Исследователи безопасности обнаружили, что некоторые киберпреступники, атакующие интернет-магазины, используют Telegram для извлечения информации с кредитных карт клиентов, совершающих покупки.
Этот трюк делает кражу данных более эффективной и облегчает полное управление операцией снятия карты.
Новый метод был открыт Affable Kraut с использованием данных Sansec, компании, специализирующейся на борьбе с цифровыми технологиями. снятие пены. Исследователь проанализировал вредоносные JavaScript, который включает общие механизмы антианализа.
В ветке в TwitterКраут объясняет, как работает скрипт, отмечая, что он собирает данные из любого типа поля ввода и отправляет их в канал Telegram.
Вся информация зашифрована с помощью одного открытый ключ. Затем «Telegram-бот» публикует украденные данные в разговоре в виде сообщения.
Краут отмечает, что, хотя этот метод эффективен для кражи данных, он может превратиться в бумеранг, потому что любой, у кого есть токен «бота Telegram», может взять под контроль процесс.
Жером Сегура, директор отдела аналитики угроз компании Malwarebytes, также проанализировал этот скрипт, заявив, что его автор применил простую кодировку Base64 к идентификатору бота, каналу Telegram и запросу API. На следующем изображении показано, как работает весь процесс.
Исследователь утверждает, что кража данных начинается только «в том случае, если текущий URL-адрес браузера содержит ключевое слово, указывающее на сайт покупок, и когда пользователь подтверждает покупку». После этого платежные реквизиты будут отправлены как законному обработчику платежей, так и киберпреступникам.
В опубликованном сегодня анализе Segura указывает, что этот механизм устраняет необходимость в инфраструктуре для кражи данных, которая может быть заблокирована решениями безопасности или отменена правоохранительными органами.
Кроме того, защитить от этого варианта скиммера непросто. Блокировка соединений Telegram - временное решение, поскольку злоумышленники могут выбрать другой юридический сервис, чтобы скрыть кражу.
В прошлом Telegram использовался для извлечения украденных данных. В прошлом году Juniper Networks опубликовала исследование о "воре информации" по имени "Масад Клиппер и Стилер", который использовал платформу для конфиденциальной доставки киберпреступников. данные хранятся в браузере жертвы (логины, адреса, кредитные карты).
Сегура говорит, что Malwarebytes обнаружил некоторые интернет-магазины, зараженные этим изменение карточного скиммера. Однако исследователь считает, что это не единственные, и что заражено гораздо больше.
Greek
Chinese (Simplified)
English
Greek
Russian