Group-IB объявила о возможном перехвате платежных данных тысяч онлайн-покупателей
Group-IB зафиксировала активность нового JS-сниффера, предназначенного для перехвата пользовательских данных: номеров банковских карт, имен, адресов, логинов, паролей. Первым ресурсом, на котором эксперты Group-IB обнаружили сниффер, стал сайт, принадлежащий спортивному гиганту FILA, fila.co[.]uk, как минимум 5 600 клиентов которого могли стать жертвой кражи платежных данных за последние 4 месяца.
В общей сложности новый JS-сниффер заразил 7 сайтов, включая шесть онлайн-магазинов в США, которые суммарно посещают около 350 тыс. уникальных посетителей в месяц
В сентябре 2018 года стало известно, что пользователи сайта и мобильного приложения British Airways подверглись компрометации. Под угрозой оказались все клиенты международной авиакомпании, которые осуществляли бронирование через официальный сайт или приложение компании в период с 25 августа по 5 сентября 2018 года. Суммарно в руки злоумышленников попали личные и финансовые данные 380 000 человек. Вскоре похожей атаке подверглись пользователи американского онлайн-магазина Ticketmaster. Киберпреступникам удалось скомпрометировать личную информацию тысяч путешественников и посетителей концертов с помощью "всего лишь" нескольких строк кода. Об этом впервые сообщили аналитики компании RiskIQ. Веб-сайты British Airways и Ticketmaster были заражены с помощью JS-снифферов. Это тип вредоносного кода, внедряемого злоумышленниками на сайт жертвы для перехвата вводимых пользователем данных: номеров банковских карт, имен, адресов, логинов, паролей и др. Полученные данные злоумышленники, как правило, либо продают на андеграундных форумах — кардшопах или используют сами для покупок ценных товаров, и их последующей перепродажи с целью заработка.
О новом инциденте стало известно в феврале 2019 года благодаря команде Group-IB Threat Intelligence. Британский сайт FILA (fila.co[.]uk) стал одной из мишеней киберпреступников, внедривших вредоносный код JS-сниффера, получившего название GMO. Этот же вредонос был обнаружен на 6 сайтах американских компаний. Команда Group-IB предприняла несколько попыток предупредить сайты о том, что они оказались зараженными этим JS-сниффером. Специалисты компании Group-IB также передали информацию в профильные организации в Великобритании и США.
В Group-IB пояснили: «Вредоносный код загружает JavaScript-сниффер как только клиент попадает на страницу оформления заказа. Сниффер, внедренный на сайт, перехватывает данные кредитной карты и персональную информацию жертвы, после чего отправляет их на сервер злоумышленников — гейт. В цепочке передачи данных со сниффера может быть использовано несколько уровней гейтов, расположенных на разных серверах или взломанных сайтах, что усложняет задачу обнаружить конечный сервер злоумышленников. Однако в некоторых случаях административная панель расположена на том же хосте, что и гейт для сбора украденных данных. Киберпреступники могли внедрить вредоносный код несколькими способами: используя уязвимость Magento CMS (системы управления контентом), используемой FILA.co.uk, или скомпрометировав учетные данные администратора сайта, используя программу-шпион или взломав пароль методом простого перебора паролей».
Специалисты направления Threat Intelligence Group-IB впервые зафиксировали активность нового JS-сниффера именно на британском сайте компании FILA. Вредоносный код был обнаружен в начале марта 2019 года. В ходе расследования выяснилось, что GMO предположительно собирает данные о платежах клиентов с ноября 2018 года. Используя данные сайта Alexa.com, можно посчитать, что сайт посещает около 140 000 уникальных пользователей. Минимальная конверсия в покупку для интернет-магазинов одежды составляет 1%, по данным IRP. Следовательно, киберпреступники по самым скромным подсчётам могли похитить платежные и личные данные как минимум 5600 клиентов: каждый, кто приобретал товары на сайте fila.co.uk с ноября 2018 года, может находится в «группе риска».
Позже специалисты Group-IB обнаружили другие сайты, зараженные JS-сниффером GMO. Список жертв включает шесть онлайн-магазинов в США, которые в общей сложности посещают около 350 000 уникальных посетителей в месяц (согласно рейтингу Alexa.com): http://jungleeny[.]com (магазин домашнего дизайна), https://forshaw[.]com/ (магазин продукции для борьбы с насекомыми), https://www.absolutenewyork[.]com/ (магазин косметики), https://www.cajungrocer[.]com/ (продуктовый онлайн-магазин), https://www.getrxd[.]com/ (магазин тренажёров), https://www.sharbor[.]com/ (магазин оборудования для видеомонтажа).
GMO — это семейство JS-снифферов, жертвами атак которого становятся сайты, работающие под управлением CMS Magento. Одной из особенностей этого сниффера является способность обнаружить анализ — сниффер определяет факт открытия окон Developer Tools и Firebu. Доменное имя, используемое для размещения кода снифферов и гейта для сбора украденных данных, было создано 7 мая 2018 года — этот месяц можно считать датой начала кампании с использованием сниффера GMO. Данный сниффер является входит в число 15 семейств снифферов, описанных в новом отчете Group-IB, который будет опубликован в ближайшее время. Всего специалистами Group-IB было обнаружену 38 различных семейств JS-снифферов, доступ к описанию которых первыми получат клиенты Group-IB Threat Intelligence.
К моменту выпуска новости компания FILA и несколько других пострадавших ресурсов обновили сайты и удалили сниффер.