LIVE_FEED
--:--:--[HIGH]shop-***-deals.comMagecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.netDrive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.ioObfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.coCredential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.orgMalicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.comFakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.appUnauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ruDrive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyzC2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shopAffiliate cloaking + cookie stuff// US-CENTRAL--:--:--[HIGH]shop-***-deals.comMagecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.netDrive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.ioObfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.coCredential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.orgMalicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.comFakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.appUnauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ruDrive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyzC2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shopAffiliate cloaking + cookie stuff// US-CENTRAL
← назад към блога
Threat Intelligence2026-05-2610 мин. четене

Web-Skimming 2026: Der vollständige Leitfaden für Verteidiger

Magecart, Formjacking und Service-Worker-Skimmer gehören zu einer einzigen Bedrohungsfamilie. So sieht Web-Skimming heute aus und was Monitoring tatsächlich dagegen hilft.

Web-Skimming ist der Oberbegriff für den Diebstahl von Kartendaten und Zugangsdaten direkt aus dem Browser des Besuchers über injizierten clientseitigen Code. Magecart ist die bekannteste Untergruppe, Formjacking die übergeordnete Technik und Skimmer sind die Skripte selbst. Allen gemeinsam ist ein Modell: eine kompromittierte Abhängigkeit, ein stiller Listener, Exfiltration an eine vom Angreifer kontrollierte Domain.

Was sich 2024–2026 verändert hat: Skimmer sitzen kaum noch in offensichtlichen eingebetteten <script>-Tags. Die dominanten Varianten, die wir beobachten, verstecken sich in Service Workern (die Seitenneuladen überleben), in WebAssembly-Blobs, lazy-importierten Chunks und PNG/SVG-Steganographie. Viele aktivieren sich bedingt – nur für echte Sessions, die einen Anti-Analyse-Check auf Headless-Browser bestehen.

Diese Bedingtheit ist der Grund, warum passive Scanner versagen. Ein Scanner, der statisches HTML liest oder einmal täglich Signaturen abgleicht, sieht keinen Payload, der nur bei echter Interaktion erscheint. Sie benötigen ein Real-Browser-Execution-Monitoring, das einem echten Besucher ähnlich genug ist, um den Skimmer auszulösen – und alles aufzeichnet, wenn er feuert.

Der Ansatz von ExploitShield: Ein vollständig instrumentiertes Chromium mit Service-Worker-Hooks führt alle 5 Minuten einen synthetischen Checkout durch, zeichnet jeden ausgeführten JS-Body auf, deobfusziert gängige Packer und vergleicht jedes ausgehende POST-Ziel mit 500+ Blocklists und Skimmer-Endpunkt-Heuristiken. Der Skimmer feuert exakt einmal pro realistisch aussehender Session – und wir sehen ihn, weil wir wie eine echte Session aussehen.

Checkliste für Verteidiger: Pflegen Sie ein Inventar von Drittanbieter-Skripten für alle Zahlungspfade; setzen Sie eine Content-Security-Policy mit einer Connection-Allow-List durch; überwachen Sie ausgehende Ziele unter echter Ausführung; und behandeln Sie jede neu registrierte Domain, die von einer Checkout-Seite aus erreicht wird, als Vorfall, bis das Gegenteil bewiesen ist.

свързани_статии
Detection
Magecart-Skimmer erkennen im Jahr 2026: Was sich nach Gruppe 12 verändert hat
Threat Intelligence
Anatomie des „Fake-CAPTCHA → ClickFix“-Köders