21/03/19
ИБ-исследователи из компании RiskIQ обнаружили две новые атаки группировки MageCart, направленные на интернет-магазины компаний My Pillow и Amerisleep, продающих постельное белье и кровати. Злоумышленники действовали по привычному сценарию, внедряя скиммер – вредоносный Javascript-код – на страницы сайтов и похищали данные платежных карт во время осуществления покупателями online-транзакций. Вся украденная информация отправлялась на сервер, контролируемый преступниками.
MageCart – термин, объединяющий по меньшей мере 10 киберпреступных группировок, занимающихся хищением данных платежных карт клиентов сайтов электронной коммерции. К слову, ранее одной из группировок, а точнее, Group 12, удалось скомпрометировать около 277 сайтов электронной коммерции, заразив библиотеку Javascript, используемую французской маркетинговой компанией Adverline.
Как и в предыдущих случаях, группировка MageCart внедряла на сайты online-магазинов компаний скиммеры, похищая данные платежных карт покупателей. Злоумышленники взломали сайт компании My Pillow в октябре минувшего года и запустили домен с похожим названием и установленным SSL-сертификатом, выданным центром сертификации Let’s Encrypt. Последний раз скиммер был активен 19 ноября 2018 года, сообщают исследователи.
Компания Amerisleep в 2017 году уже становилась жертвой группировок MageCart, однако в декабре прошедшего года и январе нынешнего года вновь подверглась атакам. В последнем случае вредоносный код был внедрен только на странице, где осуществляется оплата, а не на каждой странице сайта. Хотя на сегодняшний день домен отключен, вредоносный код до сих пор находится на страницах сайта. Все попытки связаться с компанией через службу поддержки или напрямую через электронную почту остались безуспешными, сообщают исследователи. Они также рекомендуют посетителям интернет-магазинов регулярно проверять свои платежные карты и банковские счета на наличие подозрительной активности.
