Дайджест Jet CSIRT [01.12.2020]

Новый веб-скиммер искусно подделывает страницу PayPal

В Сети обнаружен новый веб-скиммер, который не только похищает вводимые покупателем данные, но также использует их для заполнения поддельной платежной формы PayPal — чтобы сделать ее более убедительной. Вредоносный скрипт размещается внутри изображения, размещенного на сервере скомпрометированного магазина, с использованием стеганографии. Для сбора платежных реквизитов, скиммер подменяет страницу PayPal, загружая фальшивку через iFrame, которая уже предзаполнена данными из формы заказа. Хищение платежных данных происходит в момент внесения жертвой всех реквизитов в поддельную форму и нажатия кнопки подтверждения оплаты.


Обнаружена утечка кодов банковского ПО

В Twitter-канале Bank Security сообщается об обнаружении в открытых репозиториях кодов банковского ПО, используемого национальными центральными банками разных стран. Дамп в основном содержит код депозитарного решения DEPO/X от компании CMA, которое используется более чем в 20-ти организациях по всему миру, включая центральные банки, центральные/национальные депозитарии и фондовые биржи.


Троян Gootkit замечен в новой вредоносной кампании

 

Специалисты Malwarebytes сообщают о новой вредоносной кампании с использованием трояна Gootkit, активность которого не фиксировалась с прошлого года. Теперь троян используется вместе с вымогательским ПО REvil. Gootkit представляет собой троян на базе Javascript, способный предоставить злоумышленникам удаленный доступ к жертве, записывать видео и фиксировать нажатие клавиш на клавиатуре, похищать электронные письма, пароли и данные банковских карт.