Занимающиеся веб-скиммингом группы Magecart заразили сотни тысяч сайтов

Занимающиеся веб-скиммингом группы Magecart заразили сотни тысяч сайтов

Атаки, в ходе которых злоумышленники компрометируют сайты онлайн-магазинов, чтобы выкрасть данные банковских карт пользователей, продолжают набирать обороты. У таких вредоносных кампаний есть общее имя — Magecart, под ним действуют многочисленные группировки.

Эти киберпреступники используют технику, известную как веб-скимминг — на атакуемый сайт помещается специальный JavaScript-код, копирующий данные карт пользователей и отправляющий их на сервер злоумышленников.

Инъекции вредоносного кода можно добиться двумя способами: взломать ресурс напрямую или загрузить код через сторонние элементы (например, скрипт аналитики или виджет для поддержки клиентов).

Исследователи компании RiskIQ утверждают, что впервые угроза в виде деятельности Magecart возникла 8 августа 2010 года. С тех пор множество кибергруппировок создавали скимминговые скрипты, пытаясь заразить тысячи сайтов.

По оценкам RiskIQ, жертвами Magecart стали миллионы пользователей — собранные аналитиками данные показали 2 086 529 случаев детектирования деятельности Magecart. В компании полагают, что атаки на цепочки поставок являются главной причиной всплеска активности Magecart.

Из всех групп класса Magecart эксперты выделяют Group 5 — она самая «продвинутая» и успешная. Участники этой группировки специализируются на сторонних поставщиках: предоставляющие аналитические данные SociaPlus и Inbenta. Group 5 в ходе своей деятельности удалось перехватить платёжные данные посетителей сотен сайтов.

Под прицелом таких киберпреступников также находятся незащищённые и неправильно сконфигурированные вёдра Amazon S3, так как на них обычно хранятся ресурсы, используемые множеством доменов.

С начала апреля этого года RiskIQ наблюдала за компрометацией вёдер S3, собрав неутешительную статистику: злоумышленники внедрили скрипты более чем на 18 тысяч хостов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Re­VoL­TE — уязвимость, позволяющая расшифровать и подслушать 4G-звонки

Команда исследователей раскрыла подробности новой уязвимости в протоколе Voice over LTE (VoLTE). В руках злоумышленника эта брешь может привести к взлому шифрования 4G-звонков.

Этот вектор атаки специалисты Рурского университета в Бохуме назвали ReVoLTE, он существует из-за практик операторов сотовой связи, которые часто используют один ключ шифрования для защиты множества 4G-звонков в пределах одной вышки.

Как сообщили эксперты, им уже удалось протестировать ReVoLTE в реальных условиях. В результате выяснилось, что уязвимость затрагивает многих операторов.

Известно, что для голосовых коммуникаций в сетях 4G используется протокол VoLTE, поддерживающий зашифрованные звонки. Для каждого такого звонка оператор связи должен выбрать ключ шифрования. В идеале в каждом отдельном случае должен быть уникальный ключ.

Однако сотрудники Рурского университета в Бохуме выяснили, что не все операторы добросовестно следуют рекомендациям стандарта 4G. В частности, одним ключом шифрования могут быть защищены сразу несколько звонков.

Как правило, эта проблема проявляется на уровне вышки сотовой связи, которая в большинстве случаев повторно использует ключ шифрования.

Если переводить эксплуатацию этой уязвимости на реальную атаку, то злоумышленнику удастся записать разговор двух абонентов, использующих для связи 4G. Потом, чтобы зафиксировать ключ шифрования, атакующий сам осуществит вызов. И позже преступник сможет расшифровать общение с помощью того же ключа шифрования.

Демонстрация эксплуатации вектора атаки ReVoLTE доступна на видео ниже:

Исследователи сообщили о проблеме безопасности операторам и представителям GSMA. Также специалисты опубликовали Android-приложение, с помощью которого операторы сотовой связи смогут проверить, уязвимы ли их вышки перед ReVoLTE.

Технические детали атаки доступны здесь.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru