В рамках масштабной киберпреступной операции, направленной на компрометацию инфраструктуры электронной коммерции, злоумышленники осуществили атаку на цепочку поставок через сторонний сервис отзывов Okendo Reviews. Данный виджет, интегрированный в веб-ресурсы более чем 18 тысяч брендов, был использован в качестве вектора для доставки вредоносного программного кода. По данным аналитического отчета компании Zscaler, инцидент был зафиксирован 14 мая.
Технический анализ механизма атаки
Внедренный в легитимный скрипт okendo-reviews.js вредоносный JavaScript-агент действовал с высокой степенью избирательности и скрытности. При первом запуске на устройстве жертвы код производил запись временной метки в локальное хранилище браузера (localStorage), что позволяло ему при повторном посещении той же страницы немедленно прекратить выполнение, тем самым снижая вероятность обнаружения.
Для повышения эффективности атаки скрипт проводил проверку User-Agent браузера, исключая из таргетинга пользователей мобильных устройств (смартфонов и планшетов) и фокусируясь исключительно на посетителях, использующих настольные компьютеры под управлением ОС Windows.
После успешного прохождения проверок загрузчик переходил к активной фазе. Он осуществлял сбор адреса командного сервера из зашифрованных с помощью операции XOR фрагментов кода. Затем генерировался уникальный восьмисимвольный токен, и на страницу динамически внедрялся новый тег <script>, инициирующий загрузку следующего этапа вредоносной инфраструктуры с доменов api\[.]wigetticks\[.]com и api\[.]wizzleticks\[.]com.
На этом этапе пользователю демонстрировался интерфейс поддельной CAPTCHA или окна верификации. Данная социальная инженерная уловка, относящаяся к семейству техник ClickFix, содержала инструкцию, призывающую жертву нажать комбинацию клавиш для открытия системного окна «Выполнить» (Win+R) и вставить в него предложенную команду.
Последствия и цели кампании
Выполнение данной команды приводило к загрузке и запуску внешнего файла (как правило, PowerShell-скрипта или HTA-приложения), который служил промежуточным звеном для развертывания на конечном устройстве вредоносного ПО. В рамках предыдущих кампаний, приписываемых группировке SmartApeSG (также известной как ZPHP и HANEYMANEY), таким образом распространялись программы для удаленного доступа (RAT), включая NetSupport RAT, Remcos RAT и Sectop RAT, а также инфостилер StealC, предназначенный для хищения учетных данных, файлов и информации из браузеров. Следует отметить, что Zscaler не утверждает об использовании всего спектра упомянутого ПО именно в данной атаке.
Масштаб угрозы усугублялся тем, что виджет был размещен на страницах с высокой посещаемостью — от 150 тысяч до нескольких миллионов визитов в месяц. В частности, сайт одного из крупных американских ритейлеров, использующий данный сервис, имеет ежемесячную аудиторию около семи миллионов человек. Хотя оценка трафика позволяет судить о потенциальном охвате атаки, точное число пользователей, увидевших вредоносный код или успешно скомпрометировавших свои устройства, остается неизвестным. По информации от Zscaler, только за 14 мая их защитные системы заблокировали почти 15 тысяч действий, связанных с инфраструктурой группировки SmartApeSG. В свою очередь, компания Okendo подтвердила факт инцидента и оперативно заменила скомпрометированный скрипт на чистую версию.