Компания Group-IB, занимающаяся расследованием и предотвращением киберпреступлений, представила первый в России аналитический отчёт, посвящённый исследованию JavaScript-снифферов. Эксперты проанализировали 2440 заражённых онлайн-магазинов, посетители которых подверглись риску компрометации.
JS-снифферы представляют собой класс вредоносного кода, предназначенного для кражи данных банковских карт на сайтах. Как отмечает в Group-IB, продолжительное время антивирусные аналитики считали эту угрозу незначительной, но несколько серьёзных происшествий, вроде заражённого сайта и мобильного приложения авиакомпании British Airways или инцидента с британским сайтом спортивного гиганта FILA, должны изменить точку зрения специалистов.
При заражении сайта в цепочку пострадавших вовлечены все — конечные пользователи, платежные системы, банки и крупные компании, торгующие своими товарами и услугами через Интернет. Тот факт, что об инцидентах и ущербе, нанесённом JS-снифферами до сих пор почти ничего неизвестно, говорит о слабой изученности этой проблемы и позволяет группам, создающим снифферы для воровства денег онлайн-покупателей, чувствовать себя безнаказанными, — отмечает сооснователь компании Дмитрий Волков.
Злоумышленники продают полученные данные кардерам (людям, специализирующимся на мошенничестве при помощи кредиток — News.ru). Цена одной украденной карты составляет от $1 до $5, но бывают случаи, когда её стоимость увеличивается до $10-$15. Значительная часть форумов с предложениями о покупке и аренде JS-снифферов состоит из русскоязычных киберпреступников.
Больше половины исследованных заражённых сайтов были атакованы сниффером семейства MagentoName. Его операторы используют уязвимости устаревших версий систем управления сайтом CMS Magento (Content Management System) для внедрения вредоносного кода в код сайтов, работающих под управлением этой CMS.
Более 13% заражений приходится на долю снифферов семейства WebRank, использующего схему атаки на сторонние сервисы для внедрения вредоносного кода на целевые сайты, а более 11% — семейства CoffeMokko, операторы которого используют обфусцированные скрипты. Они нацелены на кражу данных из форм оплаты определенных платёжных систем (например, PayPal, Verisign, Authorize.net, eWAY).
Кроме того, киберпреступники могли не только внедрить JS-снифферы, но и подготовить полноценную поддельную платёжную форму, которая подгружалась с другого скомпрометированного сайта. Она предлагала пользователю два варианта оплаты: при помощи кредитки и PayPal. При этом оплата через платёжную систему изначально была недоступна, поэтому пользователю приходилось использовать банковскую карту.
Стоимость JS-снифферов составляет от $250 до $5000 на подпольных форумах. Более того, некоторые сервисы предлагают желающим поработать в команде: клиент предоставляет доступ к скомпрометированному онлайн-магазину и получает процент от дохода, а создатель «товара» отвечает за серверы для хостинга, техподдержку и административную панель для клиента. Подобные схемы усложняют соотнесение совершенного преступления с конкретной группой, но, как считают в Group-IB, выявленные компанией 38 разных семейств JS-снифферов, отличающихся уникальными признаками, вместе с рекомендациями для покупателей, банков, онлайн-магазинов и платёжных систем позволяют решить эту проблему.
В начале марта News.ru сообщил, что «Лаборатория Касперского» обнаружила схему распространения рекламного и вредоносного программного обеспечения через популярный торрент-трекер The Pirate Bay. Она получила говорящее название PirateMatryoshka, так как состоит из нескольких компонентов, каждый из которых запускает действие последующего.
