BlackBerry рапортует о «Silent Skimmer» — вредоносном коде, опустошающем кошельки

Исследователи из компании BlackBerry недавно выявили вредоносную операцию, направленную на онлайн-бизнесы и поставщиков услуг с оплатой через платёжные терминалы ( PoS ). Активность отслеживается под именем «Silent Skimmer» и связана с киберпреступниками, владеющими китайским языком.

«Злоумышленники используют уязвимости веб-приложений, особенно тех, которые размещены на Internet Information Services ( IIS )», — сообщает канадская компания. Целью атаки является компрометация страницы оплаты и кража платёжных данных посетителей.

После успешного вторжения в целевые системы хакеры используют различные инструменты для повышения привилегий, последующей эксплуатации и выполнения кода. Данная цепочка атак обычно приводит к развёртыванию PowerShell -трояна для удалённого доступа, который контролирует хост и связывается с удалённым сервером.

Основная цель вторжения, как указано BlackBerry, — проникновение на веб-сервер и установка скрейпера в службе платёжной проверки через веб-оболочку, чтобы тайно перехватывать и сохранять всю финансовую информацию, вводимую жертвами.

Анализ инфраструктуры атакующих показал, что виртуальные частные серверы ( VPS ), используемые в целях управления и контроля ( C2 ) выбираются злоумышленниками на основе геолокации жертв. Разнообразие целевых отраслей и регионов указывает на то, что кампания носит скорее случайный, чем целенаправленный характер.

В BlackBerry подчёркивают: «Атакующие преимущественно концентрируется на региональных сайтах, которые собирают платёжные данные, используя уязвимости в широко используемых технологиях для получения несанкционированного доступа и извлечения конфиденциальной платёжной информации, введённой или хранящейся на сайте».

Примечательно, что специалисты BlackBerry раскрыли кампанию вскоре после того, как их коллеги из Sophos описали похожую вредоносную операцию с использованием метода Pig Butchering . В этой схеме потенциальные жертвы вовлекались в инвестиции по ложным криптовалютным схемам, «откармливаясь обещаниями» о высокой доходности и быстром выводе средств.

«Для этих мошенничеств даже не требуется вредоносное ПО на устройстве жертвы, только поддельные сайты и социальная инженерия», — заявил Шон Галлахер, исследователь безопасности Sophos.