Около 600 интернет-магазинов были успешно атакованы одной и той же группой хакеров

После продолжительного расследования исследователи из Gemini Advisory обнаружили, что за успешную атаку на не менее 570 веб-сайтов электронной коммерции в 55 странах мира отвечает одна группа киберпреступников. Экипаж называется Keeper, и его атаки состоят в том, что он ставит под угрозу цель и внедряет вредоносный код, который удаляет данные кредитной карты и другую личную информацию во время процесса проверки.

Это классическая операция Magecart, и она оказывается довольно успешной. По подсчетам Близнецов, в период с апреля 2017 года по сегодняшний день банда Keeper скомпрометировала около 700 тысяч кредитных карт, чья темная рыночная стоимость составляет около 7 миллионов долларов. Посмотрим, как экспертам удалось сделать все эти выводы.

Панель входа показала всю инфраструктуру Keeper

Исследователи Близнецов обнаружили банду Keeper, следуя URL-адресу эксфильтрации, который использовался во время атаки на Magecart. Их приветствовала форма входа, которую они видели раньше. В других атаках Magecart использовалась идентичная панель входа в систему, и исследователи знали, что это может быть значительным. Дальнейшее расследование показало, что все эти панели входа указывали на один и тот же выделенный сервер, что подтвердило, что все атаки были совершены одной и той же группой хакеров. Название «Keeper» происходит от того факта, что домен «fileskeeper [.] Org» был основной частью инфраструктуры группы.

Keeper - грозная группа Magecart

Определив все предыдущие цели, исследователи Gemini приступили к изучению специфики работы Keeper. Группа в основном нацелена на небольшие, менее популярные интернет-магазины, хотя список жертв содержит несколько веб-сайтов, которые посещают более 500 тысяч человек в месяц. Около 85% атакованных сайтов были созданы с помощью Magento, что не должно быть сюрпризом. Magento является одной из самых популярных платформ для создания веб-сайтов электронной коммерции, и, как недавно предупредило ФБР, многие из магазинов, работающих на нем, изобилуют легко уязвимыми уязвимостями.

Внимательно изучив некоторые атаки Keeper, эксперты Gemini увидели немало техник запутывания, из которых можно предположить, что хакеры знают, что они делают. Исследователи все же нашли ошибку. Журнал доступа был оставлен незащищенным, и после того, как он заглянул внутрь, эксперты обнаружили сведения о 184 тысячах кредитных карт, скомпрометированных в период с июля 2018 года по апрель 2019 года. Таким образом, они пришли к оценке общей прибыли Keeper.

Попав на небольшие сайты, хакеры Keeper не привлекают к себе слишком много внимания, и в то же время очевидно, что они получают огромную прибыль от операции. Вы должны согласиться с тем, что у них мало причин для того, чтобы бросить курить сейчас.