Peneliti cybersecurity telah menandai kampanye kartu kredit yang mencuri kartu malware yang telah diamati menargetkan situs e-commerce yang menjalankan Magento dengan menyamarkan konten jahat dalam tag gambar dalam kode HTML agar tetap di bawah radar.
Magecart adalah nama yang diberikan kepada malware yang mampu mencuri informasi pembayaran sensitif dari situs belanja online. Serangan tersebut diketahui menggunakan berbagai teknik- baik di sisi klien dan server- untuk mengkompromikan situs web dan menggunakan skimmer kartu kredit untuk memfasilitasi pencurian.
Biasanya, malware tersebut hanya dipicu atau dimuat ketika pengguna mengunjungi halaman checkout untuk memasukkan detail kartu kredit dengan melayani formulir palsu atau menangkap informasi yang dimasukkan oleh para korban secara real time.
Istilah Magecart adalah referensi ke target asli grup kejahatan cyber ini, platform Magento yang menawarkan fitur checkout dan keranjang belanja untuk pengecer online. Selama bertahun -tahun, kampanye semacam itu mengadaptasi taktik mereka dengan menyembunyikan kode berbahaya melalui pengkodean dan kebingungan dalam sumber yang tampaknya tidak berbahaya, seperti gambar palsu, file audio, favicons, dan bahkan 404 halaman kesalahan.
“Dalam hal ini, malware yang mempengaruhi klien mengikuti tujuan yang sama – tetap tersembunyi,” kata peneliti Sucuri Kayleigh Martin. “Ia melakukan ini dengan menyamarkan konten berbahaya di dalam Tag, membuatnya mudah diabaikan. “
“Itu umum untuk Tag untuk berisi string panjang, terutama saat merujuk jalur file gambar atau gambar yang dikodekan base64, bersama dengan atribut tambahan seperti tinggi dan lebar. “
Satu -satunya perbedaan adalah bahwa Tag, dalam hal ini, bertindak sebagai umpan, berisi konten yang dikodekan base64 yang menunjuk pada kode JavaScript yang diaktifkan ketika peristiwa OnError terdeteksi. Ini membuat serangan jauh lebih licik, karena browser secara inheren mempercayai fungsi Onerror.
“Jika suatu gambar gagal memuat, fungsi OnError akan memicu browser untuk menampilkan ikon gambar yang rusak,” kata Martin. “Namun, dalam konteks ini, acara OnError dibajak untuk mengeksekusi JavaScript alih -alih hanya menangani kesalahan.”
Selain itu, serangan itu menawarkan keuntungan tambahan bagi para aktor ancaman di dalamnya Elemen HTML umumnya dianggap tidak berbahaya. Malware, untuk bagiannya, memeriksa apakah pengguna ada di halaman checkout dan menunggu pengguna yang tidak curiga untuk mengklik tombol kirim untuk menyedot informasi pembayaran sensitif yang dimasukkan oleh mereka ke server eksternal.
Script ini dirancang untuk secara dinamis memasukkan bentuk jahat dengan tiga bidang, nomor kartu, tanggal kedaluwarsa, dan CVV, dengan tujuan mengeksfiltrasi ke tempat yang baik[.]com.
“Penyerang mencapai dua tujuan yang mengesankan dengan naskah jahat ini: menghindari deteksi yang mudah dengan pemindai keamanan dengan mengkode naskah jahat dalam sebuah Tag, dan memastikan pengguna akhir tidak melihat perubahan yang tidak biasa ketika bentuk jahat dimasukkan, tetap tidak terdeteksi selama mungkin, “kata Martin.
“Tujuan penyerang yang menargetkan platform seperti Magento, WooCommerce, Prestashop dan lainnya adalah tetap tidak terdeteksi selama mungkin, dan malware yang mereka suntikan ke situs seringkali lebih kompleks daripada potongan malware yang lebih umum yang berdampak pada situs lain.”
Pengembangan datang ketika perusahaan keamanan situs web merinci insiden yang melibatkan situs WordPress yang memanfaatkan direktori MU-plugin (atau plugin yang harus digunakan) untuk menanamkan backdoors dan menjalankan kode PHP berbahaya secara diam-diam.
“Tidak seperti plugin biasa, plugin yang harus digunakan secara otomatis dimuat pada setiap beban halaman, tanpa memerlukan aktivasi atau muncul dalam daftar plugin standar,” kata Puja Srivastava.
“Penyerang mengeksploitasi direktori ini untuk mempertahankan ketekunan dan menghindari deteksi, karena file yang ditempatkan di sini dieksekusi secara otomatis dan tidak mudah dinonaktifkan dari panel admin WordPress.”
