Хакеры атакуют сайты благотворительной организации Caritas

Кибератака поразила 17 веб-сайтов Caritas Spain, крупной католической благотворительной организации, на протяжении более года незамеченно компрометируя данные банковских карт доноров.

Атакующие использовали метод, называемый веб-скиммингом, при котором вредоносный код встраивается в веб-сайт для кражи конфиденциальной информации от пользователей. В данном случае, скиммер создал фальшивую форму для пожертвований, которая имитировала настоящую, и тихо собирал личные и платежные данные, включая имена, адреса, номера карт, CVV и многое другое.

«Эта кампания подчеркивает более широкий тренд, который был замечен: заражения веб-скиммингом все больше стимулируются модульными наборами», — пишут исследователи из Jscrambler, которые обнаружили взлом здесь. Эти наборы позволяют хакерам легко сочетать разные инструменты и каналы для доставки и сбора украденных данных.

Исследователи говорят, что все зараженные сайты работали на WooCommerce, популярном плагине для онлайн-платежей на WordPress. Атака состояла из двух частей: сначала в домашнюю страницу сайта внедрялся небольшой кусок скрытого кода для связи с сервером хакеров.

Затем, скрипт второго этапа добавил поддельную кнопку «Продолжить» поверх настоящей. Когда пользователи нажимали ее, им показывали поддельную форму онлайн-платежа, разработанную так, чтобы она выглядела как официальный платежный шлюз банка Santander.

После сбора данных, форма на короткое время показывала индикатор загрузки, а затем перенаправляла дарителя на легитимный платежный сайт, что усложняло замечание обмана.

«Это особенно беспокоит, учитывая цель,» — отметил Jscrambler. «Caritas — это некоммерческая организация, посвященная помощи уязвимым сообществам. Тем не менее, злоумышленники были рады продолжать свою операцию по скиммингу […] более года».

Инфекция была впервые обнаружена 16 марта 2025 года, и затронутые сайты в конце концов были отключены для обслуживания в начале апреля после того, как Jscrambler связался с ними.

К 11 апреля вредоносный код был, наконец, удален. Однако в это время хакеры изменили стратегию, изменив скрипт, чтобы избежать обнаружения.

Исследователи также обнаружили признаки того, что эта группа атаковала и другие веб-сайты, используя более 60 фальшивых доменов для распространения и сбора данных. Многие из них были размещены на одном и том же IP, что указывает на централизованную настройку. Jscrambler сообщает, что Caritas не выпустила официальное заявление о проникновении.