LIVE_FEED
--:--:--[HIGH]shop-***-deals.comMagecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.netDrive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.ioObfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.coCredential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.orgMalicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.comFakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.appUnauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ruDrive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyzC2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shopAffiliate cloaking + cookie stuff// US-CENTRAL--:--:--[HIGH]shop-***-deals.comMagecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.netDrive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.ioObfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.coCredential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.orgMalicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.comFakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.appUnauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ruDrive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyzC2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shopAffiliate cloaking + cookie stuff// US-CENTRAL
речник на заплахите

Злоупотреба със service worker

Използване на service worker за хостване на устойчив скимър или malware, който преживява презареждания и е невидим за пасивните скенери.

Какво представлява

Service worker е скрипт, който браузърът изпълнява във фонов режим, отделно от страницата, и който може да прихваща мрежови заявки. Нападателите регистрират зловреден service worker (често чрез невинно изглеждащ analytics.js wrapper), за да поддържат скимър, активен между навигациите и презарежданията. Тъй като кодът живее извън DOM-а на страницата, статичните скенери и съпоставянето на сигнатури обикновено го пропускат.

Примери от реалния свят

  • Скимър за платежна страница, регистриран в service worker.
  • Fetch-прихващане за тиха ексфилтрация на данни от форми.
  • Устойчив payload, активиран само след fingerprint проверка.

Как ExploitShield го открива

Crawler-ът на ExploitShield стартира напълно инструктиран Chromium с hooks за service-worker, изпълнява синтетичен checkout и записва всеки fetch инициатор в полученото дърво от страници — улавяйки полезния товар точно когато сработи за реално изглеждаща сесия.

Свързани термини

Уеб скимърУеб скимингКлиентска сигурност