Visa предупреждает о новом скрытном JavaScript-скиммере

Команда Visa, отвечающая за предотвращение мошеннических платежных операций, предупреждает о новом JavaScript-скиммере, внедряющемся в соответствующие формы на сайтах онлайн-магазинов. Веб-скиммер получил имя Pipka. Исследователи наткнулись на него на одном из онлайн-магазинов. Позже по следам были выявлены еще 16 зараженных проектов электронной коммерции, передает KZ-CERT.

У Pipka есть одна особенность, отличающая вредонос от других веб-скиммеров. Обнаруженный экспертами образец может удалять себя из скомпрометированного HTML-кода сразу после выполнения. По словам специалистов, такие возможности авторы скиммера внедрили для того, чтобы избежать обнаружения защитными решениями. Pipka позволяет операторам перехватывать все данные, вводимые пользователями в поля формы для оплаты. Преступники в результате получают имя, адрес, CVV-код карты, дату окончания срока действия и имя владельца карты. Скиммер внедряется в разные места сайта, поэтому его поиск может доставить определенные проблемы. Интересно, что перед извлечением данных вредонос проверяет, отправлялась ли ранее эта информация на командный сервер. Pipka вызывает определенную функцию сразу после загрузки скрипта. Задача этой функции — убрать тег скрипта из кода страницы. Таким способом скиммер избегает обнаружения.