Злоумышленники скомпрометировали инфраструктуру облачной платформы для электронной коммерции Volusion и внедрили вредоносный код, похищающий данные банковских карт, введенные пользователями в онлайн-формы. В настоящее время вредоносный код все еще не удалили с серверов Volusion, и он по-прежнему компрометирует клиентские магазины компании.
Уже известно, что от этой атаки пострадали 6500 магазинов, но в конечном итоге их количество может оказаться даже выше, так как в прошлом месяце Volusion заявляла, что уже обслуживает более 20 000 клиентов. Одной из наиболее крупных жертв инцидента стал магазин Sesame Street Live, который в настоящее время приостановил работу.
Представители Volusion не отвечают на электронные письма и телефонные звонки ни от журналистов, ни от исследователей из компаний Check Point, Trend Micro и RiskIQ, который так же заметили взлом.
Судя по всему, инцидент произошел в начале прошлого месяца, после того как хакеры получили доступ к инфраструктуре Volusion в Google Cloud, где внесли изменения в файл JavaScript, и теперь вредоносный код собирает все данные карт, введенные в онлайн-формы.
Скомпрометированный файл находится по адресу https://storage.googleapis[.]com/volusionapi/resources.js и загружается в онлайн-магазины Volusion через /a/j/vnav.js. Копию зараженного файла можно найти здесь. Анализ этого заражения уже был опубликован в открытом доступе аналитиками Check Point.
Произошедшее с Volusion – это классическая Magecart-атака, во время которой злоумышленники применяют веб-скриммеры и крадут данные платежных карт через интернет-магазины, а не через банкоматы. Напомню, что многие Magecart-группы практикуют атаки не на сами магазины, но на различных поставщиков услуг и платформы. Например, летом текущего года именно по этой причине компрометации подверглись компании Picreel, Alpaca Forms, AppLixir, RYVIU, OmniKick, eGain и AdMaxim, предоставляющие услуги интернет-магазинам.