Утечка данных, перенесенная British Airways, которая выставила детали платежной карты приблизительно 380 000 клиентов, кажется, работа киберпреступной группы Magecart, согласно отчету от RiskIQ.

После их внутреннего расследования инцидента взламывания British Airways раскрыла, что и их мобильное приложение и их веб-сайт были затронуты, со всеми платежами, повлиявшими сроком на приблизительно 16 дней, с 21 августа до 5 сентября.

RiskIQ обнаружил узнанный, что группа угрозы Magecart провела нападение после того, как отчет BA упомянул, что ни одна из их других услуг, серверов или баз данных не была затронута.

Это привело исследовательскую группу безопасности к заключению, что платежное обслуживание было единственным преступником для утечки данных, области экспертных знаний, известных Magecart.

Мошенники, как было известно, использовали сетевые сборщики карты в качестве средств для кражи данных о платеже по кредитной карте, онлайн-версии классических сборщиков карты, обычно скрытых мошенниками в банкоматах и всех видах других считывающих устройств карты.

Веб-сайт и мобильное приложение были нарушены, используя тот же злонамеренный файл библиотеки JavaScript

RiskIQ нашел инкриминирующую улику в рамках одного из 50 различных основанных на JavaScript сценариев используемой веб-сайтом British Airways, чтобы бежать, а именно, в библиотеке Modernizr, тайно убранной в конце содержания по умолчанию, чтобы избежать обнаружения.

Другим очевидным доказательством преступной группы, бездельничающей с файлом библиотеки JavaScript, было различие в метке времени с оригинальной, нетронутой версией, имеющей метку времени в декабре 2012, в то время как версия, измененная Magecart, показала 21 августа один, непосредственно соответствуя началу периода утечки данных.

После дайвинга в кодекс, введенный киберпреступниками в веб-сайте BA, исследователь RiskIQ узнал, что всего 22 линии кода JavaScript были теми, чтобы обвинить в данных, украденных от 380 000 клиентов British Airways, затронутых хакерским проникновением.

Мобильное приложение BA было также затронуто измененной библиотекой JavaScript Modernizr, потому что это обратилось с просьбой к тем же ресурсам сценария, используемым веб-сайтом позволить клиентам осуществлять платежи.

«Одна вещь отметить состоит в том, что magecart актер (актеры) вставил touchend отзыв в сборщике, чтобы заставить его работать на мобильных посетителей также», заявил RiskIQ, «который снова показывает нам высокий уровень планирования и внимания к деталям, показанного в этом простом все же чрезвычайно эффективном нападении.

Magecart - активный с 2015 и с успешными утечками данных по крайней мере двух известных целей

Исследователи также узнали, что все украденные данные послали актеры угрозы в область baways.com на сервере, расположенном в Румынии с 89.47.162.248 IP-адресами, но владели литовским VPS (виртуальный частный сервер) поставщиком по имени Тиме4впс.

Кроме того, чтобы сделать область baways.com более вероятной, мошенники использовали заплаченный сертификат SSL, выпущенный CA COMODO, вместо того, чтобы идти для бесплатной версии LetsEncrypt, которая, возможно, подняла некоторые брови, когда приложено к веб-сайту British Airways.

Сертификат SSL был выпущен за почти неделю до того, как библиотека Modernizr была введена с вредоносным кодом, указав на то, что, хотя нарушение началось 21 августа, у группы угрозы Magecart был доступ к некоторой British Airways подключенное к Интернету обслуживание значительно прежде.

Недавняя утечка данных British Airways показывает, что актеры угрозы Magecart - все еще очень активная преступная группа, которая, как известно, начала их деятельность в 2015 и с успешными нападениями на цели, такие как Ticketmaster, и Inbenta, и с ресурсами должен был потянуть кибер грабежи в крупном масштабе в любое время.