Istraživači kibernetičke sigurnosti otkrili su skimer kreditnih kartica koji je skriven u lažnoj skripti za praćenje Meta Pixel u pokušaju da izbjegne otkrivanje.
Sucuri je rekao da se malver ubacuje u web stranice putem alata koji omogućavaju prilagođeni kod, kao što su WordPress dodaci poput Simple Custom CSS i JS ili “Miscellaneous Scripts” odjeljak u administrativnom panelu Magento.
“Uređivači prilagođenih skripti popularni su među lošim hakerima jer dozvoljavaju vanjski (i zlonamjerni) JavaScript trećih strana i lako se mogu pretvarati da su benigni korištenjem konvencija imenovanja koje odgovaraju popularnim skriptama kao što je Google Analytics ili bibliotekama kao što je JQuery”, rekao je sigurnosni istraživač Matt Morrow.
Lažna skripta za praćenje Meta Pixel koju je identifikovala kompanija za web sigurnost sadrži slične elemente kao i njen legitimni pandan, ali detaljnije ispitivanje otkriva dodatak JavaScript koda koji zamjenjuje reference na domenu “connect.facebook[.]net” sa “b-connected” [.]com.”
Dok je prva stvarna domena povezana sa funkcijom praćenja Pixela, zamjenska domena se koristi za učitavanje dodatne zlonamjerne skripte (“fbevents.js”) koja prati da li je žrtva na stranici za odjavu, i ako jeste, služi lažnom preklapanja da zgrabite podatke o njihovoj kreditnoj kartici.
Vrijedi napomenuti da je “b-connected[.]com” legitimna web stranica za e-trgovinu koja je u nekom trenutku bila kompromitovana kako bi ugostila skimer kod. Štaviše, podaci uneseni u lažni obrazac se eksfiltriraju na drugu ugroženu stranicu („www.donjuguetes[.]es“).
Da biste ublažili takve rizike, preporučuje se da stranice budu ažurirane, povremeno pregledavate administratorske naloge kako biste utvrdili da li su svi važeći i često ažurirate lozinke.
Ovo je posebno važno jer je poznato da hakeri koriste slabe lozinke i nedostatke u WordPress dodacima kako bi dobili povećani pristup ciljnoj stranici i dodali lažne administratorske korisnike, koji se zatim koriste za obavljanje raznih drugih aktivnosti, uključujući dodavanje dodatnih plugin-a i backdoor-a.
“Budući da kradljivci kreditnih kartica često čekaju na ključne riječi kao što su ‘checkout’ ili ‘onepage’, one možda neće postati vidljive dok se stranica za odjavu ne učita”, rekao je Morrow.
“Budući da se većina stranica za naplatu dinamički generiše na osnovu podataka kolačića i drugih varijabli proslijeđenih stranici, ove skripte izbjegavaju javne skenere i jedini način da se identifikuje malver je provjera izvora stranice ili praćenje mrežnog prometa. Ove skripte se tiho izvode u pozadina.”
Razvoj dolazi pošto je Sucuri takođe otkrio da su stranice napravljene pomoću WordPress-a i Magenta meta još jednog malvera pod nazivom Magento Shoplift. Ranije varijante Magento Shoplifta otkrivene su u okruženju od septembra 2023.
Lanac napada počinje ubacivanjem zamagljenog JavaScript isječka u legitimnu JavScript datoteku koja je odgovorna za učitavanje druge skripte sa jqueurystatics[.]com preko WebSocket Secure (WSS), koja je, zauzvrat, dizajnirana da olakša skimiranje kreditnih kartica i krađu podataka dok se maskira u skriptu Google Analytics.
“WordPress je takođe postao veliki igrač u e-trgovini, zahvaljujući usvajanju Woocommerce-a i drugih dodataka koji lako mogu pretvoriti WordPress stranicu u potpuno opremljenu internet prodavnicu,” rekao je istraživač Puja Srivastava .
“Ova popularnost takođe čini WordPress prodavnice glavnom metom — a napadači modifikuju svoj MageCart malver za e-trgovinu kako bi ciljali širi spektar CMS platformi.”
Izvor: The Hacker News
