Какво представлява
Magecart не е единична група, а е етикет, прилаган към множество уеб-скиминг кампании. Атакуващите инжектират обфускиран JavaScript в процеса на плащане на целеви сайт — често чрез компрометирана външна зависимост като аналитичен инструмент, A/B тестинг или чат уиджет — и изнасят данните от картите към домейни, контролирани от атакуващите. Вариантите включват инжектиране чрез script-тег, компрометиране на service worker и скимъри, криещи полезен товар в PNG стеанография.
Примери от реалния свят
- British Airways (2018) — скимър, зареден от компрометирана версия на modernizr.js.
- Newegg (2018) — един единствен inline script, добавен към страницата за плащане.
- Inter skimmer kit — наблюдаван в десетки отделни кампании през 2024–2025.
Как ExploitShield го открива
ExploitShield открива Magecart чрез повторно рендиране на всяка наблюдавана страница на истински браузър на всеки 5 минути, улавя всяко изпълнено JS тяло и сравнява външните POST дестинации с над 500 блоклиста, както и с евристики за ексфилтрационни крайни точки с форма на скимър.