Group-IB: платежные данные тысяч клиентов онлайн-магазинов США и Великобритании могли быть скомпрометированы

15.03.2019   \  Новости финансового сектора

Москва, 15.03.2019 - Group-IB, международная компания, специализирующаяся на предотвращении киберугроз, зафиксировала активность нового JS-сниффера, предназначенного для перехвата пользовательских данных: номеров банковских карт, имен, адресов, логинов, паролей. Первым ресурсом, на котором эксперты Group-IB обнаружили JS-сниффер, стал сайт, принадлежащий спортивному гиганту FILA, fila.co[.]uk, как минимум 5 600 клиентов которого могли стать жертвой кражи платежных данных за последние 4 месяца. В общей сложности новый JS-сниффер заразил 7 сайтов, включая шесть онлайн-магазинов в США, которые суммарно посещают около 350 000 уникальных посетителей в месяц.

JavaScript-сниффер: недооцененная угроза

В сентябре 2018 года стало известно, что пользователи сайта и мобильного приложения British Airways подверглись компрометации. Под угрозой оказались все клиенты международной авиакомпании, которые осуществляли бронирование через официальный сайт или приложение компании в период с 25 августа по 5 сентября 2018 года. Суммарно в руки злоумышленников попали личные и финансовые данные 380 000 человек. Вскоре похожей атаке подверглись пользователи американского онлайн-магазина Ticketmaster. Киберпреступникам удалось скомпрометировать личную информацию тысяч путешественников и посетителей концертов с помощью "всего лишь" нескольких строк кода. Об этом впервые сообщили аналитики компании RiskIQ. Веб-сайты British Airways и Ticketmaster были заражены с помощью JS-снифферов. Это тип вредоносного кода, внедряемого злоумышленниками на сайт жертвы для перехвата вводимых пользователем данных: номеров банковских карт, имен, адресов, логинов, паролей и др. Полученные данные злоумышленники, как правило, либо продают на андеграундных форумах — кардшопах или используют сами для покупок ценных товаров, и их последующей перепродажи с целью заработка.

О новом инциденте стало известно в феврале 2019 года благодаря команде Group-IB Threat Intelligence. Британский сайт FILA (fila.co[.]uk) стал одной из мишеней киберпреступников, внедривших вредоносный код JS-сниффера, получившего название GMO. Этот же вредонос был обнаружен на 6 сайтах американских компаний. Команда Group-IB предприняла несколько попыток предупредить сайты о том, что они оказались зараженными этим JS-сниффером. Специалисты компании Group-IB также передали информацию в профильные организации в Великобритании и США.

В Group-IB пояснили: «Вредоносный код загружает JavaScript-сниффер как только клиент попадает на страницу оформления заказа. Сниффер, внедренный на сайт, перехватывает данные кредитной карты и персональную информацию жертвы, после чего отправляет их на сервер злоумышленников — гейт. В цепочке передачи данных со сниффера может быть использовано несколько уровней гейтов, расположенных на разных серверах или взломанных сайтах, что усложняет задачу обнаружить конечный сервер злоумышленников. Однако в некоторых случаях административная панель расположена на том же хосте, что и гейт для сбора украденных данных. Киберпреступники могли внедрить вредоносный код несколькими способами: используя уязвимость Magento CMS (системы управления контентом), используемой FILA.co.uk, или скомпрометировав учетные данные администратора сайта, используя программу-шпион или взломав пароль методом простого перебора паролей».

Почти не заметен и очень опасен

Специалисты направления Threat Intelligence Group-IB впервые зафиксировали активность нового JS-сниффера именно на британском сайте компании FILA. Вредоносный код был обнаружен в начале марта 2019 года. В ходе расследования выяснилось, что GMO предположительно собирает данные о платежах клиентов с ноября 2018 года. Используя данные сайта Alexa.com, можно посчитать, что сайт посещает около 140 000 уникальных пользователей. Минимальная конверсия в покупку для интернет-магазинов одежды составляет 1%, по данным IRP. Следовательно, киберпреступники по самым скромным подсчётам могли похитить платежные и личные данные как минимум 5600 клиентов: каждый, кто приобретал товары на сайте fila.co.uk с ноября 2018 года, может находиться в «группе риска».

Позже специалисты Group-IB обнаружили другие сайты, зараженные JS-сниффером GMO. Список жертв включает шесть онлайн-магазинов в США, которые в общей сложности посещают около 350 000 уникальных посетителей в месяц (согласно рейтингу Alexa.com): http://jungleeny[.]com (магазин домашнего дизайна), https://forshaw[.]com/ (магазин продукции для борьбы с насекомыми), https://www.absolutenewyork[.]com/ (магазин косметики), https://www.cajungrocer[.]com/ (продуктовый онлайн-магазин), https://www.getrxd[.]com/ (магазин тренажёров), https://www.sharbor[.]com/ (магазин оборудования для видеомонтажа).

GMO — это семейство JS-снифферов, жертвами атак которого становятся сайты, работающие под управлением CMS Magento. Одной из особенностей этого сниффера является способность обнаружить анализ — сниффер определяет факт открытия окон Developer Tools и Firebu. Доменное имя, используемое для размещения кода снифферов и гейта для сбора украденных данных, было создано 7 мая 2018 года — этот месяц можно считать датой начала кампании с использованием сниффера GMO. Данный сниффер является входит в число 15 семейств снифферов, описанных в новом отчете Group-IB, который будет опубликован в ближайшее время. Всего специалистами Group-IB было обнаружену 38 различных семейств JS-снифферов, доступ к описанию которых первыми получат клиенты Group-IB Threat Intelligence.

К моменту выпуска данной новости компания FILA и несколько других пострадавших ресурсов обновили сайты и удалили сниффер.

Авторизуйтесь, чтобы оставить комментарий.
Аналитика    Вчера 19:03

Неликвидные торги завершились околонулевой динамикой

Тимур Нигматуллин, аналитик «Открытие Брокер».

Аналитика    Вчера 18:20

Вечерний комментарий Промсвязьбанка

Богдан Зварич, главный аналитик Промсвязьбанка.

Это интересно    Вчера 16:00

Что не так с пожертвованиями на Нотр-Дам

Почти полмиллиарда евро, пожертвованные французским бизнесом на реконструкцию собора Парижской Богоматери, вызвали вопрос: какой процент от этой суммы превратится в налоговый вычет для щедрых благотворителей?

Это интересно    Вчера 12:55

Состояние Билла Гейтса спустя 20 лет снова превысило $100 млрд

Состояние основателя компании Microsoft Билла Гейтса превысило отметку в $100 миллиардов. Это, как пишет журнал Forbes, произошло впервые с 1999 года.

Новости АРБ    18.04.2019 18:21

АРБ провела вебинар по искусственному интеллекту в банковской сфере

18 апреля Комитет АРБ по информационным и интернет-технологиям провел заседание в виде интерактивного вебинара, посвященное применению искусственного интеллекта в банковской сфере.

   

Календарь мероприятий

Мы на Facebook