- 27,728
- 46
- 8 Ноя 2022
Один зараженный скрипт и 18 тысяч пострадавших брендов.
Злоумышленники внедрили вредоносный JavaScript в Okendo Reviews, виджет отзывов о товарах, которым пользуются более 18 тысяч брендов. Скомпрометированный скрипт загружался на страницах интернет-магазинов и после нескольких проверок мог показать посетителям поддельную CAPTCHA или окно верификации. Уловка из семейства ClickFix просила открыть окно «Выполнить» в Windows и запустить скопированную команду, сообщили исследователи Zscaler .
Атаку связали с группировкой SmartApeSG, также известной как ZPHP и HANEYMANEY. Виджет Okendo Reviews владельцы магазинов добавляют на главные страницы, в карточки товаров и формы публикации отзывов. Компрометация одного стороннего сервиса позволила атакующим доставлять вредоносный код посетителям множества сайтов. Zscaler обнаружила подозрительную активность 14 мая.
Вредоносный скрипт не выполнял все действия сразу. При первом запуске JavaScript записывал временную отметку в localStorage, а при повторном посещении страницы прекращал работу. Код также проверял User-Agent и не запускался на смартфонах и планшетах, ориентируясь на пользователей настольных компьютеров.
После проверок загрузчик собирал адрес следующего сервера из зашифрованных XOR-фрагментов, создавал случайный восьмисимвольный токен и добавлял на страницу новый тег script. Следующий этап атаки мог показать поддельную CAPTCHA, предложить открыть окно «Выполнить» и запустить команду. Команда загружала PowerShell- или HTA-файл, через который на компьютер могла попасть программа удаленного доступа или стилер.
В прошлых кампаниях SmartApeSG устанавливала программы удаленного доступа NetSupport RAT, Remcos RAT и Sectop RAT, а также стилер StealC для кражи паролей, файлов и данных из браузера. Zscaler не утверждает, что все перечисленные программы использовали в атаке через Okendo Reviews.
Среди затронутых сайтов специалисты увидели магазины с посещаемостью от 150 тысяч до нескольких миллионов визитов в месяц. Сайт одного крупного американского ритейлера, на котором работал виджет Okendo Reviews, получает около семи миллионов посещений ежемесячно. Оценка посещаемости не показывает, сколько пользователей увидели вредоносный код или заразили устройства.
За 14 мая защитные системы Zscaler заблокировали почти 15 тысяч действий, связанных с SmartApeSG. Okendo подтвердила осведомленность об инциденте и вернула чистую версию скрипта.
Среди индикаторов компрометации Zscaler указала адрес зараженного виджета <code>cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js</code>, а также серверы <code>api[.]wigetticks[.]com/logout/private-response[.]php?8D1V4th3</code> и <code>api[.]wizzleticks[.]com/claims/scope-schema[.]php?4ManBBdA</code>, откуда загружался следующий этап атаки.
Злоумышленники внедрили вредоносный JavaScript в Okendo Reviews, виджет отзывов о товарах, которым пользуются более 18 тысяч брендов. Скомпрометированный скрипт загружался на страницах интернет-магазинов и после нескольких проверок мог показать посетителям поддельную CAPTCHA или окно верификации. Уловка из семейства ClickFix просила открыть окно «Выполнить» в Windows и запустить скопированную команду, сообщили исследователи Zscaler .
Атаку связали с группировкой SmartApeSG, также известной как ZPHP и HANEYMANEY. Виджет Okendo Reviews владельцы магазинов добавляют на главные страницы, в карточки товаров и формы публикации отзывов. Компрометация одного стороннего сервиса позволила атакующим доставлять вредоносный код посетителям множества сайтов. Zscaler обнаружила подозрительную активность 14 мая.
Вредоносный скрипт не выполнял все действия сразу. При первом запуске JavaScript записывал временную отметку в localStorage, а при повторном посещении страницы прекращал работу. Код также проверял User-Agent и не запускался на смартфонах и планшетах, ориентируясь на пользователей настольных компьютеров.
После проверок загрузчик собирал адрес следующего сервера из зашифрованных XOR-фрагментов, создавал случайный восьмисимвольный токен и добавлял на страницу новый тег script. Следующий этап атаки мог показать поддельную CAPTCHA, предложить открыть окно «Выполнить» и запустить команду. Команда загружала PowerShell- или HTA-файл, через который на компьютер могла попасть программа удаленного доступа или стилер.
В прошлых кампаниях SmartApeSG устанавливала программы удаленного доступа NetSupport RAT, Remcos RAT и Sectop RAT, а также стилер StealC для кражи паролей, файлов и данных из браузера. Zscaler не утверждает, что все перечисленные программы использовали в атаке через Okendo Reviews.
Среди затронутых сайтов специалисты увидели магазины с посещаемостью от 150 тысяч до нескольких миллионов визитов в месяц. Сайт одного крупного американского ритейлера, на котором работал виджет Okendo Reviews, получает около семи миллионов посещений ежемесячно. Оценка посещаемости не показывает, сколько пользователей увидели вредоносный код или заразили устройства.
За 14 мая защитные системы Zscaler заблокировали почти 15 тысяч действий, связанных с SmartApeSG. Okendo подтвердила осведомленность об инциденте и вернула чистую версию скрипта.
Среди индикаторов компрометации Zscaler указала адрес зараженного виджета <code>cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js</code>, а также серверы <code>api[.]wigetticks[.]com/logout/private-response[.]php?8D1V4th3</code> и <code>api[.]wizzleticks[.]com/claims/scope-schema[.]php?4ManBBdA</code>, откуда загружался следующий этап атаки.
- Источник новости
- www.securitylab.ru
