Хакер #309. Самооборона по-хакерски
Обнаружена новая Magecart-кампания, в ходе которой хакеры внедряют веб-скиммеры для кражи данных банковских карт на страницы с ошибкой 404 на сайтах интернет-магазинов. По данным экспертов Akamai, атаки сосредоточены на сайтах Magento и WooCommerce, а среди пострадавших есть крупные компании, работающие в сфере продуктов питания и розничной торговли.
«Эта техника является инновационной, мы не наблюдали ее в предыдущих кампаниях Magecart, — пишут исследователи. — Идея манипулирования стандартной страницей ошибки 404 на целевом сайте предлагает злоумышленникам различные творческие варианты для улучшения скрытности и уклонения от обнаружения».
Загрузчик скиммера либо маскируется под фрагмент кода Meta Pixel, либо прячется в случайных инлайн-скриптах, уже присутствующих на скомпрометированной веб-странице оформления заказа.
Загрузчик инициирует fetch-запрос на выборку относительного пути с именем 'icons', но поскольку такого пути на сайте не существует, запрос приводит к ошибке 404. Глядя на это, специалисты Akamai предположили, что скиммер уже неактивен или хакеры допустили ошибку при его настройке. Однако оказалось, что ошибка 404 задействована в атаках умышленно: загрузчик содержит регулярное выражение, ищущее определенную строку в HTML-файле страницы 404.
Найдя нужную строку на странице, специалисты Akamai обнаружили закодированную base64 строку, скрытую в комментарии. Декодирование этой строки позволило обнаружить JavaScript-скиммер, который скрывался на всех страницах 404.
«Мы смоделировали дополнительные запросы к несуществующим путям, и все они вернули одну и ту же страницу с ошибкой 404, содержащую комментарий с закодированным вредоносным кодом. Эти проверки подтвердили, что злоумышленники успешно изменили стандартную страницу ошибки для всего сайта и скрыли на ней вредоносный код», — объясняют в Akamai.
Веб-скиммер показывает жертве фейковую форму, которую посетитель сайта должен заполнить, указав конфиденциальные данные, включая номер банковской карты, срок ее действия и код безопасности.
После ввода этих данных, жертва видит фальшивую ошибку «session timeout», а вся ее информация кодируется в base64 и передается злоумышленникам в фоновом режиме (посредством URL-адрес запроса изображения, а нужная строка маскируется под параметр запроса).
Исследователи говорят, что такая тактика позволяет злоумышленникам избегать обнаружения, так как для средств мониторинга трафика происходящее выглядит обычным запросом для получения изображения. Лишь при расшифровке строки base64 можно обнаружить персональные данные жертвы и информацию о банковской карте.
В итоге использование страниц 404 усложняет задачу администраторам, которым становится труднее обнаруживать вредоносный код на скомпрометированных сайтах и избавляться от него.
