Adieu aux armes!
В штатах можно покупать оружие в интернет-магазине с доставкой на дом, неплохо, правда?
Ребятам из хакерской группировки Magecart это тоже понравилось, поэтому накануне черной пятницы они взломали сайт Smith & Wesson и разместили на нем ссылку на удаленный скрипт, похищавший данные банковских карт клиентов интернет-магазина.
Скрипт был весьма хитрым. Сперва он проверял IP-адрес потенциальной жертвы на предмет его соответствия IP-адресам американских провайдеров. Если адрес не соответствовал, то вредоносная часть скрипта не подгружалась. Оно и понятно, иностранцы вряд ли будут заказывать пушку по почте! Если же адрес был американским, скрипт дожидался перехода на платежную страницу и встраивал в нее вредоносный код, демонстрирующий покупателю фейковую платежную форму. Полученные сведения передавались на командный сервер злоумышленников по адресу: https://live.sequracdn.net/t/
Хакерам не откажешь в чувстве юмора, так как сервер назван в честь ИБ-компании Sanguine Security, а в качестве контактного лица при регистрации домена указан ее аналитик Willem de Groot.
Самое интересное, что еще сегодня утром скрипт продолжал висеть на сайте оружейников, а Smith & Wesson никак не отреагировала на информацию о выявленной угрозе. Что за отношение к покупателям? В общем, вы понимаете: только Калашников!
@In4security
В штатах можно покупать оружие в интернет-магазине с доставкой на дом, неплохо, правда?
Ребятам из хакерской группировки Magecart это тоже понравилось, поэтому накануне черной пятницы они взломали сайт Smith & Wesson и разместили на нем ссылку на удаленный скрипт, похищавший данные банковских карт клиентов интернет-магазина.
Скрипт был весьма хитрым. Сперва он проверял IP-адрес потенциальной жертвы на предмет его соответствия IP-адресам американских провайдеров. Если адрес не соответствовал, то вредоносная часть скрипта не подгружалась. Оно и понятно, иностранцы вряд ли будут заказывать пушку по почте! Если же адрес был американским, скрипт дожидался перехода на платежную страницу и встраивал в нее вредоносный код, демонстрирующий покупателю фейковую платежную форму. Полученные сведения передавались на командный сервер злоумышленников по адресу: https://live.sequracdn.net/t/
Хакерам не откажешь в чувстве юмора, так как сервер назван в честь ИБ-компании Sanguine Security, а в качестве контактного лица при регистрации домена указан ее аналитик Willem de Groot.
Самое интересное, что еще сегодня утром скрипт продолжал висеть на сайте оружейников, а Smith & Wesson никак не отреагировала на информацию о выявленной угрозе. Что за отношение к покупателям? В общем, вы понимаете: только Калашников!
@In4security