Хакеры изощренно подставили конкурентов перед покупателями криминальных данных

Софт Безопасность Бизнес ИТ в банках
мобильная версия
, Текст: Роман Георгиев

Охотники за платежными данными в интернет-магазинах воюют друг с другом. Одна из киберпреступных группировок Magecart саботирует деятельность другой, стараясь нанести ей как можно больший репутационный ущерб.


Отравленные данные

Две киберпреступные группировки Magecart, использующие «цифровые скиммеры» (считыватели пин-кодов) для кражи данных кредитных карт из интернет-магазинов, судя по всему, начали воевать друг с другом. Во всяком случае, одна из них активно саботирует деятельность другой.

MageCart — общее название для как минимум девяти различных группировок, использующих сходные вредоносные программы для одних и тех же целей — краж данных о кредитных картах. Независимый исследователь Виллем де Грот (WillemdeGroot) и эксперт из MalwarebytesДжером Сегюра (JérômeSegura) обнаружили, что группировка под условным названием Group 9 начала саботировать деятельность Group 3 с помощью сугубо технических средств.

По данным экспертов, для кода, которым пользуется Group 9, характерна мощная обфускация (запутывание кода), но помимо того он еще и способен выявлять присутствие конкурирующих программ на одном с ним сервере. При обнаружении такового, программа перехватывает данные, которые пытается захватить чужой скиммер, и подменяет последнюю цифру в номере карт случайным значением, делая всю эту информацию бесполезной.

haker600.jpg
Два крыла хакерской группировки Magecart развернули замысловатую войну за место под солнцем

Активация этого механизма «отравления данных» производится после проверки доменных имен, используемых конкурирующей программой для вывода платежных сведений.

По утверждению Сегюры, модификация номера карты может быть достаточной, чтобы валидация прошла успешно, однако платежная информация становится бесполезной.

Владельцам онлайн-магазинов в качестве защитной меры рекомендуется устранить со своих сайтов любые компоненты, которые не нужны для обработки платежных и пользовательских данных. Именно эти скрипты и необновленные плагины злоумышленники чаще всего используют для внедрения своих вредоносных программ.

Репутация стоит дорого

Поскольку члены группировок Magecart крадут данные кредитных карт в основном с целью продажи, получается, что Group 3 оказывается с «порченным товаром», что самым скверным образом сказывается на ее репутации.

Как отметил де Гроот, репутация в киберподполье чрезвычайно важна. Так что если окажется, что кто-то якобы пытается продавать непригодные для использования данные, его бизнес быстро пойдет под откос.

По-видимому, вражда между Group 9 и Group 3 накалилась настолько, что вместо того, чтобы просто уничтожать конкурирующие скиммеры, киберпреступники жестоким образом саботируют их работу.

«Саботаж подобного рода встречается относительно редко; чаще вредоносные программы пытаются просто остановить работу конкурентов в системе, как, например, это делали в незапамятные времена некоторые вирусы-черви, а в недавние — криптомайнеры вроде GhostMiner, — говорит Роман Гинятуллин, эксперт по информационной безопасности компании SECConsultServices. — В данном случае одна группировка явно пытается вывести другую из игры, а не просто блокировать ей доступ на к тем площадкам, где орудует сама.