- Opencart. Гебситы были молчаливо введены вредоносные программы, заслуживающие доверия сценарии отслеживания имитировались
- Скрипт скрыт в метках аналитики и обменет тихими реальными формами оплаты против фальшивых
- Более популярный JavaScript позволил злоумышленникам поместить обнаружение и начать кражу информации о входе в систему в режиме реального времени
Новая атака в стиле MageCart выразила обеспокоенность в ландшафте кибербезопасности и нацелена на сайты электронной коммерции, основанные на CMS Opencart.
Злоумышленники вводили вредоносный JavaScript на финишные страницы и отправили свою полезную нагрузку в законные анализы и маркетинговые теги, такие как Facebook Pixel, Meta Pixel и Google Tag Manager.
Expers of С/сторонаКомпания по кибербезопасности, которая контролирует сторонние сценарии и веб-активы, чтобы распознать и предотвратить атаки, связанные с клиентами, говорит, что инъекционный код аналогичен стандартному фрагменту тегов, но его поведение рассказывает другую историю.
Методы соблазниния и сценария
Эта конкретная кампания маскирует свои злонамеренные намерения, кодируя полезную нагрузку с базовым 64 и трафиком через подозрительные домены, такие как/Z.
Прежде всего, это, кажется, стандартный сценарий от Google Analytics или Manager, но в остальном показывает более точный осмотр.
Когда скрипт расшифрован и выполнен, сценарий динамически создает новый элемент, вставляет его перед существующими сценариями и молчаливо запускает дополнительный код.
Затем вредоносное ПО выполняет сильно завуалированный код, используя такие методы, как шестнадцатеричные ссылки, массив -рекомбинация и функция EV для динамического декодирования.
Ключевая функция этого сценария состоит в том, чтобы ввести поддельную форму кредитной карты во время кассового аппарата, которая разработана таким образом, что они кажутся законными.
Как только форма была воспроизведена, форма записывает ввод через номер кредитной карты, дату истечения и CVC. Слушатели подключены к событиям с размытыми, Keydown и вставкой, чтобы убедиться, что пользовательский ввод записывается на каждом этапе.
Важно, чтобы атака не была основана на расстоянии соскобки буфера обмена, и пользователи вынуждены вручную вводить детали карты вручную.
После этого данные сразу же посредством почтовых требований для двух доменов команды и управления (C2): // ultracart[.]Shop/g.php и //hxjet.pics/g.php.
Первоначальная форма оплаты скрыта в дополнительном повороте, как только информация о карте была представлена — вторая страница просит пользователей ввести другие данные о транзакции банка и ужесточить угрозу.
В этом случае заметно необычайно длинная задержка при использовании данных о похищенной карте, которая длилась несколько месяцев вместо типичных дней.
Отчет показывает, что 18 июня была использована карта в рамках транзакции по оплате от США, в то время как другая была выставлена на счет незваным поставщиком 47,80 евро.
Это нарушение показывает растущий риск в электронной коммерции на основе SaaS, в которой платформы CMS, такие как OpenCart, становятся программным обеспечением для передового вредоносного ПО.
Поэтому существует необходимость в более сильных мерах безопасности, которые выходят за рамки базовых брандмауэров.
Автоматизированные платформы, такие как C/Side, утверждают угрозы, признавая завуалированный JavaScript, а не авторизованные формирования и аномальное поведение сценария.
Если злоумышленники развиваются, даже небольшие развертывания CMS должны оставаться бдительными, а информация о мониторинге и угрозе в реальном времени больше не должна быть необязательной для поставщиков электронной коммерции, которые хотят обеспечить доверие своих клиентов.
Вы также могли бы понравиться
