Взломщики украли данные пользователей с британского сайта Casio
04/02/25
Инцидент стал частью масштабной кампании веб-скимминга, которая на данный момент выявлена как минимум на 17 сайтах, работающих на платформе Magento или аналогичных решениях. Вредоносный код был активен на сайте Casio с 14 по 24 января, а 28 января код обнаружили ИБ-специалисты. В течение суток после уведомления компания устранила угрозу, пишет Securitylab.
Вредоносный скрипт был встроен в главный код сайта и отличался от стандартных методов веб-скимминга. Обычно такие атаки направлены на страницу оплаты, но в данном случае вредоносное ПО охватило все страницы сайта, за исключением «/checkout». Это позволило мошенникам собирать данные пользователей до перехода к оплате. При попытке оформить заказ через корзину появлялась поддельная форма ввода данных, которая маскировалась под стандартное оформление покупки.
Фальшивая форма запрашивала адрес, телефон, имя, и данные банковской карты. Введённая информация передавалась на удалённый сервер с использованием шифрования AES-256-CBC. Уникальность атаки в том, что после ввода всех данных пользователь получал сообщение об ошибке и перенаправлялся на настоящий раздел оформления заказа, где ему вновь предлагалось заполнить поля оплаты. Такой метод известен как «Double Entry» и позволяет мошенникам убедиться в подлинности информации.
В коде скиммера использовалось несколько уровней маскировки, в том числе индивидуальный механизм кодирования переменных, а также метод сокрытия строк через XOR-шифрование. Это позволяло обойти статический анализ и WAF -системы. Ещё одной особенностью атаки стало отсутствие кода вредоносного скрипта в ряде случаев, что указывало на встроенные механизмы обхода детектирования.
Все заражённые сайты загружали вредоносный код с определенных серверов. Несмотря на различие доменных имён, основной вредоносный код оставался схожим, что указывает либо на одного организатора атак, либо на использование единого инструмента для их генерации. Также выявлены случаи использования давно зарегистрированных, но неактивных доменов, что позволяло киберпреступникам избегать блокировок.
Система безопасности Casio UK включала в себя политику Content Security Policy (CSP), однако она работала в режиме отчётности и не была настроена на автоматическое блокирование нарушений, что позволило вредоносному коду внедриться на сайт без противодействий.