CheckPoint сообщают о новой вредоносной кампании, затрагивающей исключительно интернет-магазины на Volusion.
Злоумышленники крали данные платежных карт пользователей с помощью вредносного JavaScript-кода, который внедрили на страницы подтверждения заказов, атаковав инфраструктуру облачной платформы электронной коммерции
В ходе анализа кода на странице оформления заказа в Sesame Street Live Store (магазин разработан на базе платформы Volusion, которая также предоставляет DNS-серверы) исследователь обнаружил, что страница загружает JavaScript-код с Google Cloud Storage (storage.googleapis.com) — web-службы хостинга файлов для хранения и доступа к данным в инфраструктуре Google Cloud Platform.
Вредоносный код под названием «resources.js» содержался в бакете «volusionapi». Он считывает введенные в поля данные кредитной карты, затем шифрует их с помощью Base64 и сохраняет во временном хранилище «sessionStorage» браузера под именем «__utmz_opt_in_out». Затем данные отправляются на подконтрольный злоумышленнику домен «volusion-cdn.com/analytics/beacon», имитирующий инфраструктуру Volusion.
Сколько сайтов затрагивает этот вредонос? Реальное число неизвестно. Как пишет CheckPoint, поисковый запрос выявил 6593 сайта, работающих на базе Volusion, которые могут быть затронуты проблемой. Число скомпрометированных, однако, может быть выше. Исследователь не смог определить, кто стоит за данной кампанией, однако подозревается Magecart.
Volusion была основана Кевином Спролесом в Остине, штат Техас, и ведет свою деятельность с 1999. Volusion предоставляет полностью облачную платформу для электронной коммерции. Компания предлагает все основные функции, необходимые для работы собственного интернет-магазина.
Читайте также на АКБ:
Скрипт-разбойник вытаскивает платежи из прорехи в интернет-магазинах Magento
60 тысяч сайтов для WordPress попали под атаку — опять из-за плагина
