Мошенники внедрили скрипт для кражи данных банковских карт в код платформы для уведомлений, используемой сотнями сайтов.
Киберпреступники из Magecart внедрили свой скрипт в движок платформы Feedify и скомпрометировали сотни сайтов, использующих ее для отправки push-уведомлений.
Вредоносный код удалили сразу после обнаружения взлома, однако мошенникам удалось вернуть его на место в течение нескольких часов. Специалисты отмечают, что этот инцидент — продолжение масштабной кампании, от которой уже пострадали клиенты British Airways, Ticketmaster и других организаций.
Заражение обнаружил ИБ-исследователь под псевдонимом Placebo. Эксперт выяснил, что JavaScript-файл feedbackembad-min-1.0.js содержит вредоносный инжект, целью которого является кража финансовых данных. После расшифровки обфусцированного кода специалист выяснил, что похищенная информация передается на сервер, зарегистрированный в национальной доменной зоне Самоа.
К сожалению, зловредный код удалили лишь из бэкенда Feedify, на серверах CDN-сети компании он остался в доступе. Впрочем, через несколько часов киберпреступники сумели повторно провести инъекцию скрипта. Более того, после очередной чистки мошенники из Magecart скомпрометировали сервис в третий раз.
В Feedify пока не прокомментировали инцидент. Представитель компании утверждает, что ее клиентами являются более 4000 организаций, однако данные поиска свидетельствуют лишь о 250-300 сайтах, использующих сервис для рассылки уведомлений.
Ранее от действий Magecart пострадал крупнейший в мире билетный оператор Ticketmaster. Компания обнаружила вредоносный код в системе поддержки пользователей, разработанной Inbenta.
Начиная с 2017 года, злоумышленники из Magecart пытаются добраться до финансовой информации пользователей через зараженные продукты сторонних разработчиков. Как указали эксперты RiskIQ, скрипты, разработанные группировкой, нашлись в программах Sociaplus, PushAssist, Clarity Connect и Annex Cloud.