Небрежность преступников, стоящих за кампаниями Magecart, позволила ИБ-экспертам подробно изучить используемый в атаках зловред. Инцидент произошел, когда злоумышленники попытались взломать Shopper Approved —плагин для электронных магазинов.

Попавший под удар сервис позволяет онлайн-площадкам работать с отзывами клиентов. По данным Shopper Approved, решение встроено в тысячи сайтов, которые работают в самых разных областях — от продажи одежды и электроники до организации маркетинговых кампаний.

Атаку, произошедшую 15 сентября, удалось быстро обнаружить автоматическими средствами, в результате чего ИБ-эксперты смогли свести ущерб к минимуму. Уже через два дня специалисты нашли посторонний скрипт в коде сайта и ликвидировали угрозу.

Во многом столь скорое устранение вредоноса стало возможным из-за оплошности, которую преступники допустили при его внедрении. Опасное ПО оказалось размещено на сайте без обфускации, что значительно упростило работу ИБ-экспертов. Мошенники исправили ошибку уже через 15 минут, однако этого хватило, чтобы зафиксировать чистый код для изучения.

Помимо прочего, аналитики установили связь этой атаки с недавним взломом онлайн-сервиса Feedify. Об этом говорит общий сервер, куда в обоих случаях вредонос отправлял собранные данные.

В официальном сообщении Shopper Approved говорится, что инцидент затронул незначительное число клиентов. Этому способствовало быстрое обнаружение зловреда, а также тот факт, что он активировался только на тех страницах, где находил определенные ключевые слова. Представители компании связались со всеми жертвами и предложили помощь в устранении последствий.

По словам экспертов, бороться с угрозами наподобие Magecart очень сложно, ведь для этого нужно контролировать все сторонние плагины, которые используются в онлайн-магазинах. Самый безопасный путь в этой ситуации —вообще не использовать подобное ПО. Если пропустить момент заражения, зловред может месяцами оставаться на сайте, собирая платежные данные тысяч покупателей.

Так, американская сеть ресторанов Burgerville обнаружила проникновение только через год после инцидента. Компания была вынуждена признать потенциальными жертвами всех своих клиентов, которые в этот период расплачивались пластиковыми картами.

Если организация не может отказаться от сторонних плагинов, специалисты рекомендуют использовать те движки для электронных корзин, которые блокируют нелегитимную активность ПО. Компаниям также следует тщательно проверять свою инфраструктуру после заражения — зловред может скрыться в кэшах CDN-службы (Content Delivery Network, используется для оптимизации трафика в распределенных сетевых структурах). При атаке на Feedify этот метод позволил преступникам дважды восстановить контроль после вмешательства ИБ-специалистов.

В 2018 году Magecart все чаще выбирает своей целью электронные платформы — от группировки уже пострадали крупнейший в мире продавец билетов Ticketmaster, платежные онлайн-системы телекомпании ABS-CBN и авиаперевозчика British Airways. Преступники не отказываются и от взлома интернет-магазинов, поразив уже более 7,3 тыс. площадок.

Категории: Другие темы, Хакеры