Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Киберпреступники атаковали инфраструктуру облачной платформы электронной коммерции Volusion

10/10/19

hack54-2Для этого они внедрили на страницы подтверждения заказов на сайтах вредоносный JavaScript-код, который крадет данные платежных карт.

Исследователь безопасности Марсель Афрахим (Marcel Afrahim) из компании Check Point обнаружил вредоносную кампанию во время покупок в Sesame Street Live Store — web-сайте компании Feld Entertainment, где продаются официальные товары Sesame Street. Магазин разработан на базе платформы Volusion, которая также предоставляет DNS-серверы.

В ходе анализа кода на странице оформления заказа исследователь обнаружил, что страница загружает JavaScript-код с Google Cloud Storage (storage.googleapis.com) — web-службы хостинга файлов для хранения и доступа к данным в инфраструктуре Google Cloud Platform. Вредоносный код под названием «resources.js» содержался в бакете «volusionapi». Анализ кода выявил, что скрипт считывает введенные в поля данные кредитной карты, затем шифрует их с помощью Base64 и сохраняет во временном хранилище «sessionStorage» браузера под именем «__utmz_opt_in_out». Затем данные отправляются на подконтрольный злоумышленнику домен «volusion-cdn.com/analytics/beacon», имитирующий инфраструктуру Volusion.

По словам исследователя, злоумышленник проявил осторожность в выборе имен для файлов, чтобы они не вызывали подозрений. В частности, описание кода повторяет описание легитимного API Javascript Cookie v2.1.4 для обработки cookie-файлов, размещенного на GitHub.

Загрузка вредоносного скрипта на страницы сайтов клиентов Volusion осуществляется через JavaScript-код vnav.js, который используется для навигации по меню пользовательского интерфейса. Файл имитирует версию библиотеки jQuery UI v1.10.3 и содержит небольшое дополнение в виде скрипта для загрузки еще одного вредоносного скрипта, который в свою очередь используется для передачи данных.

Поисковый запрос выявил 6593 сайта, работающих на базе Volusion, которые могут быть затронуты проблемой. Однако не исключено, что число скомпрометированных сайтов может быть выше. Исследователь не смог определить, кто стоит за данной кампанией, однако подобные атаки обычно характерны для группировок, объединенных под общим названием Magecart.

Темы:Онлайн-торговляПреступленияVolusion
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...