Хэт-трик UltraRank: Group-IB обнаружила группу, занимающуюся хищением данных банковских карт
#кибербезопасность #кредитная карта #хакеры
Хэт-трик UltraRank: Group-IB обнаружила группу, занимающуюся хищением данных банковских карт

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, представила отчет «UltraRank: незамеченная эволюция угрозы JS-снифферов», посвященный хакерской группе UltraRank, занимающейся кражей данных банковских карт пользователей, совершающих покупки в онлайне. UltraRank активна в течение 5 лет: за это время она атаковала около 700 онлайн-магазинов в Европе, Азии, Северной и Латинской Америке, используя JavaScript-снифферы. Украденые данные хакеры продавали в собственном кардшопе, зарабатывая до 500 тыс. рублей ($7 000) в день.

Исследование Group-IB описывает не только одного из наиболее успешных игроков рынка кражи и сбыта данных банковских карт, но и прослеживает трансформацию JS-снифферов из второстепенной в сложную угрозу, за которой стоит четко сегментированный киберпреступный бизнес. Окончательно вытеснив банковские трояны, группы, использующие JS-снифферы, с конца 2019 года стали основными поставщиками баз текстовых данных банковских карт для продаж на специализированных хакерских форумах — кардшопах.

Сегодня JS-снифферы являются одной из наиболее динамично развивающихся угроз для рынка электронной коммерции в разных странах мира. За неполные полтора года с момента выхода первого исследования Group-IB, посвященного JS-снифферам, количество обнаруженных экспертами Group-IB уникальных семейств такого вредоносного кода выросло более чем в два раза: сегодня их уже 96.

Каждое семейство JS-снифферов — это совокупность семплов с незначительными отличиями в коде, которые внедряются злоумышленниками на сайт для перехвата вводимых пользователем данных — номеров банковских карт, имен, адресов, логинов, паролей и др. Операторы JS-снифферов выбирают сайты, построенные на определенных системах управления (CMS, Content Management System), как правило, редко обновляемых, не содержащих системы защиты 3DSecure. Украденные данные отправляются на сервер злоумышленников — гейт. Затем они продаются в даркнете на кардерских форумах, основную массу которых составляют русскоязычные киберпреступники. Если на стороне банка-эмитента, выпустившего украденную JS-сниффером карту, отсутствуют системы поведенческого анализа, позволяющие отличить действия реального пользователя от злоумышленника, денежные средства с проданных карт обналичиваются киберпреступниками за счет покупки и дальнейшей перепродажи различных товаров.

Подробнее - на сайте Group-IB.