Злоумышленники встроили вредоносный код в сайт для оформления подписки на журнал Forbes. Обфусцированный онлайн-скиммер копировал и отправлял взломщикам платежные данные пользователей, включая коды CVV/CVC, а также их контактную информацию.
Преступники выводили информацию с применением протокола WebSocket, который позволяет установить канал связи между клиентом и удаленным хостом. Остановить атаку удалось только после того, как домен злоумышленников вывели в оффлайн через API сервиса Freenom —- он позволяет подавать жалобы на нежелательную онлайн-активность.
В результате взломщики могли получить номера пластиковых карт, сроки их действия, а также и коды CVV/CVC, имена владельцев, телефонные номера, почтовые и электронные адреса читателей Forbes. В своем комментарии The Register представители издания заявили, что атака не создала реальной угрозы для пользователей, но посоветовали читателям проверить свои счета на предмет несанкционированных операций. На момент публикации страница для оформления подписки остается недоступной.
Специалисты узнали в обнаруженном скрипте онлайн-скиммер Magecart, который за последние годы получил значительную популярность среди похитителей платежных данных. Эксперты полагают, что зловред стоит на вооружении сразу нескольких группировок, уже успевших атаковать крупнейшего в мире продавца билетов Ticketmaster, авиакомпанию British Airways, сервис push-уведомлений Feedify и тысячи интернет-магазинов.
Из-за высокой активности этих злоумышленников они уже даже начали бороться между собой за жертв — в ноябре 2018 аналитики обнаружили модифицированную версию скиммера, который умел бороться с аналогичными скриптами конкурирующих группировок. Примечательно, что это зловред не просто удалял обнаруженное ПО, а портил их данные, подменяя последние цифры собранных ими карт. Таким образом, операторы подолгу не замечали атаку на их инфраструктуру, но воспользоваться похищенной информацией уже не могли.
Взлом Forbes также укладывается в более масштабную картину, сообщил голландский специалист по Magecart Уиллем де Грут (Willem de Groot). По его словам, ранее эти киберпреступники атаковали компанию Picreel, которая поставляет Forbes ПО для веб-аналитики. Если эта версия получит подтверждение, список жертв могут пополнить еще около 1200 организаций, которые также пользуются ее продуктом.
Впрочем, как утверждают изучившие эту кампанию аналитики, реальная угроза может оказаться не такой серьезной, поскольку взломщики неправильно настроили скиммер.
