Hakerzy Atakują Strony Charytatywne Caritas

Atak cybernetyczny dotknął 17 stron internetowych Caritas Hiszpania, ważnej katolickiej organizacji charytatywnej, kompromitując dane kart darczyńców przez ponad rok bez wykrycia.

Napastnicy użyli metody zwanej web skimming, polegającej na wkładaniu złośliwego kodu do strony internetowej w celu kradzieży wrażliwych informacji od użytkowników. W tym przypadku, skimmer stworzył fałszywy formularz darowizny, który naśladował prawdziwy, i bezgłośnie przechwycił osobiste i płatnicze dane, w tym imiona, adresy, numery kart, CVV i inne.

„Ta kampania potwierdza szerszy trend, który został zaobserwowany: infekcje przez web skimming są coraz częściej napędzane przez modularne zestawy,” piszą badacze z Jscrambler, którzy zasygnalizowali ten atak. Te zestawy pozwalają hakerom łatwo łączyć różne narzędzia i kanały do dostarczania i zbierania skradzionych danych.

Badacze mówią, że zainfekowane strony były wszystkie zasilane przez WooCommerce, popularną wtyczkę do płatności online na WordPress. Atak składał się z dwóch części: najpierw niewielki, ukryty fragment kodu został wstrzyknięty do strony głównej, aby skontaktować się z serwerem hakerów.

Następnie, skrypt drugiego etapu dodał fałszywy przycisk „Kontynuuj”, nakładając go na prawdziwy. Kiedy użytkownicy go kliknęli, pokazano im podrabiany formularz płatności online, zaprojektowany tak, aby wyglądał jak oficjalna brama płatności banku Santander.

Po przechwyceniu danych, formularz na krótko pokazywał kręcące się kółko ładowania, zanim przekierował darczyńcę do prawdziwej strony płatności, co utrudniało zauważenie oszustwa.

„Jest to szczególnie niepokojące, biorąc pod uwagę cel,” zauważył Jscrambler. „Caritas to organizacja non-profit, która jest dedykowana do pomocy słabo rozwiniętym społecznościom. Mimo to, atakujący byli zadowoleni, aby utrzymać swoją operację skimmingu […] przez ponad rok.”

Infekcja została po raz pierwszy odkryta 16 marca 2025 roku, a dotknięte strony internetowe zostały ostatecznie wyłączone do konserwacji na początku kwietnia, po tym jak Jscrambler się z nimi skontaktował.

Do 11 kwietnia złośliwy kod został ostatecznie usunięty. Jednak w międzyczasie hakerzy zmienili taktykę, modyfikując skrypt, aby uniknąć wykrycia.

Badacze znaleźli również dowody na to, że ta grupa atakowała także inne strony internetowe, używając ponad 60 fałszywych domen do dystrybucji i zbierania danych. Wiele z nich było hostowanych pod tym samym adresem IP, co wskazuje na scentralizowaną konfigurację. Jscrambler informuje, że Caritas nie wydał oficjalnego oświadczenia na temat naruszenia.