Онлайн-скиммер MageCart заражает «оптом»

Вредоносное ПО, объединяемое общим названием MageCart, служит для онлайн-скимминга - похищения данных банковских карт клиентов с сайтов электронной коммерции. Как правило, использующие его хакеры довольствуются инфицированием одного-двух крупных сайтов (в числе наиболее известных атак – похищение данных карт клиентов сайта и приложения авиакомпании British Airways и сервиса продажи билетов TicketMaster). Но в начале нынешнего года киберпреступники решили резко расширить сферу своих интересов.

Компании TrendMicro и RiskIQ сообщили о том, что хакерам ранее малоизвестной группировки, получившей условное название Magecart Group 12, удалось внедрить код скиммера в скрипт крупного французского рекламного агентства Adverline, демонстрирующий рекламные баннеры на сайтах клиентов. В результате уже 1 января счет сайтов, инфицированных MageCart, шел на многие сотни. Вредоносный код проверял URL-адреса на наличие ключевых слов, связанных с покупками – «оплата», «касса», «корзина» и т.д. (причем на трех языках – английском, немецком и французском) и при их обнаружении активировал функцию сохранения вводимых данных. Затем информация перенаправлялась на подконтрольные киберпреступникам серверы. Связаться с агентством Adverline непосредственно 1 января специалистам TrendMicro не удалось, а потому они уведомили о проблеме французский центр реагирования на киберугрозы (CERT). В результате вредоносный код был удален из рекламного скрипта лишь 5 января.

Источник: Bleeping Computer