Visa предупредила о новом JavaScript-скиммере, ворующем данные банковских карт. Получивший имя Baka вредонос использует новые методы для обхода детектирования. Действует Baka хитро: после извлечения данных платёжных карт скиммер удаляет себя из памяти.
Первой на зловред обратила внимание команда Visa Payment Fraud Disruption (PFD), занимающаяся борьбой с мошенничеством. В феврале 2020 года PFD изучала командный сервер (C2), который использовался в другой кампании и на котором хранился набор скиммеров ImageID. Именно тогда специалисты вышли на новый образец.
Baka — довольно сложный вредонос. Видно, что за созданием скиммера стояли профессиональные разработчики. Это отчасти доказывается сложными методами обфускации и загрузки.
«Наиболее интересные компоненты вредоноса — уникальный загрузчик и способ обфускации. Скиммер запускается динамически, что затрудняет его детектирование различными сканерами. Помимо этого, Baka использует уникальные параметры шифрования для каждой жертвы, чтобы максимально грамотно обфусцировать вредоносный код», — гласит уведомление (PDF) Visa.
«Команда PFD выяснила, что данный скиммер удаляет себя из памяти, пытаясь избежать детектирования и анализа».
По словам исследователей, Baka можно найти на нескольких ресурсах онлайн-торговли по всему миру. Загрузчик скиммера динамически добавляет тег к текущей веб-странице и подключает удалённый JavaScript-файл.
URL в этом случае жёстко закодирован, но как отметили эксперты, злоумышленники могут менять ссылку для каждой жертвы.
Конечной фазой атаки Baka является кража данных банковских карт из специальных форм для ввода.
