Опасности интернет магазинов

Хакеры снова заражают сайты интернет магазинов

тор онион
тор онион сайты

Magecart — одна из самых известных хакерских групп специализирующихся на краже данных кредитных карт с плохо защищенных сайтов интеренет магазинов.

По словам специалистов в области кибер безопасности из RiskIQ и Trend Micro, киберпреступники сообщества Magecart, названной «Magecart Group 12», недавно успешно взломали почти 277 сайтов помощью атак по цепочке поставок.

Magecart — это та же группа скиммеров цифровых кредитных карт, которая в прошлом 2018 году была во всех заголовках газет из за серии атак на некоторые крупные компании, включая Ticketmaster, British Airways и Newegg.

Как правило, хакеры Magecart подменяют страницы магазинов и вставляют вредоносный код JavaScript на свои страницы оформления заказа, который автоматически собирает информацию о платежах клиентов, а затем отправляет их на удаленный сервер злоумышленников.

Тем не менее, исследователи из этих двух компаний сегодня обнаружили, что вместо прямой подмены целевых веб-сайтов Magecart Group 12 взломала и вставила свой код скимминга в стороннюю библиотеку JavaScript, что позволило всем веб-сайтам, использующим этот скрипт, загружать вредоносный код.
Сторонней библиотекой, на которую ориентирована Magecart Group 12, является французская компания онлайн-рекламы Adverline, услугами которой пользуются сотни европейских веб-сайтов  для показа рекламы.

«Во время нашего исследования веб-сайты, на которых был установлен скрипт перенаправления Adverline, загружали скимминг-код Magecart Group 12, который, в свою очередь, сканирует информацию о платеже, введенную на веб-страницах, а затем отправляет ее на удаленный сервер», — говорится в сообщении Trend Micro.

Исследователь безопасности Йонатан Клейнсма из RiskIQ обнаружил, что код скиммера для MageCart Group 12 защищает себя от анализа, выполняя дважды проверку целостности.

«Magecart Group 12 использует инструментарий скимминга, в котором используются два запутанных скрипта. Первый скрипт в основном предназначен для антиреверсии, тогда как второй скрипт является основным кодом скимминга данных», — говорят исследователи.

При заражении код скимминга данных сначала проверяет, выполняется ли он на соответствующей веб-странице корзины покупок. Это делается путем обнаружения связанных строк в URL-адресе, таких как «оформить заказ», «выставление счетов», «покупка», «корзина», что означает «корзина» на французском языке, и «kasse», что означает «оформить заказ» на немецком языке.

Как только он обнаружит любую из этих строк в URL-адресе, сценарий начнет выполнять скимминг, копируя как имя формы, так и значения, введенные пользователем в форму ввода веб-страницы.

Затем украденные данные об оплате и выставлении счетов хранятся в JavaScript LocalStorage с именем ключа «Cache» в формате Base64. Чтобы указать отдельных жертв, код также генерирует случайное число, которое он резервирует в LocalStorage с ключом E-tag.

«Событие JavaScript « unload » запускается всякий раз, когда пользователь закрывает или обновляет веб-страницу платежа. Затем сценарий отправляет данные удаленного платежа, случайное число (E-tag) и домен веб-сайта электронной торговли на удаленный сервер. исследователи Trend Micro объясняют, что через HTTP POST с кодированием Base64 на всю отправленную дату.

При обращении Adverline немедленно исправила проблему и удалила вредоносный код из библиотеки JavaScript.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *