В сложной схеме веб-скейминга злоумышленники используют устаревший API Stripe (api.stripe[.]com/v1/sources) для проверки украденных данных платежных карт, что позволяет фильтровать реквизиты и исключать недействительные записи.
Мошенническая атака начинается через заражённые домены, на которых размещён вредоносный JavaScript-скример. Он перехватывает процесс оформления заказа, скрывая оригинальную платежную форму и выданные настоящей системой Stripe, заменяя их на клон, способный валидировать введённые данные.
Загрузочный скрипт эксплуатирует уязвимости в популярных платформах, таких как WooCommerce, WordPress и PrestaShop. С его помощью происходит расшифровка и запуск следующего этапа атаки, кодированного в Base64, что затрудняет обнаружение и анализ вредоносного кода.
Скрипт клонирует кнопку «Оформить заказ», скрывая оригинальный элемент интерфейса, а после успешной проверки данных производит их передачу на удалённый сервер. Параллельно наблюдаются попытки имитации платежной формы Square и применения дополнительных способов оплаты с использованием криптовалют — Bitcoin, Ether, Tether и Litecoin.
Атака затронула до 49 торговых точек, при этом 15 из них уже удалили вредоносные скрипты. Случай демонстрирует уязвимость современных систем электронной коммерции и необходимость тщательного контроля безопасности на сайте.
Активность кампании зафиксирована с 20 августа 2024 года, а компания Source Defense зарегистрировала повышенную активность злоумышленников в конце февраля 2025 года. Длительность инцидента указывает на продолжительный период скрытого сбора данных.
Исследователи Pedro Fortuna, David Alves и Pedro Marrucho из Jscrambler отмечают: «Проверка платежных данных перед их кражей значительно повышает эффективность атаки и усложняет её обнаружение». Они акцентируют внимание на том, что фильтрация недействительных реквизитов оптимизирует сбор исключительно рабочих данных.
Применение устаревших API, эксплуатация уязвимостей в популярных системах и разнообразие платежных методов подтверждают рост изощрённости киберпреступников. Такая стратегия расширяет зону риска для онлайн-магазинов и требует постоянного обновления мер безопасности.
Изображение носит иллюстративный характер
Мошенническая атака начинается через заражённые домены, на которых размещён вредоносный JavaScript-скример. Он перехватывает процесс оформления заказа, скрывая оригинальную платежную форму и выданные настоящей системой Stripe, заменяя их на клон, способный валидировать введённые данные.
Загрузочный скрипт эксплуатирует уязвимости в популярных платформах, таких как WooCommerce, WordPress и PrestaShop. С его помощью происходит расшифровка и запуск следующего этапа атаки, кодированного в Base64, что затрудняет обнаружение и анализ вредоносного кода.
Скрипт клонирует кнопку «Оформить заказ», скрывая оригинальный элемент интерфейса, а после успешной проверки данных производит их передачу на удалённый сервер. Параллельно наблюдаются попытки имитации платежной формы Square и применения дополнительных способов оплаты с использованием криптовалют — Bitcoin, Ether, Tether и Litecoin.
Атака затронула до 49 торговых точек, при этом 15 из них уже удалили вредоносные скрипты. Случай демонстрирует уязвимость современных систем электронной коммерции и необходимость тщательного контроля безопасности на сайте.
Активность кампании зафиксирована с 20 августа 2024 года, а компания Source Defense зарегистрировала повышенную активность злоумышленников в конце февраля 2025 года. Длительность инцидента указывает на продолжительный период скрытого сбора данных.
Исследователи Pedro Fortuna, David Alves и Pedro Marrucho из Jscrambler отмечают: «Проверка платежных данных перед их кражей значительно повышает эффективность атаки и усложняет её обнаружение». Они акцентируют внимание на том, что фильтрация недействительных реквизитов оптимизирует сбор исключительно рабочих данных.
Применение устаревших API, эксплуатация уязвимостей в популярных системах и разнообразие платежных методов подтверждают рост изощрённости киберпреступников. Такая стратегия расширяет зону риска для онлайн-магазинов и требует постоянного обновления мер безопасности.
