Исследователи кибербезопасности обнаружили скиммер для кредитных карт, который скрыт в поддельном скрипте для отслеживания метапикселей в попытке избежать обнаружения.
Сукури сказал, что вредоносное ПО внедряется на веб-сайты с помощью инструментов, которые позволяют использовать пользовательский код, таких как плагины WordPress, такие как Simple Custom CSS и JS или раздел "Разные скрипты" панели администратора Magento.
"Пользовательские редакторы сценариев популярны среди злоумышленников, потому что они позволяют использовать внешние сторонние (и вредоносные) средства JavaScript и может легко притворяться безобидным, используя соглашения об именовании, соответствующие популярным скриптам, таким как Google Analytics, или библиотекам, таким как jQuery", - сказал исследователь безопасности Мэтт Морроу.
Поддельный скрипт Meta Pixel tracker, идентифицированный компанией web security, содержит элементы, аналогичные его законному аналогу, но при более тщательном рассмотрении обнаруживается добавление кода JavaScript, который заменяет ссылки на домен "connect.facebook [.]net" на "b-connected [.]com".
В то время как первый является подлинным доменом, связанным с функцией отслеживания пикселей, заменяющий домен используется для загрузки дополнительного вредоносного скрипта ("fbevents.js"), который отслеживает, находится ли жертва на странице оформления заказа, и, если да, использует мошеннический оверлей для получения данных ее кредитной карты.
Стоит отметить, что "b-connected [.] com" - это законный веб-сайт электронной коммерции, который в какой-то момент был взломан для размещения кода скиммера. Более того, информация, введенная в поддельную форму, передается на другой скомпрометированный сайт ("www.donjuguetes [.]es").
Чтобы снизить подобные риски, рекомендуется поддерживать сайты в актуальном состоянии, периодически проверять учетные записи администраторов, чтобы определить, все ли они действительны, и регулярно обновлять пароли.
Это особенно важно, поскольку известно, что злоумышленники используют слабые пароли и бреши в плагинах WordPress для получения расширенного доступа к целевому сайту и добавления пользователей-администраторов-мошенников, которые затем используются для выполнения различных других действий, включая добавление дополнительных плагинов и бэкдоров.
"Поскольку похитители кредитных карт часто ждут таких ключевых слов, как "оформить заказ" или "onepage", они могут не стать видимыми до тех пор, пока не загрузится страница оформления заказа", - сказал Морроу.
"Поскольку большинство страниц оформления заказа генерируются динамически на основе данных cookie и других переменных, передаваемых на страницу, эти скрипты не проходят общедоступные сканеры, и единственный способ идентифицировать вредоносное ПО - это проверить источник страницы или просмотреть сетевой трафик. Эти скрипты работают бесшумно в фоновом режиме."
Разработка началась после того, как Sucuri также обнаружила, что сайты, созданные на WordPress и Magento, являются целью другой вредоносной программы под названием Magento Shoplift. Более ранние варианты Magento Shoplift были обнаружены в дикой природе с сентября 2023 года.
Цепочка атак начинается с внедрения запутанного фрагмента JavaScript в законный файл JavScript, который отвечает за загрузку второго скрипта из jqueurystatics[.]com через WebSocket Secure (WSS), который, в свою очередь, предназначен для облегчения скимминга кредитных карт и кражи данных, маскируясь под скрипт Google Analytics.
"WordPress также стал крупным игроком в электронной коммерции благодаря внедрению Woocommerce и других плагинов, которые могут легко превратить сайт WordPress в полнофункциональный онлайн-магазин", - сказал исследователь Пуджа Шривастава.
"Эта популярность также делает магазины WordPress главной мишенью - и злоумышленники модифицируют свою вредоносную программу MageCart для электронной коммерции, нацеленную на более широкий спектр платформ CMS".
Сукури сказал, что вредоносное ПО внедряется на веб-сайты с помощью инструментов, которые позволяют использовать пользовательский код, таких как плагины WordPress, такие как Simple Custom CSS и JS или раздел "Разные скрипты" панели администратора Magento.
"Пользовательские редакторы сценариев популярны среди злоумышленников, потому что они позволяют использовать внешние сторонние (и вредоносные) средства JavaScript и может легко притворяться безобидным, используя соглашения об именовании, соответствующие популярным скриптам, таким как Google Analytics, или библиотекам, таким как jQuery", - сказал исследователь безопасности Мэтт Морроу.
Поддельный скрипт Meta Pixel tracker, идентифицированный компанией web security, содержит элементы, аналогичные его законному аналогу, но при более тщательном рассмотрении обнаруживается добавление кода JavaScript, который заменяет ссылки на домен "connect.facebook [.]net" на "b-connected [.]com".
В то время как первый является подлинным доменом, связанным с функцией отслеживания пикселей, заменяющий домен используется для загрузки дополнительного вредоносного скрипта ("fbevents.js"), который отслеживает, находится ли жертва на странице оформления заказа, и, если да, использует мошеннический оверлей для получения данных ее кредитной карты.
Стоит отметить, что "b-connected [.] com" - это законный веб-сайт электронной коммерции, который в какой-то момент был взломан для размещения кода скиммера. Более того, информация, введенная в поддельную форму, передается на другой скомпрометированный сайт ("www.donjuguetes [.]es").
Чтобы снизить подобные риски, рекомендуется поддерживать сайты в актуальном состоянии, периодически проверять учетные записи администраторов, чтобы определить, все ли они действительны, и регулярно обновлять пароли.
Это особенно важно, поскольку известно, что злоумышленники используют слабые пароли и бреши в плагинах WordPress для получения расширенного доступа к целевому сайту и добавления пользователей-администраторов-мошенников, которые затем используются для выполнения различных других действий, включая добавление дополнительных плагинов и бэкдоров.
"Поскольку похитители кредитных карт часто ждут таких ключевых слов, как "оформить заказ" или "onepage", они могут не стать видимыми до тех пор, пока не загрузится страница оформления заказа", - сказал Морроу.
"Поскольку большинство страниц оформления заказа генерируются динамически на основе данных cookie и других переменных, передаваемых на страницу, эти скрипты не проходят общедоступные сканеры, и единственный способ идентифицировать вредоносное ПО - это проверить источник страницы или просмотреть сетевой трафик. Эти скрипты работают бесшумно в фоновом режиме."
Разработка началась после того, как Sucuri также обнаружила, что сайты, созданные на WordPress и Magento, являются целью другой вредоносной программы под названием Magento Shoplift. Более ранние варианты Magento Shoplift были обнаружены в дикой природе с сентября 2023 года.
Цепочка атак начинается с внедрения запутанного фрагмента JavaScript в законный файл JavScript, который отвечает за загрузку второго скрипта из jqueurystatics[.]com через WebSocket Secure (WSS), который, в свою очередь, предназначен для облегчения скимминга кредитных карт и кражи данных, маскируясь под скрипт Google Analytics.
"WordPress также стал крупным игроком в электронной коммерции благодаря внедрению Woocommerce и других плагинов, которые могут легко превратить сайт WordPress в полнофункциональный онлайн-магазин", - сказал исследователь Пуджа Шривастава.
"Эта популярность также делает магазины WordPress главной мишенью - и злоумышленники модифицируют свою вредоносную программу MageCart для электронной коммерции, нацеленную на более широкий спектр платформ CMS".
