Кейлоггер крадет платежные данные с сотен сайтов

«По словам Даррена Спруэла (Darren Spruell) из RiskIQ, данная киберкампания связана с единственной неустановленной хакерской группой, первые атаки которой были зафиксированы в марте. Многие взломанные сайты до сих пор активно крадут данные. RiskIQ предупредила ряд сайтов о компрометации, однако получение отчета подтвердили немногие. «При совершении покупки на этих сайтах и вводе данных кредитной карты эти данные похищаются и передаются атакующим в реальном времени», — пояснил Спруэл.

Как обнаружили исследователи, многие взломанные ecommerce-сайты используют платформу Magento с открытым исходным кодом. Минувшим летом исследователи из Sucuri зафиксировали расширение использования веб-кейлоггера, ворующего данные кредитных карт с Magento в реальном времени. RiskIQ в своем отчете отметила сходство, однако инициаторы новейшей кампании, по данным экспертов, атакуют не только Magento, но также платформы Powerfront CMS и OpenCart.

Пока неясно, какую брешь используют злоумышленники; в своем комментарии Спруэл отметил, что зловреда в принципе можно установить, используя комбинацию уязвимостей на стороне сервера. Согласно RiskIQ, атакующие внедряют на целевой сайт «простейший» скрипт — строки веб-кода, обеспечивающие выполнение дополнительных действий, например загрузку вредоносного JavaScript или других сценариев, размещенных на удаленных серверах.

При выводе пользователю формы заказа внедренный на сайт скрипт подгружает кейлоггер в виде JavaScript из стороннего домена. Когда пользователь вводит в форму данные, они отправляются в домен, контролируемый авторами атаки. Поскольку JavaScript грузится из удаленного домена, атакующие могут вносить модификации в исходный код зловреда без повторного заражения сайтов, как отметила Sucuri в своем июльском отчете. Спруэл со своей стороны указал еще одно преимущество данного метода атаки: он гарантирует актуальность и подлинность похищенных данных, а также наличие средств на счете жертвы...»