07.09.2020 | Электронный скиммер Baka может удалять себя после хищения данных |
Компания Visa выпустила предупреждение о новом электронном скиммере, известном как Baka, который удаляет себя из памяти после извлечения украденных данных. Новый сценарий хищения данных кредитных карт был обнаружен специалистами в рамках инициативы Visa Payment Fraud Disruption (PFD) в феврале 2020 года при исследовании C&C-сервера, на котором ранее размещался комплект для web-скиммера ImageID. Помимо обычных основных функций скимминга, таких как настраиваемые поля целевой формы и хищение данных с использованием запросов изображений, Baka имеет расширенный дизайн, указывающий на работу опытного разработчика вредоносных программ, а также уникальный метод маскировки и загрузчик. «Скиммер загружается динамически, чтобы избежать использования статических сканеров вредоносных программ, и использует уникальные параметры шифрования для каждой жертвы, чтобы скрыть вредоносный код», — говорится в предупреждении Visa. Данный вариант скиммера позволяет избежать обнаружения и анализа, удаляя себя из памяти, когда он обнаруживает возможность динамического анализа с помощью инструментов разработчика или когда данные были успешно удалены. Специалисты компании Visa обнаружили Baka в нескольких интернет-магазинах из разных стран. Скиммер добавляется на страницы оформления заказа торговца с помощью тега скрипта, а его загрузчик загружает код скимминга с C&C-сервера и выполнят его в памяти. Это позволяет злоумышленникам быть уверенным, что скимминговый код, используемый для сбора данных о клиентах, не будет найден при анализе файлов, размещенных на сервере продавца или компьютере покупателя. Baka также является первой вредоносной JavaScript-программой для скимминга, обнаруженной Visa, которая использует шифр XOR для обфускации кода сканирования, загруженного с C&C-сервера, и любых зашифрованных значений. |
Проверить безопасность сайта