Новая кампания по скиммингу карт Magecart задействует модифицированные страницы с ошибкой 404 на веб-сайтах интернет-магазинов, скрывая вредоносный код для кражи информации о кредитных картах клиентов.
О кампании сообщили исследователи Akamai Security Intelligence Group. Она сосредоточена на сайтах Magento и WooCommerce, причём некоторые её жертвы связаны с известными организациями в сфере продуктов питания и розничной торговли.
Хакеры скрывают вредоносный код в атрибуте onerror тега изображения HTML и двоичном файле изображения, чтобы он выглядел как фрагмент кода Meta Pixel.
Скиммер-загрузчик может также находиться в случайных встроенных скриптах, уже присутствующих на скомпрометированной веб-странице оформления заказа.
Загрузчик содержит совпадение с регулярным выражением для поиска определённой строки в возвращенном HTML-коде страницы 404. Расшифровка этой строки выявила скиммер javascript, который скрывается на всех страницах 404 сайта. Это подтверждает, что злоумышленники успешно изменили страницу ошибок по умолчанию для всего сайта и скрыли на ней вредоносный код.
Код скиммера отображает поддельную форму, которую посетители веб-сайта должны заполнить, указав конфиденциальные данные, включая номер своей кредитной карты, срок её действия и CVC.
После этого жертва видит поддельную страницу с ошибкой при завершении сеанса оплаты.
В фоновом режиме вся информация кодируется в формате Base64 и отправляется злоумышленнику через URL-адрес запроса изображения, содержащий строку в качестве параметра запроса.
Такой подход помогает избежать обнаружения инструментами мониторинга сетевого трафика, поскольку запрос выглядит как безобидное событие выборки изображения. Однако декодирование строки base64 раскрывает личную информацию и информацию о кредитной карте.
Источник новости: habr.com