De afgelopen weken zijn ruim 3.000 webwinkels besmet geraakt met kwaadaardige JavaScriptcode die persoonlijke informatie en creditcardgegevens van klanten steelt, zo meldt antivirusbedrijf Trend Micro. De aanval, die ook wel formjacking wordt genoemd, begon op 7 september.
Aanvallers slaagden erin om het webwinkelplatform van de webshops te compromitteren. Alle getroffen webwinkels maken gebruik van het cloudplatform van Volusion, aanbieder van e-commercesoftware. De kwaadaardige code was geïnjecteerd in een JavaScript-library die Volusion aan de bij hun gehoste webwinkels aanbiedt. De geïnjecteerde code laadde weer andere JavaScriptcode die betaalgegevens die klanten bij de webshops invoerden terug naar de aanvallers stuurde.
"De code was zorgvuldig in het originele script verwerkt als onderdeel van het programma dat werd uitgevoerd. De code was ook zo eenvoudig mogelijk geschreven, waardoor die lastig in een grote library is te identificeren. Verder hadden de aanvallers het domein van hun exfiltratieserver op een bijna zelfde manier geregistreerd als het legitieme Volusion-domein", zegt onderzoeker Joseph Chen.
De kwaadaardige code is inmiddels door Volusion verwijderd, maar was op 3126 webwinkels actief. De meeste bezoekers van de gecompromitteerde webwinkels komen uit de Verenigde Staten, gevolgd door Australië en Canada. De groep achter de aanval zou eerder verantwoordelijk zijn geweest voor soortgelijke aanvallen op de websites van British Airways en online elektronicashop Newegg. De aanval via Volusion werd eerder ook al gerapporteerd door onderzoeker Marcel Afrahim.
Deze posting is gelocked. Reageren is niet meer mogelijk.