Главред
ИБ-специалисты обнаружили еще одну жертву группировки MageCart. На этот раз выяснилось, что хакеры похищали данные банковских карт пользователей крупного ритейлера Newegg.
«Почерк» группы MageCart почти всегда узнаваем: злоумышленники взламывают сайты и внедряют код JavaScript на страницы оплаты, похищая таким образом вводимые пользователями финансовые данные (номера банковских карт, имена, адреса и так далее).
О компрометации Newegg сообщили эксперты компаний RiskIQ и Volexity. По данным исследователей, атака на ритейлера началась с 13 августа 2018 года, когда преступники зарегистрировали домен neweggstats[.]com, максимально близкий к настоящему newegg.com. Этому домену также принадлежал сертификат SSL-сертификат, выпущенный Comodo.
На следующий день злоумышленники, как обычно, встроили на страницу оплаты настоящего Newegg малварь, похищающий данные пользователей. Чтобы не привлекать лишнего внимания и не вызывать подозрений, эта информация передавалась neweggstats[.]com (217[.]23[.]4[.]11). Как ни странно, тактика преступников сработала, компрометацию обнаружили только лишь месяц спустя, 18 сентября 2018 года.
Пока неизвестно, сколько пользователей успели пострадать от этой атаки, но, по данным Similarweb, посещаемость Newegg составляет порядка 50 млн в месяц.
Представители Newegg уже начали уведомлять пользователей о случившемся. В компании обещают, что до конца текущей недели на сайте появится страница с FAQ и подробностями об инциденте, а пока пользователям, совершавшим покупки через Newegg в указанный период времени, рекомендуется следить за своим банковским аккаунтом на предмет любой подозрительной активности.
Напомню, что по данным специалистов вредоносная кампания MageCart активна как минимум с 2015 года (British Airways и компанию Feedify, которые были обнаружены ранее в этом месяце.
Оставить комментарий