Хакеры изощренно подставили конкурентов перед покупателями криминальных данных

Отравленные данные Две киберпреступныегруппировки Magecart, использующие «цифровые скиммеры» (считыватели пин-кодов) для кражи данныхкредитных карт из интернет-магазинов, судя по всему, начали воевать друг сдругом. Во всяком случае, одна из них активно саботирует деятельность другой. MageCart — общее название для как минимум девяти различных группировок,использующих сходные вредоносные программы для одних и тех же целей — кражданных о кредитных картах. Независимый исследователь Виллем де Грот (WillemdeGroot) и эксперт из MalwarebytesДжером Сегюра (JérômeSegura) обнаружили, что группировка под условнымназванием Group9 начала саботировать деятельность Group 3 с помощью сугубо технических средств. По данным экспертов, длякода, которым пользуется Group 9, характерна мощная обфускация (запутываниекода), но помимо того он еще и способен выявлять присутствие конкурирующихпрограмм на одном с ним сервере. При обнаружении такового, программаперехватывает данные, которые пытается захватить чужой скиммер, и подменяетпоследнюю цифру в номере карт случайным значением, делая всю эту информациюбесполезной. Два крыла хакерской группировки Magecart развернули замысловатую войну за место под солнцем Активация этого механизма«отравления данных» производится после проверки доменных имен, используемыхконкурирующей программой для вывода платежных сведений. По утверждению Сегюры,модификация номера карты может быть достаточной, чтобы валидация прошлауспешно, однако платежная информация становится бесполезной. Владельцамонлайн-магазинов в качестве защитной меры рекомендуется устранить со своихсайтов любые компоненты, которые не нужны для обработки платежных ипользовательских данных. Именно эти скрипты и необновленные плагинызлоумышленники чаще всего используют для внедрения своих вредоносныхпрограмм. Репутация стоит дорого Поскольку членыгруппировок Magecart крадут данные кредитных карт в основном с целью продажи, получается, что Group 3 оказывается с «порченнымтоваром», что самым скверным образом сказывается на ее репутации. Как отметил де Гроот,репутация в киберподполье чрезвычайно важна. Так что если окажется, что кто-тоякобы пытается продавать непригодные для использования данные, его бизнесбыстро пойдет под откос. По-видимому, вражда междуGroup 9 и Group 3 накалилась настолько,что вместо того, чтобы просто уничтожать конкурирующие скиммеры,киберпреступники жестоким образом саботируют их работу. «Саботаж подобного родавстречается относительно редко; чаще вредоносные программы пытаются простоостановить работу конкурентов в системе, как, например, это делали внезапамятные времена некоторые вирусы-черви, а в недавние — криптомайнеры вродеGhostMiner, —говорит Роман Гинятуллин, эксперт поинформационной безопасности компании SECConsultServices. — В данном случае одна группировка явно пытаетсявывести другую из игры, а не просто блокировать ей доступ на к тем площадкам,где орудует сама. Ссылка на источник