Group-IB: платежные данные тысяч клиентов онлайн‑магазинов США и Великобритании могли быть скомпрометированы | F.A.C.C.T.

Group-IB: платежные данные тысяч клиентов онлайн‑магазинов США и Великобритании могли быть скомпрометированы

Group-IB, международная компания, специализирующаяся на предотвращении киберугроз, зафиксировала активность нового JS‑сниффера, предназначенного для перехвата пользовательских данных: номеров банковских карт, имен, адресов, логинов, паролей. Первым ресурсом, на котором эксперты Group-IB обнаружили сниффер, стал сайт, принадлежащий спортивному гиганту FILA, fila.co[.]uk, как минимум 5 600 клиентов которого могли стать жертвой кражи платежных данных за последние 4 месяца. В общей сложности новый JS‑сниффер заразил 7 сайтов, включая шесть онлайн-магазинов в США, которые суммарно посещают около 350 000 уникальных посетителей в месяц.

В сентябре 2018 года стало известно, что пользователи сайта и мобильного приложения British Airways подверглись компрометации. Под угрозой оказались все клиенты международной авиакомпании, которые осуществляли бронирование через официальный сайт или приложение компании в период с 25 августа по 5 сентября 2018 года. Суммарно в руки злоумышленников попали личные и финансовые данные 380 000 человек. Вскоре похожей атаке подверглись пользователи американского онлайн-магазина Ticketmaster. Киберпреступникам удалось скомпрометировать личную информацию тысяч путешественников и посетителей концертов с помощью «всего лишь» нескольких строк кода. Об этом впервые сообщили аналитики компании RiskIQ. Веб-сайты British Airways и Ticketmaster были заражены с помощью JS‑снифферов. Это тип вредоносного кода, внедряемого злоумышленниками на сайт жертвы для перехвата вводимых пользователем данных: номеров банковских карт, имен, адресов, логинов, паролей и др. Полученные данные злоумышленники, как правило, либо продают на андеграундных форумах кардшопах, либо используют сами для покупок ценных товаров и их последующей перепродажи с целью заработка.

О новом инциденте стало известно в феврале 2019 года благодаря команде Group-IB Threat Intelligence. Британский сайт FILA (fila.co[.]uk) стал одной из мишеней киберпреступников, внедривших вредоносный код JS‑сниффера, получившего название GMO. Этот же вредонос был обнаружен на 6 сайтах американских компаний. Команда Group-IB предприняла несколько попыток предупредить сайты о том, что они оказались зараженными этим JS‑сниффером. Специалисты компании Group-IB также передали информацию в профильные организации в Великобритании и США.

Вредоносный код загружает JavaScript-сниффер, как только клиент попадает на страницу оформления заказа. Сниффер, внедренный на сайт, перехватывает данные кредитной карты и персональную информацию жертвы, после чего отправляет их на сервер злоумышленников гейт. В цепочке передачи данных со сниффера может быть использовано несколько уровней гейтов, расположенных на разных серверах или взломанных сайтах, что усложняет задачу обнаружить конечный сервер злоумышленников. Однако в некоторых случаях административная панель расположена на том же хосте, что и гейт для сбора украденных данных. Киберпреступники могли внедрить вредоносный код несколькими способами: используя уязвимость Magento CMS (системы управления контентом), используемой FILA.co.uk, или скомпрометировав учетные данные администратора сайта, используя программу-шпион или взломав пароль методом простого перебора паролей

Дмитрий Волков
Дмитрий Волков

Технический директор, руководитель Threat Intelligence, сооснователь Group-IB

Специалисты направления Threat Intelligence Group-IB впервые зафиксировали активность нового JS‑сниффера именно на британском сайте компании FILA. Вредоносный код был обнаружен в начале марта 2019 года. В ходе расследования выяснилось, что GMO предположительно собирает данные о платежах клиентов с ноября 2018 года. Используя данные сайта Alexa.com, можно посчитать, что сайт посещает около 140 000 уникальных пользователей. Минимальная конверсия в покупку для интернет-магазинов одежды составляет 1%, по данным IRP. Следовательно, киберпреступники по самым скромным подсчётам могли похитить платежные и личные данные как минимум 5600 клиентов: каждый, кто приобретал товары на сайте fila.co.uk с ноября 2018 года, может находиться в "группе риска".

Рис. 1. На скриншоте показан однострочный код (строка 771), который загружает JS‑сниффер в тот момент, когда пользователь попадает на страницу оплаты.

Рис. 2 На скриншоте показана часть JS‑сниффера, которая отслеживает инструменты Chrome Developer Tools и Firebug, а также сниффер, загруженный в браузер пользователя в момент попадания на страницу оплаты.

Рис. 3 На скриншоте показана часть JS‑сниффера с функциями для сбора информации о счетах и платежах жертвы и отправки украденных данных злоумышленникам через запрос изображения

Рис. 4 На скриншоте показана часть JS‑сниффера, которая вызывает функции для сбора и отправки платежной информации жертвы киберпреступникам.

Позже специалисты Group-IB обнаружили другие сайты, зараженные JS‑сниффером GMO. Список жертв включает шесть онлайн-магазинов в США, которые в общей сложности посещают около 350 000 уникальных посетителей в месяц (согласно рейтингу Alexa.com): http://jungleeny[.]com (магазин домашнего дизайна), https://forshaw[.]com/ (магазин продукции для борьбы с насекомыми), https://www.absolutenewyork[.]com/ (магазин косметики), https://www.cajungrocer[.]com/ (продуктовый онлайн-магазин), https://www.getrxd[.]com/ (магазин тренажёров), https://www.sharbor[.]com/ (магазин оборудования для видеомонтажа).

GMO это семейство JS‑снифферов, жертвами атак которого становятся сайты, работающие под управлением CMS Magento. Одной из особенностей этого сниффера является способность обнаружить анализ сниффер определяет факт открытия окон Developer Tools и Firebu. Доменное имя, используемое для размещения кода снифферов и гейта для сбора украденных данных, было создано 7 мая 2018 года этот месяц можно считать датой начала кампании с использованием сниффера GMO. Данный сниффер входит в число 15 семейств снифферов, описанных в новом отчете Group-IB, который будет опубликован в ближайшее время. Всего специалистами Group-IB было обнаружено 38 различных семейств JS‑снифферов, доступ к описанию которых первыми получат клиенты Group-IB Threat Intelligence.

К моменту выпуска данной новости компания FILA и несколько других пострадавших ресурсов обновили сайты и удалили сниффер.

О компании

F.A.C.C.T. — Fight Against Cybercrime Technologies — российский разработчик технологий для борьбы с киберпреступлениями, поставщик решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. F.A.C.C.T. создана для работы на рынках России и СНГ путем выделения в автономную структуру бывшего российского актива международной компании Group-IB.

В основе технологического лидерства F.A.C.C.T. — 20-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT. Решения компании основаны на знаниях, полученных в ходе реагирований на инциденты и исследований киберпреступности. Они обеспечивают защиту от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Продукты F.A.C.C.T. входят в Реестр Отечественного ПО.