新進気鋭のスポーツウェアブランド、FILA が、昨年 British Airways と Ticketmaster を脅かしたのと同様のカード盗難 JavaScript の被害に遭った最新の企業となった。
ロシアのセキュリティ企業グループIBは、過去4か月間ファッションブランドのウェブサイトで活動していたGMOと呼ばれるマルウェアを発見し、FILA UKに報告したと発表した。このマルウェアは、汚染されたページからオンライン注文をした何千人もの顧客の決済カード情報を盗み取った可能性がある。
さらに悪いことに、研究者らは、FILA に何度も連絡を取ろうとしたにもかかわらず、カードデータを盗むコードを削除できなかったと報告している。
FILAは、この申し立てについてのコメント要請に応じなかった。
Group-IBの脅威ハンターによると、GMO感染は、カード情報収集を行うJavaScriptマルウェア「MageCart」と非常に類似しており、攻撃者は標的企業のサーバーに密かに侵入し、企業のウェブサイトにコードをインストールすることで、顧客が入力したカード番号を密かに収集します。収集された情報は、指定された時間に収集サーバーにアップロードされます。このような攻撃は、感染したマシンから一定のトラフィックストリームが生成されないため、検知が特に困難です。
ブリティッシュ・エアウェイズやチケットマスターを乗っ取ったカード窃盗コードが、ハッキングされたJS経由で他のサイトにも出現
続きを読む
つまり、FILA からオンラインで何も注文しないでください。注文した場合は、銀行に連絡して明細書を確認してください。
「1行のカード窃盗コードは、顧客がチェックアウトページにアクセスするとJavaScriptスニファーをダウンロードし、クレジットカード情報を傍受してローカルストレージに送信します。その後、決済カード情報はJSスニファーのゲートに送られますが、このゲートはJSスニファーのスクリプトと同じサーバー上に配置されています」と、Group-IBのCTO、ドミトリー・ボルコフ氏は述べています。
「サイバー犯罪者は、FILA.co.ukが使用しているMagento CMS(コンテンツ管理システム)の脆弱性を悪用するか、特殊なスパイウェアを使用してウェブサイト管理者の認証情報を盗み出すか、ブルートフォース攻撃でパスワードを解読することで、悪質なコードを挿入した可能性がある」とボルコフ氏は付け加えた。
攻撃の被害に遭った顧客の正確な数は不明です。Group-IBは、月間トラフィック量と1%のコンバージョン率(サイト訪問者の1%が最終的に商品を購入する)に基づいた大まかな推計で、侵害されたカードの数は約5,600枚と推定しました。
Group-IBは、この最新型のJavaScriptマルウェアハーベスターの被害に遭ったのはFILAだけではない可能性が高いと述べています。研究者らは、他に6つの匿名ウェブサイトが同様にカード窃盗スクリプトに感染していることを発見しました。また、現在も活動中の感染があれば、その詳細を調査・阻止するため、米国と英国の警察に協力を要請する予定です。®
追加更新
Group-IB によれば、この記事が公開されてから数時間以内に、GMO JavaScript カード スニファーが FILA の Web サイトから削除されたとのことです。
