Группировка Magecart трижды взломала движок сервиса Feedify

14 сентября 2018 г., пятница, 14:17

Мошенники внедрили скрипт для кражи данных банковских карт в код платформы для уведомлений, используемой сотнями сайтов.

Киберпреступники из Magecart внедрили свой скрипт в движок платформы Feedify и скомпрометировали сотни сайтов, использующих ее для отправки push-уведомлений.

Вредоносный код удалили сразу после обнаружения взлома, однако мошенникам удалось вернуть его на место в течение нескольких часов. Специалисты отмечают, что этот инцидент — продолжение масштабной кампании, от которой уже пострадали клиенты British Airways, Ticketmaster и других организаций.

Заражение обнаружил ИБ-исследователь под псевдонимом Placebo. Эксперт выяснил, что JavaScript-файл feedbackembad-min-1.0.js содержит вредоносный инжект, целью которого является кража финансовых данных. После расшифровки обфусцированного кода специалист выяснил, что похищенная информация передается на сервер, зарегистрированный в национальной доменной зоне Самоа.

К сожалению, зловредный код удалили лишь из бэкенда Feedify, на серверах CDN-сети компании он остался в доступе. Впрочем, через несколько часов киберпреступники сумели повторно провести инъекцию скрипта. Более того, после очередной чистки мошенники из Magecart скомпрометировали сервис в третий раз.

В Feedify пока не прокомментировали инцидент. Представитель компании утверждает, что ее клиентами являются более 4000 организаций, однако данные поиска свидетельствуют лишь о 250-300 сайтах, использующих сервис для рассылки уведомлений.

Ранее от действий Magecart пострадал крупнейший в мире билетный оператор Ticketmaster. Компания обнаружила вредоносный код в системе поддержки пользователей, разработанной Inbenta.

Начиная с 2017 года, злоумышленники из Magecart пытаются добраться до финансовой информации пользователей через зараженные продукты сторонних разработчиков. Как указали эксперты RiskIQ, скрипты, разработанные группировкой, нашлись в программах Sociaplus, PushAssist, Clarity Connect и Annex Cloud.

Threatpost

нравится

не нравится

Рейтинг:

Всего голосов: 0

Комментарии

Добавить

Нет комментариев

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA // 08 февраля

Последние новости

19:45		RuStore открыл доступ иностранным разработчикам
17:45		CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs
14:45		Google обещает блюрить непристойные и жестокие картинки поиска
12:45		Бизнес предлагает продавать алкоголь по 2FA
11:45		Исследователь взломал веб-сервис Toyota с внутренними документами
09:45		Дешёвые китайские Android-смартфоны передают слишком много данных владельца
09:45		Почему Tor медленный: неизвестные семь месяцев досят луковую сеть
19:45		Дефектный шифратор Linux-версии Cl0p позволил экспертам создать декриптор
18:45		Для детского билета на футбол теперь нужны ПДн ребенка
16:45		Загрузчик GuLoader использует NSIS-скрипты в атаках на коммерсантов
15:45		НКЦКИ: DDoSом прикрывают более серьезные атаки
14:45		МСофт и Crosstech Solutions Group выводят файловый обмен на новый уровень
13:45		Эксперты оценили идею уголовного срока за утечки
10:45		Поддержка Microsoft Authenticator на Apple Watch прекращена
10:45		Атакующие бэкдорят Windows с помощью тулкита Sliver и техники BYOVD
09:45		Полиция взломала мессенджер Exclu для слежки за киберпреступниками
19:45		В OpenSSH устранили уязвимость грозящую удаленным исполнением кода
19:45		Яндексу не хватает видеокарт Nvidia

Все новости

Добавить комментарий к новости
Ваше имя: *
Сообщение: *

Группировка Magecart трижды взломала движок сервиса Feedify

Добавить комментарий к новости