MageCart: Κακόβουλο Script βρέθηκε σε γνωστή υπηρεσία

Το Feedify, μια customer engagement υπηρεσία έπεσε θύμα hacking, καθώς ανακαλύφθηκε ότι σε ένα από τα script της υπηρεσίας υπήρξε ο κώδικας του MageCart. Το MageCart είναι ένα κακόβουλο script, το οποίο μπορεί να κλέψει στοιχεία πιστωτικών καρτών, όταν ο χρήστης συμπληρώνει τις ανάλογες φόρμες σε κάποιο site.

Για να χρησιμοποιήσει κάνεις την υπηρεσία του Feedify, θα πρέπει να προσθέσει ενα JavaScript script στον ιστότοπο που διαχειρίζεται. Στην περίπτωση που το script του Feedify περιέχει το MageCart, τότε ο κακόβουλος κώδικας «φορτώνεται» από όλους τους επισκέπτες της σελίδας.

Ένας ερευνητής με όνομα Placebo έκανε μια σχετική δημοσίευση στο Twitter ενημερώνοντας για την χρήση του MageCart, και η εταιρεία σύντομα προχώρησε στην αφαίρεση του κακόβουλου κώδικα.

Πιο συγκεκριμένα, ο Placebo δημιούργησε έναν λογαριασμό στο Feedify έτσι ώστε να δει ακριβώς τον κώδικα που πρέπει να ενσωματώσει ο κάθε χρήστης στο website του. Υστέρα έλεγξε ένα ύποπτο JavaScript script με όνομα feedbackembad-min-1.0.js. Με μια γρήγορη ματιά παρατήρησε ότι όλες οι φόρμες που συμπληρώνονταν από τον χρήστη καταγράφονταν και στέλνονταν αντίγραφα στην διεύθυνση info-stat.ws/js/slider.js.

Για να επιβεβαιώσει το εύρημα του ο Placebo ήρθε σε επαφή με άλλους ερευνητές από την RiskIQ, η οποία επιβεβαίωσε πως το κακόβουλο script υπήρχε.

Κατά τον χρόνο γραφής του άρθρου, η Feedify έχει προβεί σε αφαίρεση του κακόβουλου κώδικα από την  διεύθυνση feedify.net/getjs/feedbackembad-min-1.0.js, αλλά όχι από την cdn.feedify.net/getjs/feedbackembad-min-1.0.js.

Ωστόσο η Feedify δεν είναι το πρώτο κρούσμα του MageCart. Ένα από τα πιο πρόσφατα κρούσματα , είναι η British Airways, από την οποία διέρρευσαν στοιχεία πιστωτικών καρτών από περίπου 380.000 πελάτες της. Στην έρευνα βοήθησε για ακόμη μια φορά η RiskIQ