Новости Группировки Magecart прячут скиммеры с помощью доменов-гомоглифов

Ахилл

Профессионал
Ветеран пробива
Private Club
Старожил
️Платиновый меценат💰️💰️💰️💰️
Регистрация
27/7/18
Сообщения
3.851
Репутация
15.431
Реакции
23.684
RUB
0
Сделок через гаранта
16
Злоумышленники воспользовались визуальным сходством символов для создания мошеннических версий доменов.

Исследователи кибербезопасности из компании Malwarebytes о методе фишинга, в рамках которого злоумышленники используют гомоглифические доменные имена и модифицированные фавиконы (значки web-сайтов) для внедрения электронных скиммеров и хищения данных платежных картах пользователей.

Идея состоит в использовании одинаково выглядящих символов для визуального обмана пользователей. Гомоглиф — одна из двух или более графем, знаков или глифов с формами, которые или кажутся идентичными, или не могут быть дифференцированы быстрым визуальным осмотром. Например, русская «а» и английская «a» — гомоглифы.

Киберпреступные группировки, объединенные ИБ-экспертами под общим названием Magecart, осуществляли гомоглифические атаки на архитектуру IDN (интернационализированные доменные имена) для внедрения скиммера Inter, скрытого внутри фавикона.

Злоумышленники воспользовались визуальным сходством символов для создания и регистрации мошеннических версий существующих доменов с целью обмануть ничего не подозревающих пользователей и заставить их посетить вредоносные web-сайты.

По словам экспертов, в нескольких случаях легитимные web-сайты были взломаны и в них был внедрен фрагмент кода со ссылкой на файл значка, который загружает копию фавикона с вредоносного сайта. Фавикон, загруженный из поддельного домена, впоследствии использовался для внедрения скиммера Inter, который фиксирует введенную на странице оплаты информацию и передает ее мошенникам.

Один из таких такой поддельных доменов («zoplm.com») ранее был связан с Magecart Group 8, которая осуществила атаки на электронные магазины NutriBullet, MyPillow и Amerisleep. Злоумышленники сайт компании My Pillow в октябре минувшего года и запустили домен с похожим названием и установленным SSL-сертификатом, выданным центром сертификации Let’s Encrypt.
 
Сверху Снизу