Сайты крупных сетей розничной торговли стали жертвами Magecart

Киберпреступные группировки, объединенные ИБ-экспертами под общим названием Magecart, взломали online-магазины двух крупнейших в мире сетей розничной торговли – Claire (аксессуары) и Intersport (спортивные товары). Согласно отчетам специалистов Sanguine Security и ESET, злоумышленники взломали сайты этих компаний и внедрили в них вредоносный код (скиммер), похищающий данные банковских карт, которые покупатели вводят в формы заказа.

Сайты Claire и сестринской компании Icing были взломаны между 25 апреля и 13 июня 2020 года. В этот период встроенный киберпреступниками код перехватывал все вводимые в формы пользовательские данные и отправлял на сервер claires-assets.com. Домен был зарегистрирован за четыре недели до начала атак специально для этой вредоносной кампании. Специалист компании Sanguine Security Виллем де Гроот (Willem de Groot) уведомил Claire о взломе, и компания удалила со своего сайта вредоносный код.

Что касается Intersport, скиммер был внедрен не на все сайты компании, а только на локальные (в Хорватии, Сербии, Словении, Боснии и Герцеговине и Черногории). По данным Виллема де Гроота, скиммеры были внедрены 30 апреля нынешнего года, удалены 3 мая, а затем снова внедрены 14 мая. Intersport удалила вредоносный код в течение нескольких часов после второго взлома.

В обоих случаях количество затронутых пользователей гораздо выше обычного, поскольку взломы произошли во время карантина, когда большинство физических магазинов Claire и Intersport были закрыты, и торговля велась online.

По словам представителей Intersport, данные банковских карт пользователей похищены не были, поскольку online-платежи обрабатываются на другой платформе - WSPay.

"В качестве провайдера платежных услуг для Intersport мы можем подтвердить, что платежные данные, введенные в платежную форму WSPay, находятся в безопасности и не были затронуты кибератакой", - сообщил SecurityLab глава WSPay Эмир Диздаревич (Emir Dizdarević).