На официальном сайте FILA обнаружен сниффер, данные клиентов в опасности

На официальном сайте FILA обнаружен сниффер, данные клиентов в опасности

На официальном сайте FILA обнаружен сниффер, данные клиентов в опасности

Эксперты международной компании Group-IB наткнулись на новую вредоносную кампанию, в ходе которой киберпреступники перехватывают информацию, чтобы получить номера банковских карт, имена, адреса, логины и пароли пользователей. Для этого атакующие используют специальный JS-сниффер.

Самое удивительное в этой истории, что Group-IB обнаружила сниффер на довольно крупных и значимых ресурсах. Одним из них, например, оказался fila.co[.]uk — принадлежащий спортивному гиганту FILA сайт.

Помимо него, злоумышленникам удалось внедрить сниффер еще на 7 сайтов, шесть из которых оказались американскими онлайн-магазинами. В общей сложности аудитория этих сайтов колеблется в районе 350 000 человек.

Благодаря специалистам Group-IB в феврале 2019 стало известно о том, что официальный сайт FILA стал мишенью для киберпреступников, которые внедрили в его страницы код JS-сниффера. Сам сниффер получил имя GMO.

Group-IB сразу же попыталась предупредить владельцев всех затронутых ресурсов, а также передала всю необходимую информацию в соответствующие структуры Великобритании и США.

«Вредоносный код загружает JavaScript-сниффер как только клиент попадает на страницу оформления заказа. Сниффер, внедренный на сайт, перехватывает данные кредитной карты и персональную информацию жертвы, после чего отправляет их на сервер злоумышленников — гейт», — объясняют эксперты.

«В цепочке передачи данных со сниффера может быть использовано несколько уровней гейтов, расположенных на разных серверах или взломанных сайтах, что усложняет задачу обнаружить конечный сервер злоумышленников».

«Однако в некоторых случаях административная панель расположена на том же хосте, что и гейт для сбора украденных данных. Киберпреступники могли внедрить вредоносный код несколькими способами: используя уязвимость Magento CMS (системы управления контентом), используемой FILA.co.uk, или скомпрометировав учетные данные администратора сайта, используя программу-шпион или взломав пароль методом простого перебора паролей».

Вчера представители компании Group-IB рассказали об успешной операции по задержанию администратора ботсетей, которая прошла в Новокузнецке (Кемеровская область). В ходе задержания принимали участие сотрудники МВД.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Троян Shuyal Stealer ворует данные из 19 браузеров и исчезает без следа

В ИБ-компании Point Wild проанализировали образец Windows-стилера Shuyal, объявившегося в июле, и обнаружили внушительный список целевых браузеров — 19 наименований, в том числе Яндекс Браузер и Tor.

Свое имя написанный на C++ зловред (детектится на VirusTotal с результатом 48/72 по состоянию на 8 октября) получил по найденному в экзешнике идентификатору. От собратьев новобранец отличается не только большим количеством целей, но также умением заметать следы.

После запуска Shuyal Stealer прежде всего выполняет глубокое профилирование зараженной системы с помощью WMI: собирает данные жестких дисков (модель, серийный номер), подключенной клавиатуры (включая ID), информацию о настройках монитора, чтобы выстроить стратегию кражи данных сообразно конкретным условиям.

Троян также прибивает Диспетчер задач, способный выдать запуск вредоносных процессов, и прописывается в системе на автозапуск.

Кража данных осуществляется с помощью скриптов PowerShell. При этом зловреда интересует следующая информация:

  • сохраненные в браузере учетки, куки и история посещения сайтов;
  • содержимое буфера обмена;
  • токены аутентификации из Discord, Discord Canary и Discord PTB.

Инфостилер также умеет делать скриншоты, чтобы добавить контекст к украденным данным.

Вся добыча вместе с журналом вредоносной активности (history.txt) помещается в директорию runtime, специально создаваемую в папке временных файлов. Для эксфильтрации ее содержимое архивируется (runtime.zip) и затем отсылается в телеграм-бот, который Shuyal находит по вшитому ID.

Завершив кражу и вывод данных, Shuyal пытается стереть все следы своего присутствия в системе с помощью скрипта util.bat.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru