SEOFAQ Telegram, маркетинг и SEO Канал SEOFAQT в мессенджере Telegram

Все чатыJS-снифферы: важно делать аудита безопасности вашего е-коммерс


JS-снифферы: важно делать аудита безопасности вашего е-коммерс

Угроза JS-снифферов долгое время оставалась вне поля зрения антивирусных аналитиков, считавших ее незначительной и не требующей глубокого изучения. Однако 380 000 жертв JS-сниффера, заразившего сайт и мобильное приложение авиакомпании British Airways, компрометация платежных данных американского дистрибутора билетов Ticketmaster и недавний инцидент с британским сайтом спортивного гиганта FILA, когда риску кражи данных банковских карт подверглись 5600 покупателей, свидетельствуют о необходимости изменить отношение к этой угрозе.

Как атакуют JS-снифферы

Исследование 2440 зараженных сайтов показало, что более половины ресурсов были атакованы сниффером семейства MagentoName. Его операторы используют уязвимости устаревших версий систем управления сайтом CMS Magento для внедрения вредоносного кода на сайты.

Более 13% заражений приходится на долю снифферов семейства WebRank, использующего схему атаки на сторонние сервисы для внедрения вредоносного кода на целевые сайты. Также более 11% приходится на заражения снифферами семейства CoffeMokko, операторы которого используют обфусцированные скрипты, нацеленные на кражу данных из форм оплаты определенных платежных систем, названия полей которых жестко записываются в коде сниффера. Среди таких систем — PayPal, Verisign, Authorize.net, eWAY, Sage Pay, WorldPay, Stripe, USAePay и другие. Многие семейства снифферов используют уникальные варианты для каждой отдельной платежной системы, что требует модификации и тестирования скрипта перед каждым заражением.

Большая часть обнаруженных экспертами снифферов нацелена на платежные формы определенных CMS: Magento, OpenCart, Shopify, WooCommerce, WordPress. К таким семействам относятся PreMage, MagentoName, FakeCDN, Qoogle, GetBilling, PostEval. Другие универсальны и могут быть интегрированы в код любого сайта, независимо от используемого движка (G-Analitycs, WebRank).

Также в ходе исследования были обнаружены признаки «конкурентной борьбы» — некоторые из исследуемых семейств JS-снифферов имеют функциональность обнаружения и ликвидации JS-снифферов конкурирующих групп, уже работающих на сайте-жертве (например, MagentoName). Другие используют «тело» сниффера-конкурента, как паразит, «забирая» у него данные, которые тот перехватывает, и передавая их на свой гейт (например, WebRank). О том, что такие хакерские группы борются друг с другом, ИБ-специалисты впервые сообщали еще в ноябре 2018 года.

Кроме того, снифферы модифицируются в целях затруднения обнаружения: например, ImageID, ReactGet, способны обходить большинство систем обнаружения, благодаря тому, что активируются только в момент совершения покупателем транзакции на сайте, в остальное время сниффер «засыпает» и ничем не выдает себя. Некоторые семейства состоят из уникальных экземпляров, например, CoffeMokko: каждый сниффер данного семейства используется только один раз для заражения одного сайта.

Семейство G-Analytics отличается тем, что помимо внедрения вредоносного кода в клиентскую часть сайта, его авторы также применяют технику внедрения кода в серверную часть сайта, а именно PHP-скрипты, обрабатывающие введенные пользователем данные. Эта значительно затрудняет обнаружение вредоносного кода исследователями. JS-снифферы типа ImageID, G-Analytics умеют имитировать легитимные сервисы, например, Google Analytics и jQuery, маскируя свою активность легитимными скриптами и похожими на легитимные доменными именами.

Источник новости https://t.me/ecomm1/467...