Один из JavaScript файлов Feedify был инфицирован вредоносным кодом, похищающим данные платежных карт.
Сервис уведомлений Feedify пополнил список жертв вредоносной кампании MageCart, в числе которых ранее оказались сервис по продаже билетов Ticketmaster и авиаперевозчик British Airways .
Согласно сообщению исследователя, известного в Сети как Placebo, один из используемых компанией Feedify JavaScript файлов (feedbackembad-min-1.0.js) был инфицирован вредоносным кодом, похищающим данные платежных карт.
Feedify предлагает сервис PUSH-уведомлений для web-сайтов, который они могут использовать для информирования пользователей о различных событиях, например, о публикации нового контента и пр. Для этого клиентам необходимо встроить JavaScript библиотеку Feedify в свой сайт. По утверждению компании, ее клиентская база насчитывает более 4 тыс. клиентов, однако, согласно данным сервиса поиска сигнатур PublicWWW, библиотека установлена на сравнительно небольшом количестве сайтов (250-300).
По словам специалистов, библиотека была модифицирована 17 августа нынешнего года, 11 сентября Placebo уведомил компанию о своей находке. В тот же день вредоносный код был удален, однако спустя сутки файл вновь оказался инфицирован. Компания снова удалила код, однако участники MageCart оказались настойчивыми и добавили его в третий раз. На момент написания новости файл feedbackembad-min-1.0.j все еще содержал скрипт MageCart.
Группировка MageCart активна с 2015 года. Первые два года злоумышленники в основном атаковали сайты на платформе Magento, но позже сменили тактику и переключились на более крупные сервисы.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале