Найти тему
7,9K подписчиков

Хакеры модифицируют страницы 404 интернет-магазинов для кражи платёжных данных пользователей

Технологии
363,6K интересуются
Мониторы
253,9K интересуются
Умный дом
223,7K интересуются
Робототехника
77,8K интересуются
Умный город
28,6K интересуются
3D-принтеры
147,4K интересуются
Электроника
81,9K интересуются
Игровые консоли и устройства
151,5K интересуются
Технологии в СМИ
35,3K интересуются
Samsung
151,5K интересуются
Технологии в медицине
56,8K интересуются
Видеорегистраторы
90,1K интересуются
Технологии в музыке
27,1K интересуются
Интернет вещей (IoT)
51,2K интересуются
Камеры и фототехника
193,5K интересуются
Технологии в ритейле
37,3K интересуются
Автоматизация
24,5K интересуются
Информационные технологии (IT)
31,7K интересуются
Бытовая техника
28,1K интересуются
Apple
384,5K интересуются
Изображение: xusenru (pixabay)
Изображение: xusenru (pixabay)

Эксперты по кибербезопасности Akamai Security Intelligence Group сообщили о выявлении новой хакерской кампании Magecart, в рамках которой злоумышленники компрометируют страны 404 онлайн-магазинов, скрывают там вредоносный код для кражи данных о банковских карточках пользователей. Об этом сообщило издание Bleeping Computer.

В Akamai Security Intelligence Group рассказали, что на всех веб-сайтах есть страницы с ошибками 404, которые показываются пользователям при попытке получения доступа к несуществующей веб-странице, адрес которой был изменена или имеет неработающую/нерабочую ссылку.

Участники хакерской кампании Magecart используют стандартную страницу «404 Not found», чтобы скрыть и загрузить вредоносный код кражи данных банковской карточки, чего ранее не наблюдалось экспертами по кибербезопасности.

«Эта техника сокрытия вредоносного кода является весьма инновационной, чего мы не видели в предыдущих кампаниях Magecart», — говорится в отчете Akamai Security Intelligence Group. —Идея манипулирования страницей ошибки 404 по умолчанию на целевом веб-сайте открывает хакерам широкие творческие возможности для улучшения сокрытия и уклонения от обнаружения».

Специалисты подчеркивают, что скиммер-загрузчик или маскируется под фрагмент кода Meta Pixel, или прячется в случайных встроенных скриптах, уже присутствующих на скомпрометированной веб-странице оформления заказа конкретного онлайн-магазина.

Загрузчик инициирует запрос на выборку по относительному пути с именем «icons», но, в виде того этот путь не существует на веб-сайте, запрос приводит к ошибке «404 Not found».

Эксперты Akamai Security Intelligence Group изначально предположили, что скиммер больше не активен или хакерская группа Magecart допустила ошибку в конфигурации. Однако при ближайшем рассмотрении специалисты выяснили, что загрузчик имеет совпадение с регулярным выражением для поиска определенной строки в возвращенном HTML-коде страницы 404.

Обнаружив строку на странице, эксперты Akamai обнаружили объединенную строку в кодировке Base64, скрытую в комментарии. Расшифровка этой строки выявила скиммер JavaScript, который скрывается на всех страницах 404.

«Мы смоделировали дополнительные запросы к несуществующим путям, и все они вернули одну и ту же страницу с ошибкой 404, содержащую комментарий с закодированным вредоносным кодом», — объяснили в Akamai. — Проверка подтвердила, что злоумышленник успешно изменил страницу ошибок по умолчанию для всего сайта и скрыл на ней вредоносный код».

При этом код скиммера отображает поддельную форму, которую посетители веб-сайта должны заполнить, указав конфиденциальные данные, включая номер своей банковской карты, срок действия и код безопасности. И как только эти данные будут введены в поддельную форму, жертва получает фейковую ошибку «тайм-аут сеанса».

Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.