Инцидент, выявленный исследователями компании Sansec, наглядно демонстрирует, как периферийные, казалось бы, корпоративные веб-ресурсы могут стать лазейкой для масштабной атаки на критическую инфраструктуру. Речь идёт о внедрении вредоносного JavaScript-кейлоггера на сайт внутреннего магазина товаров с фирменной символикой для сотрудников одного из трёх крупнейших банков Соединённых Штатов. Этот ресурс, который часто выпадает из поля зрения стандартных проверок безопасности, использовали более 200 000 служащих для заказа продукции, что делало его крайне привлекательной целью для злоумышленников.
Описание
Основная угроза подобного взлома выходит далеко за рамки кражи личных данных или номеров платёжных карт сотрудников. Ключевой риск заключается в компрометации корпоративных учётных данных - логинов и паролей, которые банковские работники могли использовать для входа в этот магазин. Поскольку практика повторного использования паролей для разных служебных систем, к сожалению, остаётся распространённой, полученные злоумышленниками данные могли бы стать трамплином для проникновения во внутренние банковские сети и системы, что несёт в себе прямые риски для финансовой стабильности и конфиденциальности клиентской информации. При этом, как отметили эксперты Sansec, на момент обнаружения атака оставалась активной и не была замечена системами других вендоров информационной безопасности.
Технический анализ показал, что вредоносный код использовал двухэтапный загрузчик с элементами обфускации. Первый скрипт проверял, находится ли пользователь на странице оформления заказа, и в случае положительного результата загружал вторую, основную полезную нагрузку с внешнего домена js-csp[.]com. Второй скрипт был предназначен для сбора всех данных, вводимых в любые поля форм на странице: от имён и адресов до номеров кредитных карт и паролей. Собранная информация эксфильтрировалась с помощью техники так называемого "пиксельного маяка" - отправки данных через запрос к изображению, что часто позволяет обходить традиционные системы мониторинга сетевого трафика.
Примечательно, что инфраструктура и паттерны кода этой атаки совпадают с ранее зафиксированной кампанией против официального магазина футбольной команды Green Bay Packers, что указывает на деятельность одной и той же группировки. Домен js-csp[.]com, использованный в атаке на банк, был зарегистрирован незадолго до Рождества 2025 года, а сама вредоносная активность была пресечена в течение нескольких недель после его появления. По последним данным, обновлённым 15 января, вредоносный код был удалён с сайта банка, просуществовав в активном состоянии около 18 часов.
Этот случай высвечивает системную проблему в защите корпоративного периметра. Внутренние порталы, магазины для сотрудников и сайты с корпоративными льготами часто функционируют на распространённых платформах для электронной коммерции, которые хорошо изучены атакующими, но при этом такие ресурсы редко включаются в программы регулярных аудитов безопасности наравне с основными бизнес-системами. Кроме того, существует явный разрыв в обнаружении угроз: на момент публикации отчёта лишь специализированные инструменты Sansec идентифицировали домен как вредоносный, в то время как большинство традиционных антивирусных решений и систем защиты периметра его пропускали. Это подтверждает тезис о том, что для противодействия целевым атакам на веб-приложения, особенно в сфере электронной торговли, необходимы узкоспециализированные средства мониторинга и анализа.
Эксперты также обращают внимание на организационный аспект инцидента. Исследователям потребовались дополнительные усилия для оперативного оповещения банка, поскольку тот не публикует информацию для ответственного сообщения об уязвимостях через стандартный файл security.txt. Наличие такого файла значительно упрощает и ускоряет процесс взаимодействия между специалистами по безопасности и владельцами ресурсов, что в подобных ситуациях напрямую влияет на время устранения угрозы и минимизацию потенциального ущерба. Данный эпизод служит суровым напоминанием для крупных организаций, что даже колоссальные бюджеты на безопасность не являются гарантией защиты, если не выстроена комплексная стратегия, учитывающая риски на всех цифровых активах, включая второстепенные, но критичные с точки зрения доступа, ресурсы.
Индикаторы компрометации
Domains
- artrabol.com
- js-csp.com
- jslibrary.net
- js-stats.com
- js-tag.com
URLs
- https://artrabol.com/fetchData/
- https://artrabol.com/getInjector/
- https://js-csp.com/fetchData/
- https://js-csp.com/fetchData/?data=&loc=
- https://js-csp.com/getInjector/
- https://jslibrary.net/fetchData/
- https://jslibrary.net/getInjector/
- https://js-stats.com/fetchData/
- https://js-stats.com/getInjector/
- https://js-tag.com/fetchData/
- https://js-tag.com/getInjector/
