Об этом сообщается в отчете специалистов Malwarebytes.

Уточняется, что первоначально название MageCart присвоили хак-группе, впервые использовавшей так называемые “веб-скиммеры” для хищения данных банковских карт. При этом хакеры взламывали сайты, внедряли на их страницы скрипт, записывающий и похищающий данные карт, которые пользователи вводят при оформлении заказа.

Скиммер – устройство, считывающее информацию. Такие приспособления помогают мошенникам воровать данные банковских карт: ее реквизиты, ПИН-код.

Сообщается, что в 2018 году было идентифицировано 12 группировок хакеров, использующих такой подход, а в конце 2019 года уже около 40 группировок.

При этом одна из хак-групп недавно вывела операции на новый уровень сложности. Аналитиками была обнаружена вредоносная компания, целью которой является подмена favicon на взломанных сайтах.

Favicon (сокр. от англ. FAVorite ICON — «значок для избранного») – значок веб-сайта или веб-страницы. Отображается браузером во вкладке перед названием страницы, а также в качестве картинки рядом с закладкой, во вкладках и в других элементах интерфейса.

Отмечаются, что новые favicon представляют собой файлы изображений, не содержащие вредоносный код. Хотя на первый взгляд подмена выглядела невинной, экспертами были обнаружены на сайтах веб-скиммеры.

В дальнейшем расследование показало, что мошенниками предоставлялся легитимный файл favicon для всех страниц ресурса, кроме тех, на которых размещались формы оформления заказов.

При этом на страницах оформления заказа обычный favicon подменялся вредоносным скриптом, создающим поддельную форму оплату и ворующим введенные данные карты пользователя.