LIVE_FEED

--:--:--[HIGH]shop-***-deals.com→Magecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.net→Drive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.io→Obfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.co→Credential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.org→Malicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.com→FakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.app→Unauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ru→Drive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyz→C2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shop→Affiliate cloaking + cookie stuff// US-CENTRAL--:--:--[HIGH]shop-***-deals.com→Magecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.net→Drive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.io→Obfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.co→Credential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.org→Malicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.com→FakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.app→Unauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ru→Drive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyz→C2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shop→Affiliate cloaking + cookie stuff// US-CENTRAL

← назад към блога

Technik2026-06-067 мин. четене

Warum wir echte Browser statt Crawler nutzen, um Skimmer zu finden

Moderne Angriffe verstecken sich vor Header-Scannern. So führt unsere instrumentierte Chromium-Flotte Seiten so aus wie ein echter Käufer — und warum das zählt.

Ein Header-Crawler sieht das HTML, das der Server sendet. Moderne Skimmer leben nicht dort. Sie werden von einem Service Worker injiziert, aus einem WASM-Blob dekodiert oder erst nach bestandener Anti-Bot-Fingerprint-Prüfung lazy importiert.

Um zu sehen, was ein echter Besucher sieht, betreiben wir eine Flotte vollständig instrumentierter Chromium-Instanzen. Jede führt JavaScript aus, akzeptiert Cookies, registriert Service Worker und schließt eine synthetische Interaktion wie einen Checkout-Ablauf ab.

Die Instrumentierung ist der entscheidende Punkt. Wir erfassen jeden Netzwerk-Initiator, jedes dynamisch eingefügte Skriptelement und jedes postMessage zwischen Frames. Die Payload des Angreifers feuert einmal pro realistischer Sitzung — und weil wir wie eine realistische Sitzung aussehen, fangen wir sie ab.

Deshalb widerstehen wir auch der Umgehung. Skimmer, die auf navigator.webdriver, Headless-Flags oder fehlende Plugins prüfen, erhalten einen Browser, der wie ein echter antwortet. Der Preis ist Rechenleistung; der Nutzen ist eine Erkennung, die eine WAF oder ein DNS-Filter strukturell nicht erreichen kann.

свързани_статии

Magecart-Skimmer erkennen im Jahr 2026: Was sich nach Gruppe 12 verändert hat

Threat Intelligence

Anatomie des „Fake-CAPTCHA → ClickFix“-Köders