Этот подход оказался настолько успешным, что у группировки вскоре появились многочисленные подражатели, а название MageCart стало нарицательным, и теперь им обозначают целый класс подобных атак. И если в 2018 году исследователи RiskIQ идентифицировали 12 таких группировок, то в конце 2019 года, по данным IBM, их насчитывалось уже около 40.
Исследователи Malwarebytes пишут, что обнаруженная ими недавно хак-группа вывела свои операции на совершенно новый уровень сложности. Аналитики компании выявили вредоносную кампанию, расследуя серию странных взломов, единственной целью которых была подмена favicon на взломанных сайтах. (Favicon - значок веб-сайта или веб-страницы. Отображается браузером во вкладке перед названием страницы, а также в качестве картинки рядом с закладкой, во вкладках и в других элементах интерфейса).
Новые favicon представляли собой файлы изображений, размещенные на сайте MyIcons.net, и не содержали вредоносного кода. И хотя на первый взгляд эта подмена выглядела вполне невинной, эксперты обнаружили на всех пострадавших сайтах веб-скиммеры, а с новыми favicon что-то было не в порядке.
Как показало дальнейшее расследование, хитрость заключалась в том, что сайт MyIcons.net предоставлял легитимный файл favicon для всех страниц атакованного ресурса, кроме тех, где размещались формы оформления заказа.
На страницах оформления заказа MyIcons.net подменял обычный favicon вредоносным файлом JavaScript, который создавал поддельную форму оплаты и воровал введенные в нее данные карты пользователя.
Эксперты отмечают, что владельцы сайтов, заметившие обращения к MyIcons.net, обнаружили бы безвредный портал для хостинга favicon. Однако на самом деле данный сайт выступал клоном легитимного портала IconArchive.com и служил обычной ширмой для проведения атак.
Кроме того, стоит отметить, что данный сайт был размещен на те же серверах, которые ранее использовались в других скиммерских операциях, что несколько недель назад заметили специалисты компании Sucuri.
Источник - xakep.ru