LIVE_FEED

--:--:--[HIGH]shop-***-deals.com→Magecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.net→Drive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.io→Obfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.co→Credential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.org→Malicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.com→FakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.app→Unauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ru→Drive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyz→C2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shop→Affiliate cloaking + cookie stuff// US-CENTRAL--:--:--[HIGH]shop-***-deals.com→Magecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.net→Drive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.io→Obfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.co→Credential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.org→Malicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.com→FakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.app→Unauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ru→Drive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyz→C2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shop→Affiliate cloaking + cookie stuff// US-CENTRAL

← назад към блога

Detection2026-05-118 мин. четене

Magecart-Skimmer erkennen im Jahr 2026: Was sich nach Gruppe 12 verändert hat

Moderne Card-Skimmer verstecken sich längst nicht mehr in offensichtlichen <script>-Tags. So erkennen wir sie in Service Workern, WASM-Blobs und lazy-importierten Chunks.

Den größten Teil des letzten Jahrzehnts war Magecart-Erkennung eine Übung im String-Matching. Man fand ein eingebettetes <script>, das einen POST an eine neu registrierte .top-Domain sendete, löste einen Alert aus und machte weiter.

Das Handbuch hat sich verändert. Seit Ende 2024 ist das dominante Muster in unserer Pipeline ein Payment-Page-Skimmer, der innerhalb eines Service Workers registriert ist, von einem harmlos wirkenden analytics.js-Wrapper gespeist wird und sich erst aktiviert, wenn ein Fingerprint-Check bestätigt, dass der Besucher kein Headless-Browser ist.

Um diese Variante zu erkennen, startet unser Crawler ein vollständig instrumentiertes Chromium mit Service-Worker-Hooks, führt einen synthetischen Checkout-Prozess durch und zeichnet jeden Fetch-Initiator im resultierenden Seitenbaum auf. Der Skimmer feuert exakt einmal pro realistisch aussehender Session – und wir sehen ihn, weil wir wie eine echte Session aussehen.

Falls Sie einen Online-Shop betreiben, lautet die praktische Schlussfolgerung: Signaturbasierte WAFs können das nicht erkennen. Sie benötigen ein In-Browser-Execution-Monitoring, das den Anti-Analyse-Prüfungen des Angreifers standhält.

свързани_статии

Threat Intelligence

Anatomie des „Fake-CAPTCHA → ClickFix“-Köders

Warum wir uns für ein 5-Minuten-Scan-Intervall entschieden haben (und nicht 1 Minute)