Китайские хакеры атакуют в «Чёрную пятницу»: опасность скрывается за каждой скидкой

Как SilkSpecter столь правдоподобно маскирует мошеннические сайты?


n6d0qa9xp2xuiq1igtnx4l6rcoelctjo.jpg


Исследователи из EclecticIQ выявили масштабную фишинговую кампанию, нацеленную на любителей скидок в преддверии Чёрной пятницы. По их оценкам, за атаками стоит китайская группировка SilkSpecter, преследующая финансовые цели. Кампания охватывает США и Европу, используя заманчивые предложения с большими скидками для сбора личных данных и платёжной информации пользователей.

Атака была нацелена на кражу данных банковских карт, что стало возможным благодаря использованию легитимного процессора Stripe . SilkSpecter использовали эту платформу для обработки реальных платежей, одновременно похищая данные. Сайт выглядел максимально правдоподобно, а язык автоматически подстраивался под местоположение пользователя с помощью Google Translate.

Ранее SilkSpecter уже проводила подобные атаки. Сайты создавались с использованием доменов «.top», «.shop», «.store» и «.vip», маскируясь под легитимные интернет-магазины. На каждом фишинговом сайте были встроены трекеры и пиксели отслеживания (OpenReplay, TikTok Pixel, Meta Pixel), следящие за активностью посетителей.

Чтобы придать сайтам доверительный вид, злоумышленники добавили значок «trusttollsvg», а также использовали скрытый сбор данных с помощью «/homeapi/collect» для фиксации посещений. Собранная информация отправлялась на сервера, контролируемые SilkSpecter.

Инфраструктура рассмотренных атак была построена на китайских серверах и использовала хостинг от китайских провайдеров. Аналитики отметили, что SilkSpecter активно использует домены, зарегистрированные через китайских регистраторов, таких как West263 и Cloud Yuqu LLC. Около 85% IP-адресов маршрутизировались через Cloudflare, что помогало скрыть реальное местоположение атакующих.

В качестве одной из мер защиты эксперты рекомендуют использовать виртуальные банковские карты для покупок в интернете и ограничивать лимиты на транзакции. Это может снизить риск кражи данных в случае компрометации.