Кейлоггер украл данные 200 тысяч сотрудников банка из топ-3 США

Команда исследователей кибербеза из Sansec обнаружила активный кейлоггер в корпоративном интернет-магазине одного из трёх крупнейших банков США, оставшегося неназванным. Вредонос перехватывает все данные, которые сотрудники вводят в формы: логины, пароли, номера карт, личные данные. Под ударом оказались 200 тыс. человек.

Как объяснили кибербез-специалисты, банковские сотрудники часто используют одни и те же корпоративные учётные данные на разных ресурсах. Украденные пароли могут дать злоумышленникам доступ к внутренним банковским системам, а корпоративные магазины обычно остаются за бортом стандартных аудитов безопасности.

Вредонос работает в два этапа. На первом скрипт проверяет, находится ли пользователь на странице оформления заказа. Код обфусцирован через массивы символьных кодов, что обеспечивает примитивную защиту от статического анализа, но работает. Если URL содержит слово checkout, загружается второй скрипт с внешнего домена js-csp.com.

На второй стадии вредонос собирает данные из всех полей форм на странице — input, select, textarea. Зловред перехватывает значения полей, даже если у них нет имени, используя id. Эксфильтрация данных идёт через image beacon — создаётся невидимое изображение, в URL которого передаются украденные данные в base64.

Инфраструктура и паттерны кода вредоносной программы совпадают с использованными в атаке на футбольный клуб Green Bay Packers, обнаруженной в 2025 году. В ней применялся домен js-stats.com с тем же характерным путём getInjector. За последние 12 месяцев специалисты по ИБ раскрыли уже пять кампаний этой группировки с доменами artrabol.com, js-stats.com, js-tag.com, jslibrary.net и js-csp.com. Домен js-csp.com зарегистрировали перед Рождеством 2025 года, а ИБ-специалисты зафиксировали атаку через пару недель после праздника.