Лил Скиммер

Подробности об угрозе скиммера, которая оставалась в основном незамеченной более года, были раскрыты в новом отчете. Названный Lil 'Skim, скиммер представляет собой более прямую и простую версию типичных вариантов скиммера Magecart. Чтобы помешать обнаружению, пока он активен, и сбору информации о кредитных / дебетовых картах пользователей, совершающих покупки на взломанных страницах, Lil 'Skim удваивает тактику выдачи себя за законных лиц.

Операторы угрозы создали множество доменов-скиммеров, имена которых очень похожи на имена законных, но взломанных сайтов. Киберпреступники просто заменили обычное доменное имя верхнего уровня на «.site», «.website» или «.pw». Затем вновь созданные хосты запускают код скиммера и получают доступ к украденным платежным данным пользователей. Некоторые примеры включают gorillawhips.com и сайт имитации на gorillawhips.site, а также dogdug.com и его подражатель на dogdug.website. Все домены, обнаруженные исследователями информационной безопасности, размещались на 87.236.16 [.] 107.

Скрытие среди других угроз

Другой распространенный метод, который часто используют операторы скиммеров, включает выдачу себя за законные бренды, такие как Google, jQuery и другие. Lil 'Skim не является исключением, и несколько его доменов были названы в честь Google. В другом случае операторы скиммера олицетворяли чат-приложение tidio.com, используя имя tidio [.] Fun.

Также следует отметить, что киберпреступники, стоящие за Lil 'Skim, помещают свои скиммерные домены в автономную систему, которая также содержит значительное количество поврежденных хостов, связанных с другими вредоносными угрозами, такими как фишинговые комплекты, полезные нагрузки Android и вредоносное ПО для Windows. Было обнаружено, что только два IP-адреса - 87.236.16 [.] 10 и вышеупомянутый 87.236.16 [.] 107, содержат дополнительные домены, являющиеся частью операции Lil 'Skim.