Новая вредоносная программа Shai Khulud может привести к появлению мошеннических сайтов, визуально неотличимых от оригиналов. Об этом заявил «Газете.Ru» технический директор российской ИТ-компании MD Audit Юрий Тюрин.
По его словам, Shai Khulud крадет инструменты разработки сайтов, которые потом позволяют мошенникам воспроизводить клоны настоящих веб-ресурсов с фейковыми инструментами приема платежей.
«Сегодня фишинговый сайт может быть построен не «на коленке», а на базе настоящих компонентов, украденных доступов и части оригинальной инфраструктуры. То есть может выглядеть максимально достоверно, — сказал Тюрин.
Особую опасность представляют мошеннические страницы продажи билетов на популярные новогодние мероприятия, такие как балет «Щелкунчик», так как, ажиотаж заставляет пользователей действовать быстро и невнимательно.
Типичный сценарий обмана выглядит так: пользователь, ища билеты через поисковик, переходит по ссылке на сайт-клон с полностью скопированным дизайном и функционалом. При попытке оплаты данные банковской карты уходят мошенникам, а клиент получает фальшивый билет или ничего.
Shai Hulud облегчает этот процесс, похищая у разработчиков компаний CI/CD-токены — «мастер-ключи» для автоматической сборки и обновления сайтов. Получив эти ключи, злоумышленники могут развернуть технически точную копию легитимного сайта, заменив лишь платежный сервис на свой.
«Shai Hulud – не «вирус для сайтов», а инструмент кражи доступов разработчиков. Он заражает компьютеры и рабочие окружения инженеров в компаниях и ворует инструменты создания правдоподобных сайтов. То есть он не взламывает сайт напрямую, а ворует ключи от «фабрики», которая этот сайт выпускает. Дальше эти доступы либо сразу используются самими атакующими, либо продаются на теневых рынках как «доступ к инфраструктуре компании», – заявил Юрий Тюрин.
Получив эти данные, мошенники берут реальный код платежных страниц, разворачивают точную копию сайта продажи билетов, меняют только один блок (куда уходят деньги), подключают рекламу и выводят фейковый сайт в поисковую выдачу.
«В итоге пользователь попадает не на «самопал», а на сайт, который технически выглядит как настоящий», – подчеркнул Юрий Тюрин.