Скиммер Q-logger

С бурным ростом сектора электронной коммерции киберпреступники, выполняющие атаки Magecart и скиммеры, начали диверсифицировать масштабы своих угрожающих операций, задействованные методы и развернутую инфраструктуру. Одной из угроз, которая иллюстрирует эту тенденцию, является недавно обнаруженный скиммер Q-logger. Угроза была впервые обнаружена Эриком Бранделем.

Q-logger использовался в кампаниях активных атак в течение нескольких месяцев, прежде чем исследователи информационной безопасности поймали действия хакеров. Злоумышленники стремятся внедрить угрозу либо непосредственно на скомпрометированные веб-сайты электронной коммерции, либо загружать их извне. После этого они могут начать перекачивание платежных данных пользователей зараженного сайта и получение данных кредитной и дебетовой карты. Собранная информация отправляется в домен, находящийся под контролем хакеров, через POST-запросы. Атаки Q-logger нацелены на малые предприятия, которые управляют интернет-магазином, в основном, с использованием Magento.

Функциональность Q-Logger

Помимо типичных угрожающих действий, связанных с угрозами скиммера, Q-logger демонстрирует несколько характерных черт. Угроза оснащена множеством методов антианализа. Помимо обфускации кода, хакеры добавили подпрограмму кейлоггера, способную обнаруживать, когда были открыты различные инструменты разработки. Если проверки дают положительный результат для таких запущенных инструментов разработки, Q-logger полностью прекращает свою деятельность. Другой метод, который, как было замечено, использовался киберпреступниками, ответственными за атаки Q-logger, - это массовая регистрация доменов, что является эффективной стратегией против списков блокировки. С другой стороны, он пытается разделить инфраструктуру операций, чтобы скрыть реальный IP-адрес хостинг-провайдера.