Одна из криминальных групп, которые ИБ-эксперты рассматривают под общим названием Magecart, расширила круг своих интересов и собирает не только реквизиты банковских карт, но также учетные данные администраторов сайтов. Исследователи из RiskIQ предупреждают, что подобная информация позволит развить атаку и проникнуть в сеть торговой организации.

Группировка с кодовым обозначением 11, о которой идет речь, недавно атаковала крупнейшего продавца контактных линз VisionDirect. Используя веб-скиммер, злоумышленники украли данные покупателей, которые те вводили в формы на VisionDirect.co.uk, — имена, адреса проживания, номера телефонов, email-адреса, пароли и реквизиты платежных карт.

Однако более тщательный анализ показал, что авторы атаки этим не ограничились. Во-первых, под удар попал не только основной сайт британской компании, но также ее магазины в Италии, Испании, Ирландии, Франции, Бельгии и Нидерландах. Все эти сайты одинаково оформлены и размещены на одном IP-адресе, а значит, атакующие имели возможность скомпрометировать их одним махом, добравшись до основного сервера.

Другое открытие оказалось более интересным, хотя и вполне ожидаемым. Злоумышленники ввели новые ключевые слова в механизм скиммера, отвечающий за фильтрацию URL-путей, что позволило включить в поиск дополнительные страницы регистрации. В результате им удалось украсть информацию, открывающую доступ ко всем сайтам VisionDirect не только на уровне пользователя, но и под аккаунтом администратора.

«Идентификаторы администратора или информация о нем могут пригодиться для преодоления других систем безопасности организации, — пояснил представитель RiskIQ журналистам Threatpost. — Что касается данных посетителей веб-ресурсов, Group 11, возможно, планировала с их помощью добраться до хранимой информации или проводить атаки credential stuffing (с подстановкой краденых учетных данных) в других точках розничной торговли, так как людям свойственно повторно использовать одни и те же пароли».

Члены криминального сообщества Magecart делятся на группы (в RiskIQ различают семь); каждая из них оперирует своим набором инструментов и имеет характерные особенности. Так, например, утечку в Ticketmaster организовала группа 5, в British Airways и Newegg — группа 6.

Группа 11 впервые засветилась на радарах экспертов в начале прошлого года. Ее инфраструктура не столь велика, как у других групп Magecart, однако ей уже удалось скомпрометировать много сайтов — более сотни, по словам собеседника Threatpost. Судя по высокой активности, которую выказывает эта группировка, число ее жертв будет только возрастать.

Категории: Аналитика, Хакеры