Magecart атаките продължават да смущават ежедневието на собственици на интернет ресурси, администратори, специалисти по защита и обикновени потребители.

Появил се като форма на атака преди повече от четири години, Magecart, кръстен така, защото хакерите атакуват най-вече ресурси на основата на популярния CMS на Adobe, Magento, представлява форма на заплаха, която копира схемата на скиминг устройствата във физическия свят. Престъпниците ги поставят в близост до банкови апарати, пресичайки въвежданата по клавиатурата на устройствата информация, а после изпразват банковите сметки на своите жертви. В случая обаче, ролята на физическия скимър играе най-често JavaScript код, който е вмъкнат в кодовата база на сайта или идва от външна страна, свързана с ресурса. Това става възможно след компрометиране на сайта или експлоатиране на уязвимост в използван от него плъгин или тема. През последните години, жертва на Magecart атаки станаха популярни сайтове, като Shopper Approved, Procter & Gamble, сайтът на Smith & Wesson и др.

Наскоро компанията за информационна и интернет сигурност Malwarebytes са се натъкнали на поредната Magecart кампания, но в този случай, нейните автори използват интересен подход, за да скрият присъствието си. Те създали сайт (myicons[.]net), който копирал съдържанието и изгледа на популярен сайт за предлагане на иконки и изображения. Специалистите по компанията разпознали престъпниците по адреса на сървъра, на който бил хостван сайта на измамниците – известен с Magecart атаките си адрес. Сайтът им доставял „фавикони“ (favicon) – малките изображения, които може да видите в левия ъгъл на таба на браузъра на посетената от вас страница. Няколко Magento сайта използвали икони от споменатия сайт. В началото, Malwarebytes си мислели, че във фавикон файла на страницата е скрит с помощта на стенографията зловреден код, но той бил това, за което се представя – просто изображение. Когато обаче посетител на онлайн магазин се насочи към страницата за плащане, сървърът на престъпниците отговарял с изпращането не на PNG файл за фавикона JavaScript код, състоящ се форма за попълване на информация, свързана с банкови записи.

This content is loaded dynamically in the DOM to override the PayPal checkout option with its own drop down menu for MasterCard, Visa, Discover and American Express

„Това съдържание бива зареждано динамично в DOM, за да презапише опцията за плащане на PayPal със свое собствено падащо меню за MasterCard, Visa, Discover и American Express“, обясняват Malwarebytes. Самият JavaScript код принадлежи на добре известен на специалистите по защита онлайн скимър. След като жертвата въведе своите данни във фалшивата страница за разплащане, данните му биват открадвани от престъпниците.

Настоящите атаки са сравнително отскоро, уточняват Malwarebytes, но според тях това е част от по-голяма текуща кампания.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари