Group-IB, международная компания, специализирующаяся на предотвращении киберугроз, зафиксировала активность нового JS‑сниффера, предназначенного для перехвата пользовательских данных: номеров банковских карт, имен, адресов, логинов, паролей. Первым ресурсом, на котором эксперты Group-IB обнаружили сниффер, стал сайт, принадлежащий спортивному гиганту FILA, fila.co[.]uk, как минимум 5 600 клиентов которого могли стать жертвой кражи платежных данных за последние 4 месяца. В общей сложности новый JS‑сниффер заразил 7 сайтов, включая шесть онлайн-магазинов в США, которые суммарно посещают около 350 000 уникальных посетителей в месяц.
В сентябре 2018 года стало известно, что пользователи сайта и мобильного приложения British Airways подверглись компрометации. Под угрозой оказались все клиенты международной авиакомпании, которые осуществляли бронирование через официальный сайт или приложение компании в период с 25 августа по 5 сентября 2018 года. Суммарно в руки злоумышленников попали личные и финансовые данные 380 000 человек. Вскоре похожей атаке подверглись пользователи американского онлайн-магазина Ticketmaster. Киберпреступникам удалось скомпрометировать личную информацию тысяч путешественников и посетителей концертов с помощью «всего лишь» нескольких строк кода. Об этом впервые сообщили аналитики компании RiskIQ. Веб-сайты British Airways и Ticketmaster были заражены с помощью JS‑снифферов. Это тип вредоносного кода, внедряемого злоумышленниками на сайт жертвы для перехвата вводимых пользователем данных: номеров банковских карт, имен, адресов, логинов, паролей и др. Полученные данные злоумышленники, как правило, либо продают на андеграундных форумах кардшопах, либо используют сами для покупок ценных товаров и их последующей перепродажи с целью заработка.
О новом инциденте стало известно в феврале 2019 года благодаря команде Group-IB Threat Intelligence. Британский сайт FILA (fila.co[.]uk) стал одной из мишеней киберпреступников, внедривших вредоносный код JS‑сниффера, получившего название GMO. Этот же вредонос был обнаружен на 6 сайтах американских компаний. Команда Group-IB предприняла несколько попыток предупредить сайты о том, что они оказались зараженными этим JS‑сниффером. Специалисты компании Group-IB также передали информацию в профильные организации в Великобритании и США.
Технический директор, руководитель Threat Intelligence, сооснователь Group-IB
Специалисты направления Threat Intelligence Group-IB впервые зафиксировали активность нового JS‑сниффера именно на британском сайте компании FILA. Вредоносный код был обнаружен в начале марта 2019 года. В ходе расследования выяснилось, что GMO предположительно собирает данные о платежах клиентов с ноября 2018 года. Используя данные сайта Alexa.com, можно посчитать, что сайт посещает около 140 000 уникальных пользователей. Минимальная конверсия в покупку для интернет-магазинов одежды составляет 1%, по данным IRP. Следовательно, киберпреступники по самым скромным подсчётам могли похитить платежные и личные данные как минимум 5600 клиентов: каждый, кто приобретал товары на сайте fila.co.uk с ноября 2018 года, может находиться в "группе риска".
Рис. 1. На скриншоте показан однострочный код (строка 771), который загружает JS‑сниффер в тот момент, когда пользователь попадает на страницу оплаты.
Рис. 2 На скриншоте показана часть JS‑сниффера, которая отслеживает инструменты Chrome Developer Tools и Firebug, а также сниффер, загруженный в браузер пользователя в момент попадания на страницу оплаты.
Рис. 3 На скриншоте показана часть JS‑сниффера с функциями для сбора информации о счетах и платежах жертвы и отправки украденных данных злоумышленникам через запрос изображения
Рис. 4 На скриншоте показана часть JS‑сниффера, которая вызывает функции для сбора и отправки платежной информации жертвы киберпреступникам.
Позже специалисты Group-IB обнаружили другие сайты, зараженные JS‑сниффером GMO. Список жертв включает шесть онлайн-магазинов в США, которые в общей сложности посещают около 350 000 уникальных посетителей в месяц (согласно рейтингу Alexa.com): http://jungleeny[.]com (магазин домашнего дизайна), https://forshaw[.]com/ (магазин продукции для борьбы с насекомыми), https://www.absolutenewyork[.]com/ (магазин косметики), https://www.cajungrocer[.]com/ (продуктовый онлайн-магазин), https://www.getrxd[.]com/ (магазин тренажёров), https://www.sharbor[.]com/ (магазин оборудования для видеомонтажа).
GMO это семейство JS‑снифферов, жертвами атак которого становятся сайты, работающие под управлением CMS Magento. Одной из особенностей этого сниффера является способность обнаружить анализ сниффер определяет факт открытия окон Developer Tools и Firebu. Доменное имя, используемое для размещения кода снифферов и гейта для сбора украденных данных, было создано 7 мая 2018 года этот месяц можно считать датой начала кампании с использованием сниффера GMO. Данный сниффер входит в число 15 семейств снифферов, описанных в новом отчете Group-IB, который будет опубликован в ближайшее время. Всего специалистами Group-IB было обнаружено 38 различных семейств JS‑снифферов, доступ к описанию которых первыми получат клиенты Group-IB Threat Intelligence.
К моменту выпуска данной новости компания FILA и несколько других пострадавших ресурсов обновили сайты и удалили сниффер.