будут отправлены как обработчику платежей, так и киберпреступникам.
Сегура пишет, что такой механизм извлечения данных – это весьма практическое решение, ведь он позволяет злоумышленникам не беспокоиться о создании специальной инфраструктуры для этих целей. Кроме того, защититься от такого варианта скиммера будет непросто. Блокировка Telegram-соединений будет лишь временным решением, так как затем злоумышленники могут начать использовать другой легитимный сервис, который так же будет маскировать «слив» данных.