Злоумышленники крали данные платежных карт пользователей с помощью вредносного JavaScript-кода.
Киберпреступники атаковали инфраструктуру облачной платформы электронной коммерции Volusion, внедрив на страницы подтверждения заказов на сайтах вредоносный JavaScript-код, который крадет данные платежных карт.
Исследователь безопасности Марсель Афрахим (Marcel Afrahim) из компании Check Point обнаружил вредоносную кампанию во время покупок в Sesame Street Live Store — web-сайте компании Feld Entertainment, где продаются официальные товары Sesame Street. Магазин разработан на базе платформы Volusion, которая также предоставляет DNS-серверы.
В ходе анализа кода на странице оформления заказа исследователь обнаружил, что страница загружает JavaScript-код с Google Cloud Storage (storage.googleapis.com) — web-службы хостинга файлов для хранения и доступа к данным в инфраструктуре Google Cloud Platform. Вредоносный код под названием «resources.js» содержался в бакете «volusionapi». Анализ кода выявил, что скрипт считывает введенные в поля данные кредитной карты, затем шифрует их с помощью Base64 и сохраняет во временном хранилище «sessionStorage» браузера под именем «__utmz_opt_in_out». Затем данные отправляются на подконтрольный злоумышленнику домен «volusion-cdn.com/analytics/beacon», имитирующий инфраструктуру Volusion.
По словам исследователя, злоумышленник проявил осторожность в выборе имен для файлов, чтобы они не вызывали подозрений. В частности, описание кода повторяет описание легитимного API Javascript Cookie v2.1.4 для обработки cookie-файлов, размещенного на GitHub.
Загрузка вредоносного скрипта на страницы сайтов клиентов Volusion осуществляется через JavaScript-код vnav.js, который используется для навигации по меню пользовательского интерфейса. Файл имитирует версию библиотеки jQuery UI v1.10.3 и содержит небольшое дополнение в виде скрипта для загрузки еще одного вредоносного скрипта, который в свою очередь используется для передачи данных.
Поисковый запрос выявил 6593 сайта, работающих на базе Volusion, которые могут быть затронуты проблемой. Однако не исключено, что число скомпрометированных сайтов может быть выше. Исследователь не смог определить, кто стоит за данной кампанией, однако подобные атаки обычно характерны для группировок, объединенных под общим названием Magecart.