Тысячи интернет-магазинов на платформе Volusion оказались под угрозой

Злоумышленники атаковали инфраструктуру облачной платформы для электронной коммерции Volusion. В тело сайтов, работающих на этой платформе, внедрили вредоносный код, похищающий данные банковских карт при попытке пользователей заплатить за товар.

От этой атаки уже пострадали более 6500 магазинов, при этом потенциально число сайтов, оказавшихся под угрозой, может составить до 20 000. В частности, как рассказал эксперт по безопасности компании Check Point Марсель Афрахим, жертвой этой атаки стал магазин http://sesamestreetlivestore.com/ популярной телепередачи "Улица Сезам", который в настоящее время приостановил работу.

По словам Афрахима, при заказе товаров на этом сайте, все данные вбиваются на единой странице.

Перед тем, как пользователь попадает на страницу подтверждения заказа, вся вбитая информация проверяется алгоритмом сайта. В этот момент страница загружает JavaScript-код с Google Cloud Storage (storage.googleapis.com) — web-службы хостинга файлов для хранения и доступа к данным в инфраструктуре Google Cloud Platform. Вредоносный код носит название «resources.js».

Этот дополнительный код состоит из двух разделов. Первый раздел считывает значения, введенные в информационные поля кредитной карты, и после серии проверок шифрует с помощью Base64. Вторая часть скрипта отправляет эти данные на подконтрольный злоумышленнику домен «volusion-cdn.com/analytics/beacon», имитирующий инфраструктуру Volusion.

Исследователей из компаний Check Point, Trend Micro и RiskIQ подтвердили выводы Афрахима.

В настоящее время вредоносный код все еще не удалили с серверов Volusion, поэтому магазины, которые базируются на этой платформе, до сих пор находятся под угрозой.

Журналисты портала zdnet обратились в Volusion за комментариями, однако в компании не отвечают на электронные письма и телефонные звонки ни от журналистов, ни от экспертов по безопасности.