Специалисты компании Malwarebytes предупредили, что сайт американской компании Tupperware, широко известной в мире, как производитель пластиковых пищевых контейнеров, был взломан и похищал данные банковских карт посетителей. Сайт Tupperware входит в список 100 000 самых популярных сайтов по версии Alexa, и в среднем его посещает около миллиона человек в месяц.
Исследователи пишут, что веб-скиммер работал на сайте некоторое время: впервые вредоносный код был замечен еще в прошлую пятницу, 20 марта 2020 года, однако все попытки уведомить представителей Tupperware о происходящем остались без ответа. Хак сработал благодаря изображению PNG, размещенному преступниками на сайте Tupperware. Используя стеганографию, чтобы скрыть вредоносный код внутри изображения (и тем самым избежать обнаружения), преступники загрузили эксплоит на сайт компании примерно 9 марта.
Проникшая на ресурс малварь имитировала официальную форму оплаты компании. Так, каждый раз, когда пользователь инициировал платеж, вредоносный код создавал iframe, который отображал клонированную форму оплаты, которая маскировалась под оригинальную форму VISA CyberSource от Tupperware. Эта форма собирала введенную пользователем информацию (имя и фамилию, биллинговый адрес, номер телефона, номер банковской карты, срок ее действия и код CVV), а затем отправляла эти данные на удаленный сервер злоумышленников.
Данный iframe извлекал контент с сайта deskofhelp[.]com, который, по данным специалистов, зарегистрирован на адрес elbadtoy@yandex.ru.
«Преступники продумали свою атаку таким образом, чтобы покупатели сначала вводили данные в мошеннический iframe, а затем сразу видели ошибку, замаскированную как тайм-аут сеанса, — рассказывает эксперт Malwarebytes Жером Сегура (Jérôme Segura). — Это позволяло злоумышленникам перезагрузить страницу, на этот раз уже с легитимной формы оплаты. Жертвы повторно вводили свою информацию, но к этому времени хищение данных уже произошло».
По словам исследователя, вредоносный код запускался и на страницах на других языках, однако вредоносную форму легко было обнаружить, так как сайт Tupperware переключался на местной язык, а вредоносная форма по-прежнему отображалась на английском.
В настоящее время вредоносный код был удален со страниц сайта компании, однако пока представители Tupperware не делали официальных заявлений и никак не прокомментировали отчет Malwarebytes.