Поддельные скрипты Google Analytics используются для кражи банковских данных

Специалисты компании Sucuri зафиксировали новую вредоносную кампанию, в ходе которой киберпреступники с помощью скриптов похищают данные банковских карт пользователей online-магазинов на Magento. Скрипты ищут на сайтах формы для введения платежных данных, похищают вводимые пользователем сведения и передают на подконтрольный злоумышленникам C&C-сервер.

Для сокрытия вредоносных скриптов киберпреступники используют скрипты Google Analytics и Angular. Как пояснили исследователи, вредоносный код обфусцирован и внедрен в легитимный JavaScript-файл наподобие skin/frontend/default/theme122k/js/jquery.jscrollpane.min.js, js/meigee/jquery.min.js или js/varien/js.js.

Обфусцированный скрипт загружает с поддельных адресов Google Analytics www.google-analytics[.]cm/analytics.js и googlc-analytics[.]cm/analytics.js еще один обфусцированный скрипт, замаскированный под скрипт Google Analytics.

Некоторые сайты также заражены поддельным скриптом Angular, содержащим такие ключевые слова, как Angular.io, algularToken, angularCdn и angularPages. Злоумышленники используют адрес поддельного менеджера тегов hxxps:// www.gooqletagmanager[.]com/gtm.js и hxxps://googletagmanager[.]eu/gtm.js.

По данным PublicWWW, по состоянию на 28 февраля этот поддельный скрипт содержался на 39 сайтах, причем под управлением не только Magento, но и других CMS, в основном WordPress, Joomla и Bitrix.