Хакери модифікували сторінки інтернет-магазинів, щоб викрадати дані карток

Нова кампанія з скіммінгу карток Magecart задіює модифіковані сторінки з помилкою 404 на веб-сайтах інтернет-магазинів, приховуючи шкідливий код для крадіжки інформації про кредитні картки клієнтів.

Про кампанію повідомили дослідники Akamai Security Intelligence Group. Вона зосереджена на сайтах Magento та WooCommerce, причому деякі її жертви пов'язані з відомими організаціями у сфері продуктів харчування та роздрібної торгівлі. 

Хакери приховують шкідливий код в атрибуті onerror тега зображення HTML і двійковому файлі зображення, щоб він виглядав як фрагмент коду Meta Pixel.

Скімер-завантажувач може також знаходитися у випадкових вбудованих скриптах, які вже присутні на скомпрометованій веб-сторінці оформлення замовлення.

Завантажувач містить збіг з регулярним виразом для пошуку певного рядка у поверненому HTML-коді сторінки 404. Розшифровка цього рядка виявила скіммер JavaScript, який ховається на всіх сторінках 404 сайту. Це підтверджує, що зловмисники успішно змінили сторінку помилок за замовчуванням для всього сайту та сховали на ній шкідливий код.

Код скімера відображає підроблену форму, яку відвідувачі веб-сайту повинні заповнити, вказавши конфіденційні дані, включаючи номер своєї кредитної картки, термін її дії та CVC.

Після цього жертва бачить підроблену сторінку помилково при завершенні сеансу оплати.

У фоновому режимі вся інформація кодується у форматі Base64 і надсилається зловмиснику через URL-адресу запиту зображення, що містить рядок як параметр запиту.

Такий підхід допомагає уникнути виявлення інструментами моніторингу мережного трафіку, оскільки запит виглядає як невинна подія вибірки зображення. Однак декодування рядка base64 розкриває особисту інформацію та інформацію про кредитну картку.