Утечка платежных данных, которая произошла на сайте Ticketmaster в июне, является лишь частью масштабной операции по краже информации кредитных карт. Аналитики RiskIQ Йонатан Клинсма (Yonathan Klijnsma) и Джордан Херман (Jordan Herman), которые расследовали это хищение, пришли к выводу, что за ним стоит группировка Magecart, которая, действуя через сторонних разработчиков, смогла скомпрометировать более 800 ресурсов. По мнению специалистов, это может быть самой крупной кражей платежных данных на сегодняшний день.

Ticketmaster — крупнейшая в мире компания, занимающаяся продажей билетов на развлекательные мероприятия. В конце июня представители сервиса сообщили, что обнаружили вредоносный код в ПО для поддержки пользователей, разработанном для них компанией Inbenta Technologies ПО. Инъекция позволяла перехватывать данные кредитных карт покупателей.

По словам представителей Ticketmaster, утечка затронула менее 5% клиентов. Среди пострадавших оказались жители Великобритании, которые приобретали билеты в период с февраля по 23 июня 2018 года, а также граждане других стран, которые воспользовались услугами сайта с сентября 2017 года по 23 июня 2018 года.

Все продукты Inbenta Technologies на портале были немедленно отключены. Расследование показало, что злоумышленники смогли проникнуть в систему компании, чтобы с ее помощью распространять вредоносные плагины. Специалисты полагают, что это не единственная компания-разработчик, которой воспользовались преступники.

По их мнению, группировка Magecart, которая действует с 2015 года, сменила стратегию, переключившись со спонтанных хищений на целенаправленную компрометацию поставщиков программ. Командный сервер, на который переправлялась вся собранная информация, начал работать в декабре 2016 года.

Magecart нацелился не только на Inbenta Technologies, но и на других разработчиков. Вредоносный код нашли в продуктах Sociaplus, PushAssist, Clarity Connect и Annex Cloud. Всего аналитики выявили около 100 пострадавших интернет-магазинов, включая крупные бренды. В результате некоторых атак преступники могли единовременно похитить данные почти 10 тыс. клиентов.

Помимо сторонних фрагментов кода, атакующие могут оставлять в системе сообщения и угрозы для администраторов, которые попытаются удалить вредоносное ПО. Так, разместив свой скиммер в одной из программ Clarity Connect, злоумышленники добавили предупреждение: “Если еще раз удалите мой код, я зашифрую все ваши сайты! Вы очень плохие админы”.

Злоумышленники нередко проникают в системы различных сервисов через продукты сторонних разработчиков. В 2017 году плагин Display Widgets, призванный контролировать работу виджетов на сайтах WordPress, собирал IP-адреса пользователей и просматриваемые ими страницы.

Не раз в полезных программах мошенники скрывали криптомайнер Coinhive. В феврале 2018 года они даже запускали его на правительственных сайтах разных стран, предварительно спрятав в плагине для преобразования текста в речь BrowseAloud.

Категории: Мошенничество, Хакеры