Удар под дых: злоумышленники тайно внедрили скиммер на официальный сайт Everlast

Известный американский бренд спортивного снаряжения Everlast, специализирующийся на товарах для бокса и смешанных единоборств, подвергся кибератаке . Хакеры из группировки, связанной с крупнейшим в истории онлайн-ограблением банка, тайно похитили данные кредитных карт клиентов интернет-магазина компании.

Как выяснили исследователи кибербезопасности, на официальном сайте «everlast.com» злоумышленниками ранее был внедрён вредоносный скиммер, перехватывающий конфиденциальные данные пользователей во время онлайн-оплаты. Уязвимость до сих пор не устранена.

Покупателям, которые недавно совершали покупки на сайте Everlast, рекомендуется немедленно предпринять меры для защиты своих данных. Как минимум перевыпустить карту, которую они использовали для оплаты на сайте.

Злоумышленники активно использовали скиммер на протяжении как минимум трех недель вплоть до этого понедельника. Вредоносный код был впервые обнаружен 11 июля. Однако он мог действовать и дольше, так как ближайшая сохранённая копия сайта без трояна датирована 7 июнем.

Эксперты считают, что за атаку на Everlast ответственны хакеры из группировки Magecart, о похождениях которых в киберпространстве мы уже писали ранее . Судя по всему, эта группировка как-то связана с Cobalt Group, а она, в свою очередь, связана с Carbanak — группой киберпреступников, известной кражами из банкоматов и платёжных систем.

Сайт Everlast ежемесячно посещают более 280 тысяч человек, в основном из США (59%), Великобритании (10%), Вьетнама (3%), Франции (3%) и Германии (2%). Бренд принадлежит компании Frasers Group (ранее — Sports Direct International) и представлен более чем в 75 странах.

Атака на Everlast состояла из двух этапов. Сначала в код сайта «everlast.com» был внедрён фрагмент, вызывающий загрузку вредоносного JavaScript «bootstrap.js» с другого сайта — «cardkaze.com».

Затем, в процессе оплаты товара, загружался уже сам скиммер. Он отслеживал действия пользователя и перехватывал данные карты во время оформления покупки. Эта информация отправлялась злоумышленникам через Telegram и включала следующие данные:

• электронную почту;
• имя / фамилию жертвы;
• номер телефона;
• полный домашний адрес;
• номер карты;
• срок действия карты;
• трёхзначный CVC-код карты.

Хакеры маскировали вредоносный код, загружая его с других сайтов. Кроме того, скрипт сильно зашифрован и обфусцирован. Это затрудняет его обнаружение.

Данные, похищенные со счетов жертв, могут быть теперь использованы для финансового мошенничества и несанкционированных транзакций.

Покупатели Everlast должны немедленно связаться с банком, заблокировать карту и получить новую. Также следует тщательно изучить выписки на предмет подозрительных операций. При обнаружении мошеннических транзакций необходимо заявить в правоохранительные органы.

Everlast же, в свою очередь, следует определить источник утечки данных и устранить его, сменить скомпрометированные учётные данные и усилить меры безопасности. Только комплексный подход позволит предотвратить повторение данного инцидента в будущем.