Aanvallers gecompromitteerd Volusion's cloud-gebaseerde e-commerce platform infrastructuur. Hackers aangevallen en geïnjecteerd een schadelijke code die bancard gegevens die door gebruikers ingevoerd in online formulieren steelt.
Currently, de kwaadaardige code nog niet is verwijderd uit de Volusion servers, en het in gevaar brengt nog steeds klant winkels van het bedrijf.Het is al bekend dat 6,500 winkel waren beïnvloed deze aanval, maar op het einde van hun aantal kan blijken nog hoger, sinds vorige maand Volusion aangekondigd dat zij bedient al meer dan 20,000 klanten. Een van de grootste slachtoffers van het incident was de Sesame Street Live winkel, die momenteel opgeschort operaties.
Volusion beschrijft zichzelf als een toonaangevende e-commerce-oplossing voor kleine bedrijven. Met zijn krachtige shopping cart software, Volusion heeft duizenden handelaren en zogenaamd Shoppers hebben meer dan doorgebracht $28 miljard in transacties en geplaatst over 185 miljoen orders op Volusion winkels.
Blijkbaar, het incident zich voordeed in het begin van vorige maand na hackers toegang gekregen tot de Volusion infrastructuur in Google Cloud, waar ze wijzigingen aangebracht in de JavaScript-bestand, en nu de kwaadaardige code verzamelt alle kaartgegevens in online formulieren aangegaan.
Volusion vertegenwoordigers niet reageren op e-mails en telefoontjes van zowel journalisten en onderzoekers van Check Point, trend Micro, of RiskIQ, die ook gemerkt een hack.
“Terwijl alle middelen worden geladen uit sesamestreetlivestore.com of volusion.com gelieerde websites, Er is een oneven JavaScript-bestand wordt geladen vanuit storage.googleapis.com met interessante emmer naam volusionapi. Als je niet bewust van, storage.googleapis.com is een Google Cloud Storage domeinnaam die is een rustgevende online opslag van bestanden webservice voor het opslaan en toegang tot gegevens over Google Cloud Platform-infrastructuur”, – Check Point experts analyseren de infectie.
De besmette bestand bevindt zich op https://storage.googleapis[.]com / volusionapi / resources.js en geüpload naar Volusion online winkels door middel van /a / j / vnav.js. Een kopie van het geïnfecteerde bestand kan worden gevonden hier.
Wat is er gebeurd met Volusion is een klassiek Magecart aanval, gedurende welke aanvallers gebruiken web scrimmers en stelen betaalkaart gegevens via online winkels, plaats via geldautomaten. Laat me u eraan herinneren dat veel Magecart groepen oefenen aanvallen niet op de winkel zelf, maar op verschillende dienstverleners en platforms.
Lees ook: Identificeerden de onderzoekers een verband tussen de Magecart Group 4 en Cobalt
Bijvoorbeeld, in de zomer van dit jaar, het was om deze reden dat Picreel, Alpaca Forms, AppLixir, RYVIU, OmniKick, eGain en AdMaxim, die diensten leveren aan online winkels, werden gecompromitteerd.
