Фахівці з Sanguine Security розкрили шкідливу кампанію, під час якої зловмисники успішно зламали 962 сайти електронної комерції.
За словами дослідника з безпеки Willem de Groot, кіберзлочинцям вдалося впровадити скрипти для викрадення банківських даних на всі сайти всього за 24 години, а значить, вони діяли не вручну, а використовували автоматизовані інструменти.
Судячи з усього, за атаками стоять кіберзлочинні угруповання, об’єднані під загальною назвою Magecart. Хоча Sanguine Security не повідомляє, як саме відбувалося зараження інтернет-магазинів, швидше за все, зловмисники проводили сканування в пошуках уразливостей в використовуваному сайтами ПЗ і експлуатували їх. Як пояснив Groot, у деяких зламаних сайтів були відсутні патчі для відомих уразливостей в PHP.
Як показав аналіз JavaScript-коду, скімінговий скрипт використовувався для викрадення інформації відвідувачів інтернет-магазинів, зокрема даних їх банківських карт, імен, номерів телефонів та адрес. Велика частина постраждалих ресурсів це невеликі магазинчики, хоча серед них також є кілька великих підприємств.
Love is in the air … and some (botched?) injection attempt. #malicious #iframes on #amazonaws. Reminds a bit of #magecart but also found on non #Magento servers. #Trojan-PSW.Script.Generic about five gates so far. #TGIF https://t.co/8cYfT0TaHn pic.twitter.com/boMTgoo8G8
— micham (@micham) June 7, 2019
Дослідник із безпеки під псевдонімом Micham також виявив скімінговий скрипт на сайті газети The Guardian, впроваджений туди через застарілий Бакет AWS S3. За словами Жерома Сегури (Jérôme Segura) з Malwarebytes, сайт був заражений під час операції, що приводилася Magecart минулого місяця з використанням Amazon CloudFront CDN.
Accidental Magecart skimmer on newspaper site The Guardian from an old AWS S3 bucket found by @micham.
The skimmer gate is wix-cloud[.]com and it is part of the same campaign we documented before: https://t.co/hgCKvZQHDb
AWS Security was notified. pic.twitter.com/tZsB6dULl4
— malwareinfosec (@malwareinfosec) July 4, 2019
До речі, Microsoft випустила оновлення Android-додатку “Диспетчер Вашого телефону”, який дозволяє взаємодіяти з ПК на Windows за допомогою смартфону на Android.
Також уразливість в офіційному додатку відомого циркового колективу Cirque du Soleil виявили фахівці антивірусної компанії ESET.
Окрім цього, Кіберкомандування США (United States Cyber Command) попередило про експлуатацію кіберзлочинцями уразливості в поштовому клієнті Outlook з метою впровадження шкідливого програмного забезпечення в урядові мережі.
