Данные банковских карт клиентов филиппинской телекомпании ABS-CBN оказались скомпрометированы в ходе очередной атаки группировки Magecart.

Об этом 18 сентября сообщил в своем блоге голландский исследователь Виллем де Грут (Willem de Groot). Киберпреступникам удалось внедрить свой скрипт в систему онлайн-оплаты услуг компании, предлагающей клиентам более 90 сериалов собственного производства. По словам специалиста, похищенные данные передавались на командный сервер, расположенный в России.

Вредоносный инжект содержался в JavaScript-файле ccard.js, размещенном на сайте телекомпании. Как и в других атаках, код скрипта был обфусцирован, чтобы затруднить его обнаружение антивирусными системами. Как отмечает специалист, заражение произошло четыре недели назад или ранее, поскольку последние изменения в макросе датированы 16 августа.

Программа перехватывала данные банковских карт и регистрационные сведения клиентов ABS-CBN, оформлявших заказ, и передавала их на сервер злоумышленников, расположенный в Иркутске. Эксперт отмечает, что вредоносный сайт размещен в той же сети, что и ресурсы, связанные с криминальной кампанией Coffe&Tea, выявленной им неделей ранее. Ее авторы также похищали финансовую информацию, но использовали другой скрипт для открытия фальшивого окна оплаты на взломанном ресурсе.

Де Грут сообщил о своей находке представителям ABS-CBN, и спустя некоторое время компания отключила онлайн-магазин. Позднее телевещатель сообщил, что злоумышленникам удалось скомпрометировать данные банковских карт 213 клиентов. Организация проводит расследование инцидента и обещает приложить усилия для исключения подобных атак в будущем.

Сразу же после сообщения голландского исследователя появилась информация о другой атаке Magecart. ИБ-специалисты RiskIQ выяснили, что киберпреступникам удалось взломать сайт американского онлайн-магазина Newegg, который посещают порядка 50 млн человек в месяц.

Для маскировки криминальной активности злоумышленники разместили командный сервер на сайте neweggstats.com, чье имя похоже на название оригинального ресурса. В отличие от предыдущих кампаний, киберпреступники не использовали JavaScript-апплет, а внедрили вредоносный код непосредственно на страницу оплаты — так же, как при атаке на British Airways.

По словам исследователей, скрипт попал на сайт Newegg 14 августа и работал вплоть до 18 сентября, когда ритейлеру сообщили о взломе. Эксперты отмечают, что в результате атаки могли быть скомпрометированы банковские карты миллионов клиентов.

Специалисты в сфере информационной безопасности не исключают, что код Magecart используют несколько преступных группировок, одни из которых взламывают сайты крупных компаний, а другие атакуют мелких жертв. Так, на прошлой неделе в числе пострадавших оказалась компания Feedify. Киберпреступники сумели взломать платформу трижды, каждый раз возвращая вредоносный код на страницы ресурса.

Категории: Вредоносные программы, Хакеры