Киберпреступники похищают платежные данные пользователей online-магазинов на Magento.
Специалисты компании Sucuri зафиксировали новую вредоносную кампанию, в ходе которой киберпреступники с помощью скриптов похищают данные банковских карт пользователей online-магазинов на Magento. Скрипты ищут на сайтах формы для введения платежных данных, похищают вводимые пользователем сведения и передают на подконтрольный злоумышленникам C&C-сервер.
Для сокрытия вредоносных скриптов киберпреступники используют скрипты Google Analytics и Angular. Как пояснили исследователи, вредоносный код обфусцирован и внедрен в легитимный JavaScript-файл наподобие skin/frontend/default/theme122k/js/jquery.jscrollpane.min.js, js/meigee/jquery.min.js или js/varien/js.js.
Обфусцированный скрипт загружает с поддельного адреса Google Analytics www.google-analytics[.]cm/analytics.js and googlc-analytics[.]cm/analytics.js еще один обфусцированный скрипт, замаскированный под скрипт Google Analytics.
Некоторые сайты также заражены поддельным скриптом Angular, содержащим такие ключевые слова, как Angular.io, algularToken, angularCdn и angularPages. Злоумышленники используют адрес поддельного менеджера тегов hxxps://www.gooqletagmanager[.]com/gtm.js and hxxps://googletagmanager[.]eu/gtm.js.
По данным PublicWWW, по состоянию на 28 февраля этот поддельный скрипт содержался на 39 сайтах, причем под управлением не только Magento, но и других CMS, в основном WordPress, Joomla и Bitrix.
