Търсене
Close this search box.

Подъл скимер на кредитни карти, маскиран като безобиден Facebook Tracker

Изследователи в областта на киберсигурността са открили скимиращо устройство за кредитни карти, което е скрито във фалшив скрипт за проследяване на Meta Pixel в опит да избегне откриване.

От Sucuri съобщиха, че зловредният софтуер се вкарва в уебсайтове чрез инструменти, които позволяват създаването на потребителски код, като например плъгини за WordPress като Simple Custom CSS и JS или раздел „Miscellaneous Scripts“ в административния панел на Magento.

„Редакторите на персонализирани скриптове са популярни сред лошите играчи, тъй като позволяват използването на външен JavaScript от трети страни (и злонамерен) и могат лесно да се преструват на доброкачествени, като използват конвенции за именуване, които съвпадат с популярни скриптове като Google Analytics или библиотеки като JQuery“, заяви изследователят по сигурността Мат Мороу.

Идентифицираният от компанията за уеб сигурност фалшив скрипт за проследяване Meta Pixel съдържа подобни елементи като легитимния си аналог, но при по-внимателно разглеждане се вижда, че е добавен код на JavaScript, който замества препратките към домейна „connect.facebook[.]net“ с „b-connected[.]com“.

Докато първият е истински домейн, свързан с функционалността за проследяване Pixel, заместващият домейн се използва за зареждане на допълнителен злонамерен скрипт („fbevents.js“), който следи дали жертвата е на страница за плащане и ако е така, подава измамно наслагване, за да вземе данните за кредитната ѝ карта.

Заслужава да се отбележи, че „b-connected[.]com“ е легитимен уебсайт за електронна търговия, който в някакъв момент е бил компрометиран, за да се хоства кодът на скимера. Нещо повече, информацията, въведена във фалшивия формуляр, се ексфилтрира към друг компрометиран сайт („www.donjuguetes[.]es“).

За да се намалят подобни рискове, се препоръчва сайтовете да се поддържат в актуално състояние, периодично да се преглеждат администраторските акаунти, за да се установи дали всички те са валидни, и често да се актуализират паролите.

Това е особено важно, тъй като е известно, че  заплахите използват слаби пароли и недостатъци в плъгините на WordPress, за да получат повишен достъп до целевия сайт и да добавят нелоялни администраторски потребители, които след това се използват за извършване на различни други дейности, включително добавяне на допълнителни плъгини и задни вратички.

Credit Card Skimmer

Тъй като устройствата за кражба на кредитни карти често изчакват ключови думи като „checkout“ или „onepage“, те могат да станат видими едва след зареждането на страницата за плащане“, казва Мороу.

„Тъй като повечето страници за проверка се генерират динамично въз основа на данните от бисквитките и други променливи, предадени на страницата, тези скриптове избягват публичните скенери и единственият начин да се идентифицира зловредният софтуер е да се провери източникът на страницата или да се наблюдава мрежовият трафик. Тези скриптове се изпълняват безшумно във фонов режим.“

Разработката идва в момент, в който Sucuri разкри също, че сайтовете, изградени с WordPress и Magento, са мишена на друг зловреден софтуер, наречен Magento Shoplift. По-ранни варианти на Magento Shoplift са открити в дивата природа от септември 2023 г. насам.

Веригата от атаки започва с инжектиране на обфускулиран фрагмент от JavaScript в легитимен файл JavScript, който отговаря за зареждането на втори скрипт от jqueurystatics[.]com чрез WebSocket Secure (WSS), който от своя страна е предназначен да улесни скимирането на кредитни карти и кражбата на данни, докато се маскира като скрипт на Google Analytics.

„WordPress се превърна в масивен играч и в областта на електронната търговия, благодарение на приемането на Woocommerce и други плъгини, които лесно могат да превърнат един WordPress сайт в пълнофункционален онлайн магазин“, казва изследователят Пуджа Сривастава.

„Тази популярност също така прави магазините на WordPress основна цел – и нападателите модифицират своя зловреден софтуер за електронна търговия MageCart, за да се насочат към по-широк кръг CMS платформи.“

 

Източник: The Hacker News

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
16 май 2024

Intel публикува 41 препоръки за сигурност за на...

Гигантът в областта на чиповете е пуснал пачове за повечето от тези...
Бъдете социални
Още по темата
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
26/04/2024

Банковият троянец Godfather...

Операторите на мобилен зловреден софтуер като...
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!