მავნე JavaScript კოდის მეშვეობით ბოროტმოქმედები მომხმარებლების ბარათის მონაცემებს იპარავდნენ.
კიბერ კრიმინალებმა განახორციელეს თავდასხმები Volusion ელექტრონული კომერციის პლატფორმის ინფრასტრუქტურაზე, ეს მოხდა შეკვეთის დადასტურების გვერდებზე JavaScript კოდის ჩამატებით, რომელიც მომხმარებლების ბარათის მონაცემებს იპარავდა.
უსაფრთხოების მკვლევარმა Marcel Afrahim – იმ კომპანია Check Point-დან აღმოაჩინა მავნე კამპანია Sesame Street Live Store — web-საიტზე შეკვეთის გაკეთების დროს. აღნიშნული საიტი Feld Entertainment-ის მფლობელობაში. მაღაზია შემუშავებულია Volusion პლატფორმაზე, რომელიც აგრეთვე კლიენტს DNS სერვერებსაც სთავაზობს.
ანალიზის მსვლელობისას, შეკვეთის გაფორმების გვერდზე მკვლევარმა აღმოაჩინა, რომ გვერდი ტვირთავს JavaScript კოდს Google Cloud Storage (storage.googleapis.com) -დან. მავნე კოდი სახელწოდებით «resources.js» მდებარეობს ბიბლიოთეკა «volusionapi»-ში. ანალიზმა აჩვენა, რომ სკრიფტი იღებს შეყვანილ ბარათის მონაცემებს აკეთებს მათ გადაყვანას Base64 -ში და დროებით ინახავს ბრაუზერის «sessionStorage»-ში სახელწოდებით «__utmz_opt_in_out».
ამის შემდეგ მონაცემები იგზავნება ბოროტმოქმედის კონტროლის ქვეშ მყოფ დომენზე «volusion-cdn.com/analytics/beacon», რომელიც ახდენს რეალური Volusion სერვისის ინფრასტრუქტურის იმიტაციას. მკვლევრების თქმით, ჰაკერებმა კარგად შეარჩიეს დომენური სახელი, რათა არ მიიქციონ ზედმეტი ყურადღება. მაგალითად, კოდის აღწერილობა იმეორებს ლეგიტიმური API Javascript Cookie v2.1.4 cookie ფაილების დამუშავებისთვის, რომელიც დევს GitHub-ზე.
საძიებო მოთხოვნამ გამოავლინა 6593 საიტი, რომელიც მუშაობს Volusion-ის ბაზაზე, და შესაძლოა გააჩნდეთ უსაფრთხოების პრობლემები. მაგრამ არ არის გამორიცხული, რომ ინფიცირებული საიტების რიცხვი არის უფრი დიდი. ამ ეტაპისთვის თავდასხმის ავტორი არ არის ცნობილი, მაგრამ მსგავსი ტიპის შეტევებს როგორც წესი ახორციელებენ Magecart-ის ქვეშ მყოფი დაჯგუფებები.
