Взлом сайта British Airways оказался делом рук группировки MageCart

Адрес документа: http://itsec.ru/newstext.php?news_id=124793

Взлом сайта British Airways оказался делом рук группировки MageCart


12.09.2018



В недавней утечке данных клиентов British Airways, затронувшей порядка 380 тыс. человек, виновата киберпреступная группировка MageCart, специализирующаяся на кражах данных платежных карт. Злоумышленники компрометируют уязвимые сторонние сервисы и внедряют скрипт, действующий по принципу физических скиммеров, устанавливаемых в банкоматы. Таким образом злоумышленники получают доступ к сотням web-сайтов.

 Эксперты компании RiskIQ, отслеживающей активность MageCart с 2016 года, провели анализ атаки на авиакомпанию British Airways и обнаружили вредоносные строки в программном коде сайта, с помощью которых злоумышленники смогли получить информацию о персональных данных сотен тысяч ее клиентов. В случае с British Airways группировка применила схему скимминга, но адаптировала срипт под архитектуру интернет-страницы авиаперевозчика.

 "Этот скиммер очень хорошо приспособлен к организации платежей на сайте British Airways. Это свидетельствует о том, что организаторы очень тщательно продумали, как атаковать сайт, вместо того, чтобы слепо внедрять обычный скиммер MageCart", - отметили аналитики.

 В ходе анализа специалисты проверили все загруженные сайтом компании скрипты на предмет недавних изменений и заметили, что в конце программного кода JavaScript-библиотеки Modernizr были добавлены 22 новые строки. В результате Modernizr отправляла платежную информацию на сервер атакующих.

 Как пояснили эксперты, злоумышленники часто добавляют строки в конце, чтобы не нарушить работу скрипта.

 Скомпрометированный код реагировал одинаковым образом вне зависимости от того, где открывался сайт British Airways - на компьютере или на мобильном устройстве. Для отвода подозрений все похищенные данные отправлялись на сайт baways[.]com, напоминающий официальный ресурс British Airways. Кроме того, злоумышленники использовали SSL-сертификат Comodo вместо бесплатной альтернативы от Let-s Encrypt в надежде, что платный сертификат будет привлекать меньше внимания.

 В настоящее время неясно, как группировке удалось скомпрометировать сайт British Airways. По мнению экспертов, доступ к сайту у MageCart появился задолго до начала кибератаки, продолжавшейся с 21 августа по 5 сентября.

 Как стало известно ранее, группировка MageCart также причастна к атакам на сервис по продаже билетов Ticketmaster UK и сайты под управлением системы для менеджмента интернет-магазинов Magento.

 

Securitylab


Copyright © 2004-2019, ООО "ГРОТЕК"

Rambler's Top100 Rambler's Top100