Клиенты онлайн-магазинов стали опробовали на себе новый способ кражи средств.
Исследователи кибербезопасности из группы Akamai Security Intelligence Group Для просмотра ссылки Войдиили Зарегистрируйся новую кампанию по скиммингу карт группировки Magecart. Злоумышленники используют страницы ошибок 404 на сайтах интернет-магазинов для размещения вредоносного кода, который крадет данные кредитных карт клиентов.
Специалисты отмечают, что данная техника является одной из трех вариантов, которые были замечены в рамках кампании. Другие два метода атаки заключаются в скрытии кода в атрибуте «onerror» HTML -тега изображения и в бинарном изображении, что делает его похожим на фрагмент кода пикселя отслеживания Meta* Pixel.
Кампания ориентирована на сайты на платформах Magento и WooCommerce . Некоторые из затронутых сайтов связаны с известными организациями в сферах продовольствия и розничной торговли.
Отметим, что все веб-сайты имеют страницы ошибок 404, которые отображаются посетителям при попытке доступа к странице, которая не существует, была перемещена или имеет неработающую ссылку. Группировка Magecart использует стандартную страницу «404 Not Found» для скрытия и загрузки вредоносного кода, что является новшеством в сравнении с предыдущими кампаниями.
Путем манипулирования стандартной страницей ошибки 404 на целевом сайте, киберпреступники получают различные возможности для улучшения скрытия и уклонения от обнаружения. Вредоносный код либо маскируется под фрагмент кода Meta Pixel , либо скрывается в случайных встроенных скриптах, уже присутствующих на скомпрометированной странице оформления заказа. Загрузчик Magecart инициирует запрос к относительному пути с названием «icons», который не существует на сайте, из-за чего запрос возвращает ошибку «404 Not Found».
Сначала исследователи предполагали, что скиммер больше не активен или группа Magecart допустила ошибку в конфигурации. Однако при ближайшем рассмотрении было обнаружено, что загрузчик содержит регулярное выражение, ищущее определенную строку в возвращаемом HTML коде страницы 404.
Строка, которую загрузчик ищет в HTML
Обнаружив необходимую строку на странице, эксперты нашли «склееную» строку (конкатенация) в формате base64, скрытую в комментарии. Декодирование строки раскрыло JavaScript-скиммер, который скрывается на всех страницах 404. Код скиммера отображает поддельную форму, которую посетителям сайта предлагается заполнить, включая номер кредитной карты, срок действия и CVV-код.
Поддельная форма ввода данных карты
После ввода данных в поддельной форме жертва получает ошибку «session timeout». В этот момент в фоновом режиме все данные кодируются в формате base64 и отправляются злоумышленникам. Причём так, что это выглядит как обычный запрос на получение картинки от веб-сайта. Это делается для того, чтобы обмануть системы безопасности, которые следят за подозрительной активностью в сети. Злоумышленники используют кодировку base64 для того, чтобы скрыть настоящий смысл отправленных данных, делая его невидимым для систем безопасности.
Данный случай манипулирования страницами 404 подчеркивает эволюцию тактик и универсальность действий хакеров Magecart, которые продолжают усложнять задачу администраторам веб-сайтов по обнаружению вредоносного кода на скомпрометированных сайтах и их очистке.
<span style="font-size: 8pt;">* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.</span>
Исследователи кибербезопасности из группы Akamai Security Intelligence Group Для просмотра ссылки Войди
Специалисты отмечают, что данная техника является одной из трех вариантов, которые были замечены в рамках кампании. Другие два метода атаки заключаются в скрытии кода в атрибуте «onerror» HTML -тега изображения и в бинарном изображении, что делает его похожим на фрагмент кода пикселя отслеживания Meta* Pixel.
Кампания ориентирована на сайты на платформах Magento и WooCommerce . Некоторые из затронутых сайтов связаны с известными организациями в сферах продовольствия и розничной торговли.
Отметим, что все веб-сайты имеют страницы ошибок 404, которые отображаются посетителям при попытке доступа к странице, которая не существует, была перемещена или имеет неработающую ссылку. Группировка Magecart использует стандартную страницу «404 Not Found» для скрытия и загрузки вредоносного кода, что является новшеством в сравнении с предыдущими кампаниями.
Путем манипулирования стандартной страницей ошибки 404 на целевом сайте, киберпреступники получают различные возможности для улучшения скрытия и уклонения от обнаружения. Вредоносный код либо маскируется под фрагмент кода Meta Pixel , либо скрывается в случайных встроенных скриптах, уже присутствующих на скомпрометированной странице оформления заказа. Загрузчик Magecart инициирует запрос к относительному пути с названием «icons», который не существует на сайте, из-за чего запрос возвращает ошибку «404 Not Found».
Сначала исследователи предполагали, что скиммер больше не активен или группа Magecart допустила ошибку в конфигурации. Однако при ближайшем рассмотрении было обнаружено, что загрузчик содержит регулярное выражение, ищущее определенную строку в возвращаемом HTML коде страницы 404.
Строка, которую загрузчик ищет в HTML
Обнаружив необходимую строку на странице, эксперты нашли «склееную» строку (конкатенация) в формате base64, скрытую в комментарии. Декодирование строки раскрыло JavaScript-скиммер, который скрывается на всех страницах 404. Код скиммера отображает поддельную форму, которую посетителям сайта предлагается заполнить, включая номер кредитной карты, срок действия и CVV-код.
Поддельная форма ввода данных карты
После ввода данных в поддельной форме жертва получает ошибку «session timeout». В этот момент в фоновом режиме все данные кодируются в формате base64 и отправляются злоумышленникам. Причём так, что это выглядит как обычный запрос на получение картинки от веб-сайта. Это делается для того, чтобы обмануть системы безопасности, которые следят за подозрительной активностью в сети. Злоумышленники используют кодировку base64 для того, чтобы скрыть настоящий смысл отправленных данных, делая его невидимым для систем безопасности.
Данный случай манипулирования страницами 404 подчеркивает эволюцию тактик и универсальность действий хакеров Magecart, которые продолжают усложнять задачу администраторам веб-сайтов по обнаружению вредоносного кода на скомпрометированных сайтах и их очистке.
<span style="font-size: 8pt;">* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.</span>
- Источник новости
- www.securitylab.ru