Mongolian Skimmer: как Unicode помогает хакерам маскировать вредоносный код

Mongolian Skimmer: как Unicode помогает хакерам маскировать вредоносный код

Киберзлодеи умудряются атаковать одни и те же сайты одновременно. Как они делят выручку?

image

Исследователи безопасности из компании Jscrambler обнаружили новую кампанию по цифровому скиммингу, которая использует символы Unicode, многие из которых являются невидимыми, для сокрытия вредоносного кода под названием Mongolian Skimmer. Основной целью скиммера является кража конфиденциальных данных, вводимых на страницах оформления заказа в интернет-магазинах, включая финансовую информацию.

Mongolian Skimmer внедряется на взломанных сайтах в виде встроенного скрипта, который загружает основной вредоносный код с внешнего сервера. При этом скрипт способен обходить меры анализа и отладки, отключая определённые функции при активации инструментов разработчика в браузере.

Благодаря возможности JavaScript использовать любые символы Unicode в идентификаторах, злоумышленникам успешно удаётся скрывать вредоносный функционал от посторонних глаз.

По словам эксперта Jscrambler Педро Фортуны, скиммер применяет известные техники для обеспечения совместимости с разными браузерами, что позволяет ему атаковать широкий круг пользователей, независимо от версии браузера.

Также была обнаружена нестандартная версия загрузчика, активирующая скиммер только при взаимодействии пользователя с сайтом — например, при прокрутке страницы или движении мыши. Такой подход не только помогает обходить системы защиты от ботов, но и снижает нагрузку на сайт, минимизируя негативное воздействие на его производительность.

Забавно, что на одном из взломанных сайтов, через который распространялся Mongolian Skimmer, исследователи обнаружили активность сразу двух групп киберпреступников. Злоумышленники общались через комментарии в исходном коде сайта, договариваясь о разделе прибыли. В одном из сообщений первый злоумышленник предложил второму поделить доходы пополам: «50/50, может быть?». Тот согласился, добавив: «Ты можешь вставить свой код :)».

Специалисты подчёркивают, что используемые методы обфускации с применением Unicode, хотя и могут показаться новыми, на самом деле являются давно известными техниками, которые лишь создают видимость сложного шифрования.

Возросшая популярность цифровых скиммеров достигает новой стадии — киберпреступники уже вынуждены делить прибыль, конкурируя за контроль над одним и тем же сайтом. Обсуждения о «честной» делёжке доходов прямо в исходном коде лишь подчёркивают, насколько распространёнными и обыденными стали эти методы кибератак.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий