08/07/19
Специалисты из Sanguine Security раскрыли вредоносную кампанию, в ходе которой злоумышленники успешно взломали 962 сайта электронной коммерции. По словам исследователя безопасности Уиллема де Гроота (Willem de Groot), киберпреступникам удалось внедрить скрипты для похищения банковских данных на все сайты всего за 24 часа, а значит, они действовали не вручную, а использовали автоматизированные инструменты.
Судя по всему, за атаками стоят киберпреступные группировки, объединенные под общим названием Magecart. Хотя Sanguine Security не сообщает, как именно происходило заражение интернет-магазинов, скорее всего, злоумышленники проводили сканирование в поисках уязвимостей в используемом сайтами ПО и эксплуатировали их. Как пояснил Гроот, у некоторых взломанных сайтов отсутствовали патчи для известных уязвимостей в PHP. Правда, воспользовались ли взломщики конкретно этими уязвимостями, неизвестно.
Как показал анализ JavaScript-кода, скимминговый скрипт использовался для похищения информации посетителей интернет-магазинов, в частности данных их банковских карт, имен, номеров телефонов и адресов. Большая часть пострадавших ресурсов представляют собой небольшие магазинчики, хотя среди них также есть несколько крупных предприятий.
Исследователь безопасности под псевдонимом Micham также обнаружил скимминговый скрипт на сайте газеты The Guardian, внедренный туда через устаревший бакет AWS S3. По словам Жерома Сегуры (Jérôme Segura) из Malwarebytes, сайт был заражен в рамках операции, приводимой Magecart в прошлом месяце с использованием Amazon CloudFront CDN.
