В Python Package Index (PyPI) нередко обнаруживают малварь, но найденный недавно пакет disgrasya отличается от большинства таких случаев.
Пакет был установлен более 34 000 раз и использовал легитимные интернет-магазины на базе WooCommerce для проверки ворованных банковских карт.
Как сообщают аналитики компании , нашедшие вредоноса, скрипт был нацелен на магазины под управлением WooCommerce, использующие платежный шлюз CyberSource.
Проверка украденных карт является ключевым шагом в работе кардеров, которым нужно проверить тысячи карт, полученных из различных дампов и утекших БД, и определить их ценность и отобрать пригодные для использования.
При этом описание пакета в PyPI прямо сообщало, что он используется для вредоносной деятельности:
Эксперты сообщают, что вредоносная функциональность появилась в версии 7.36.9. То есть авторы пакета, вероятно, пытались обойти проверки, которые могут быть более строгими для первых версий и мягче к последующим обновлениям.
Как уже упоминалось выше, пакет содержал Python-скрипт, который заходил на легитимные сайты магазинов на базе WooCommerce, собирал ID товаров, а затем добавлял товары в корзину, обращаясь к бэкенду ресурса.
Затем скрипт переходил на страницу оформления заказа, похищал CSRF-токен и фрагмент кода, который CyberSource использует для безопасной обработки данных карт. По словам исследователей, эти два параметра обычно скрыты на странице и действуют недолго, но скрипт мгновенно перехватывал их, одновременно заполняя форму оформления заказа выдуманной информацией о клиенте.
На следующем этапе, вместо того чтобы передать данные ворованной карты напрямую в платежный шлюз, disgrasya передавал ее на контролируемый злоумышленником сервер (railgunmisaka[.]com), который притворялся CyberSource и выдавал поддельный токен для карты.
В итоге заказ с токенизированной картой передавался интернет-магазину, и если все срабатывало, это подтверждало, что карта работает. В случае неудачи скрипт фиксировал ошибку и переходил к проверке следующей карты.
Эксперты Socket отмечают, что такой end-to-end процесс эмуляции оформления заказа очень трудно выявить с помощью систем обнаружения мошенничества:
Для борьбы с такими злоупотреблениями исследователи рекомендуют владельцам магазинов блокировать заказы стоимостью менее 5 долларов, которые обычно используют кардеры, отслеживать многочисленные мелкие заказы с необычно высоким процентом отказов, а также обращать внимание на большие объемы заказов, связанные с одним IP-адресом или регионом.
Также рекомендуется добавить CAPTCHA в процесс оформления заказа, что может нарушить работу кардерских скриптов.
Пакет был установлен более 34 000 раз и использовал легитимные интернет-магазины на базе WooCommerce для проверки ворованных банковских карт.
Как сообщают аналитики компании , нашедшие вредоноса, скрипт был нацелен на магазины под управлением WooCommerce, использующие платежный шлюз CyberSource.
Проверка украденных карт является ключевым шагом в работе кардеров, которым нужно проверить тысячи карт, полученных из различных дампов и утекших БД, и определить их ценность и отобрать пригодные для использования.
При этом описание пакета в PyPI прямо сообщало, что он используется для вредоносной деятельности:
Эксперты сообщают, что вредоносная функциональность появилась в версии 7.36.9. То есть авторы пакета, вероятно, пытались обойти проверки, которые могут быть более строгими для первых версий и мягче к последующим обновлениям.
Как уже упоминалось выше, пакет содержал Python-скрипт, который заходил на легитимные сайты магазинов на базе WooCommerce, собирал ID товаров, а затем добавлял товары в корзину, обращаясь к бэкенду ресурса.
Затем скрипт переходил на страницу оформления заказа, похищал CSRF-токен и фрагмент кода, который CyberSource использует для безопасной обработки данных карт. По словам исследователей, эти два параметра обычно скрыты на странице и действуют недолго, но скрипт мгновенно перехватывал их, одновременно заполняя форму оформления заказа выдуманной информацией о клиенте.
На следующем этапе, вместо того чтобы передать данные ворованной карты напрямую в платежный шлюз, disgrasya передавал ее на контролируемый злоумышленником сервер (railgunmisaka[.]com), который притворялся CyberSource и выдавал поддельный токен для карты.
В итоге заказ с токенизированной картой передавался интернет-магазину, и если все срабатывало, это подтверждало, что карта работает. В случае неудачи скрипт фиксировал ошибку и переходил к проверке следующей карты.
Эксперты Socket отмечают, что такой end-to-end процесс эмуляции оформления заказа очень трудно выявить с помощью систем обнаружения мошенничества:
Для борьбы с такими злоупотреблениями исследователи рекомендуют владельцам магазинов блокировать заказы стоимостью менее 5 долларов, которые обычно используют кардеры, отслеживать многочисленные мелкие заказы с необычно высоким процентом отказов, а также обращать внимание на большие объемы заказов, связанные с одним IP-адресом или регионом.
Также рекомендуется добавить CAPTCHA в процесс оформления заказа, что может нарушить работу кардерских скриптов.
