Szkodliwe oprogramowanie Magecart (pisaliśmy o nim np. tutaj) do kradzieży danych kart płatniczych zostało wykryte na 570 stronach internetowych należących do małych i średnich sklepów online w 55 krajach. Głównie w USA, Wielkiej Brytanii, ale też Holandii, Francji czy Indiach. Atak nie ominął również polskich sklepów internetowych.
Zespół bezpieczeństwa Gemini Advisory odkrył, że cybergang nazywany Keeper zaatakował setki sklepów online w ciągu ostatnich trzech lat. Jak? Osadzając złośliwy JavaScript w logo firmy i innych plikach graficznych na stronach za pomocą steganografii. Umożliwiał on przekazywanie oszustom danych kart kredytowych, które ofiary wpisywały w formularzu zakupu.
Grupa Keeper obejmuje połączoną sieć 64 domen wykorzystywanych do dostarczania szkodliwych ładunków JS i 73 domen eksfiltracyjnych używanych do kradzieży danych kart płatniczych z domen ofiar.
Okazuje się, że ponad 85% zaatakowanych stron korzystało z Magento CMS, 5% z WordPress i 4% z Shopify. Celem były mali i średni sprzedawcy, ponieważ rzadko kiedy mają dedykowany zespół i środki na bezpieczeństwo IT oraz dość wolno wdrażają aktualizacje CMS i wtyczek.
Badacze oszacowali, że od 2017 roku grupa mogła wygenerować ponad 7 mln USD ze sprzedaży skradzionych danych kart płatniczych.
Jak się chronić? Sprzedawcy, poza inwestycją w bezpieczeństwo IT i pilnowanie aktualizacji, mogą zrobić niewiele. Kupujący natomiast mogą omijać mniejsze sklepy i korzystać z wtyczek do przeglądarek blokujących ładowanie JavaScript z niezaufanych stron, ale to też nie daje 100% gwarancji.
Pełna lista zainfekowanych stron znajduje się tutaj.