Домашний бренд Tupperware обнаружил несколько своих веб-сайтов, скомпрометированных цифровым скимминг-кодом, что, по данным Malwarebytes, потенциально может привести к заражению миллиона посетителей в месяц.
На прошлой неделе производитель систем безопасности обнаружил целевую атаку, нацеленную на основной сайт компании и несколько локализованных версий.
Чтобы собрать данные карт клиентов Tupperware, хакеры вставили фальшивый iframe на странице оформления заказа на сайте, чтобы имитировать реальную платежную форму. При дальнейшем выяснении было обнаружено, что загружается контент с сайта deskofhelp[.]com, домена, зарегистрированного всего за несколько дней до этого события, 9 марта.
Этот же домен расположен на сервере вместе с множеством фишинговых доменов, объяснил директор отдела по борьбе с угрозами Жером Сегура (Jérôme Segura).
"Преступники придумали свою атаку цифровым-скиммером, чтобы покупатели сначала вводили свои данные в неавторизованный ифрейм, а затем сразу же показывали ошибку, замаскированную под тайм-аут сеанса", - добавил он.
Это позволяет злоумышленникам перезагрузить страницу с законной формой оплаты". Жертвы будут вводить свою информацию второй раз, но к тому времени кража данных уже произошла".
Сама по себе мошенническая форма оплаты была активирована вредоносным кодом, скрытым внутри PNG-файла, методом, известным как стеганография. Точно неизвестно, как именно Tupperware был взломан для вставки вредоносного образа, но Segura утверждала, что, возможно, у нее была запущена устаревшая версия платформы электронной коммерции Magento.
Тем не менее, группа, стоящая за атакой, не так отточена, как многие другие, выполняющие атаки в стиле Magecart-. С одной стороны, они забыли локализовать ифрейм, так что на версиях сайта на иностранном языке фальшивая страница оплаты все равно появилась на английском языке.
Сегура утверждал, что цифровые атаки цифровыми-скиммирами сейчас, скорее всего, набирают обороты, так как онлайн-заказы поступают от покупателей, которых держит дома #COVID-19.
Несмотря на то, что Tupperware не реагировала на сообщения электронной почты, телефонные звонки и сообщения в социальных сетях, по состоянию на среду PNG-файл и вредоносный JavaScript были удалены.