Исследователи компании Sucuri обнаружили новую кампанию по краже данных банковских карт, которая направлена на интернет-магазины, использующие платформу Magento. Злоумышленники скрывают вредоносный код в HTML-разметке, делая его похожим на изображения, чтобы не быть замеченными.
Группа вредоносных программ под названием MageCart взламывает онлайн-платформы, чтобы украсть данные о платежах. Они используют различные способы взлома, чтобы поместить скрытые скиммеры на страницы оформления покупок. Часто вредоносный код активируется во время оплаты, чтобы перехватывать данные, которые вводят пользователи.
Название MageCart происходит от платформы Magento, которая предоставляет возможность добавления товаров в корзину и оформления заказа. Злоумышленники усовершенствовали свои методы, спрятав вредоносные скрипты в изображения, аудиофайлы, иконки и даже страницы с ошибкой 404.
Новая атака отличается тем, что вредоносный код помещен в тег на HTML-странице. Этот метод позволяет избежать обнаружения защитными системами. Браузеры обычно используют событие onerror для обработки ошибок при загрузке изображений, но в данном случае оно используется для выполнения JavaScript-кода.
После активации вредоносный код проверяет, находится ли страница оплаты, и в случае подтверждения платежа отправляет данные на удаленный сервер. Злоумышленники запрашивают номер карты, срок действия и CVV-код через поддельную форму, а затем передают эти данные через ресурс wellfacing[.]com.
Эксперты отмечают, что эта атака не только скрытная, но и эффективная. Киберпреступники обходят защитные системы и уменьшают вероятность обнаружения пользователями, так как поддельная форма выглядит как официальная.
Атаки на платформы типа Magento, WooCommerce и PrestaShop становятся все более сложными. Вредоносные скрипты шифруются и используют нестандартные методы скрытия. Эти угрозы показывают, насколько изобретательны могут быть киберпреступники, и подчеркивают важность постоянного контроля безопасности онлайн-магазинов.
