Тысячи сайтов электронной коммерции подверглись кибератакам с целью похищения данных банковских карт пользователей, сообщают исследователи из Trend Micro и RiskIQ . Атаки связаны с Magecart - общим названием для нескольких хакерских группировок, использующих различные методы для похищения данных с сайтов.

Новые атаки на сайты электронной коммерции в целом похожи на предыдущие атаки Magecart, однако за ними стоит сравнительно новая группировка, которую специалисты из RiskIQ назвали Magecart Group 12. В общей сложности она атаковала 277 сервисов, связанных с бронированием авиабилетов и туризмом, online-магазинов косметики и одежды и пр.

По словам исследователей, в прошлом Magecart Group 12 играла весьма скромную роль на киберпреступной сцене, внедряя вредоносные коды в отдельные сайты электронной коммерции. Однако после того, как в прошлом году группировке удалось заразить библиотеку javascript, используемую французской маркетинговой компанией Adverline, ее активность стремительно возросла.

Используемый Adverline код интегрирован с тысячами сайтов, и его компрометация означает компрометацию всех этих сайтов. Как сообщает Trend Micro, Adverline уже исправила проблему и сообщила об инциденте французской компьютерной группе реагирования на чрезвычайные ситуации CERT La Poste.

Используемый Magecart Group 12 вредоносный скрипт проверяет текущий URL-адрес жертвы на наличие связанных с платежами ключевых слов в поисках страниц, где вводится платежная информация. Затем скрипт записывает все вводимые на этих страницах данные и кэширует их в браузере, пока жертва не обновила страницу или не перешла на другую вкладку. Похищенные данные затем отправляются на подконтрольный злоумышленникам сервер.

В списке жертв Magecart числится британский авиаперевозчик British Airways, сервис уведомлений Feedify, филиппинский медиаконгломерат ABS-CBN, крупный американский ретейлер Newegg и другие.