Исследователи кибербезопасности из группы Akamai Security Intelligence Group обнаружили новую кампанию по скиммингу карт группировки Magecart. Злоумышленники используют страницы ошибок 404 на сайтах интернет-магазинов для размещения вредоносного кода, который крадет данные кредитных карт клиентов.
Специалисты отмечают, что данная техника является одной из трех вариантов, которые были замечены в рамках кампании. Другие два метода атаки заключаются в скрытии кода в атрибуте «onerror» HTML-тега изображения и в бинарном изображении, что делает его похожим на фрагмент кода пикселя отслеживания Meta* Pixel.
Кампания ориентирована на сайты на платформах Magento и WooCommerce. Некоторые из затронутых сайтов связаны с известными организациями в сферах продовольствия и розничной торговли.
Отметим, что все веб-сайты имеют страницы ошибок 404, которые отображаются посетителям при попытке доступа к странице, которая не существует, была перемещена или имеет неработающую ссылку. Группировка Magecart использует стандартную страницу «404 Not Found» для скрытия и загрузки вредоносного кода, что является новшеством в сравнении с предыдущими кампаниями.
Путем манипулирования стандартной страницей ошибки 404 на целевом сайте, киберпреступники получают различные возможности для улучшения скрытия и уклонения от обнаружения. Вредоносный код либо маскируется под фрагмент кода Meta Pixel, либо скрывается в случайных встроенных скриптах, уже присутствующих на скомпрометированной странице оформления заказа. Загрузчик Magecart инициирует запрос к относительному пути с названием «icons», который не существует на сайте, из-за чего запрос возвращает ошибку «404 Not Found».
Сначала исследователи предполагали, что скиммер больше не активен или группа Magecart допустила ошибку в конфигурации. Однако при ближайшем рассмотрении было обнаружено, что загрузчик содержит регулярное выражение, ищущее определенную строку в возвращаемом HTML коде страницы 404.
Строка, которую загрузчик ищет в HTML
Обнаружив необходимую строку на странице, эксперты нашли «склееную» строку (конкатенация) в формате base64, скрытую в комментарии. Декодирование строки раскрыло JavaScript-скиммер, который скрывается на всех страницах 404. Код скиммера отображает поддельную форму, которую посетителям сайта предлагается заполнить, включая номер кредитной карты, срок действия и CVV-код.
Поддельная форма ввода данных карты
После ввода данных в поддельной форме жертва получает ошибку «session timeout». В этот момент в фоновом режиме все данные кодируются в формате base64 и отправляются злоумышленникам. Причём так, что это выглядит как обычный запрос на получение картинки от веб-сайта. Это делается для того, чтобы обмануть системы безопасности, которые следят за подозрительной активностью в сети. Злоумышленники используют кодировку base64 для того, чтобы скрыть настоящий смысл отправленных данных, делая его невидимым для систем безопасности.
Данный случай манипулирования страницами 404 подчеркивает эволюцию тактик и универсальность действий хакеров Magecart, которые продолжают усложнять задачу администраторам веб-сайтов по обнаружению вредоносного кода на скомпрометированных сайтах и их очистке.
* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.

