ИБ-специалисты обнаружили еще одну жертву группировки MageCart. На этот раз выяснилось, что хакеры похищали данные банковских карт пользователей крупного ритейлера Newegg.
«Почерк» группы MageCart почти всегда узнаваем: злоумышленники взламывают сайты и внедряют код JavaScript на страницы оплаты, похищая таким образом вводимые пользователями финансовые данные (номера банковских карт, имена, адреса и так далее).
О компрометации Newegg сообщили эксперты компаний RiskIQ и Volexity. По данным исследователей, атака на ритейлера началась с 13 августа 2018 года, когда преступники зарегистрировали домен neweggstats[.]com, максимально близкий к настоящему newegg.com. Этому домену также принадлежал сертификат SSL-сертификат, выпущенный Comodo.
На следующий день злоумышленники, как обычно, встроили на страницу оплаты настоящего Newegg малварь, похищающую данные пользователей. Чтобы не привлекать лишнего внимания и не вызывать подозрений, эта информация передавалась neweggstats[.]com (217[.]23[.]4[.]11). Как ни странно, тактика преступников сработала, компрометацию обнаружили лишь месяц спустя, 18 сентября 2018 года.
Пока неизвестно, сколько пользователей успели пострадать от этой атаки, но, по данным Similarweb, посещаемость Newegg составляет порядка 50 млн в месяц.
Представители Newegg уже начали уведомлять пользователей о случившемся. В компании обещают, что до конца текущей недели на сайте появится страница с FAQ и подробностями об инциденте, а пока пользователям, совершавшим покупки через Newegg в указанный период времени, рекомендуется следить за своим банковским аккаунтом на предмет любой подозрительной активности.
Напомню, что, по данным специалистов, вредоносная кампания MageCart активна как минимум с 2015 года (1, 2), и в ее рамках действует не одна хакерская группа, а сразу несколько, применяющих практически одинаковые тактики. К примеру, ранее группировка, которую эксперты RiskIQ отслеживают под тем же именем MageCart, атаковала популярный виджет чатов, заразив его малварью для хищения карт. Именно это стало причиной утечки данных у компании TicketMaster, о которой стал известно в июне текущего года. Эта же группа, ответственна за атаки на авиакомпанию British Airways и компанию Feedify, которые были обнаружены ранее в этом месяце.