Открытка с сюрпризом: как поздравление коллег обернулось взломом корпоративных систем

Компания GroupGreeting стала жертвой кибератаки, получившей название «zqxq». Эксперты Malwarebytes обнаружили масштабную операцию, похожую на атаки с использованием вредоносного ПО NDSW/NDSX, направленную на популярную платформу, предоставляющую услуги создания электронных открыток.

Масштаб кампании поражает — злоумышленники заразили более 2800 сайтов. Особенно активно такие атаки проводятся в периоды пикового пользовательского спроса, например, на новогодние праздники, когда люди массово отправляют поздравления.

Вредоносное ПО использует JavaScript — язык, который применяется практически на всех современных веб-страницах. Преступники внедрили замаскированный скрипт в критические элементы сайта, такие как темы или плагины. Этот код выполняет сразу несколько задач: создание токенов, перенаправление пользователей на сторонние ресурсы, проверка условий для обхода защиты и загрузка дополнительных вредоносных элементов.

Особенности кода, включая обфускацию переменных и использование базовых функций для декодирования, показывают, что кампания «zqxq» схожа с другими крупными атаками, известными как NDSW/NDSX и TDS Parrot. Эти атаки характеризуются скрытностью и способностью перенаправлять трафик на вредоносные сайты.

Но почему же GroupGreeting стала целью? Сайт обслуживает более 25 000 корпоративных клиентов, включая крупные компании, такие как Airbnb, Coca-Cola и eBay. Его высокий уровень доверия и рост посещаемости в праздничный сезон сделали платформу привлекательной мишенью для злоумышленников.

После заражения устройства пользователей перенаправлялись на фишинговые страницы или загружали дополнительное вредоносное ПО, включая программы для кражи данных или даже вирусы-вымогатели.

Эксперты советуют своевременно обновлять платформы и плагины, внедрять системы мониторинга целостности файлов и повышать осведомлённость пользователей о возможных угрозах, чтобы минимизировать риски подобных атак.