«Оплата не прошла» — это ловушка. Хакеры два года пылесосили данные шопоголиков, и никто не заметил

leer en español

Silent Push WorkTitans WordPress Magecart Stripe American Express кража данных
«Оплата не прошла» — это ловушка. Хакеры два года пылесосили данные шопоголиков, и никто не заметил
Silent Push WorkTitans WordPress Magecart Stripe American Express кража данных

Magecart возвращается, и он выучил новые трюки. Теперь — с любовью к WordPress.

image

Скрытая кампания по перехвату данных банковских карт с онлайн-страниц оплаты действовала почти два года, оставаясь незамеченной. Злоумышленники нацелились на клиентов крупнейших платёжных систем, включая American Express, Mastercard, Discover, Diners Club, JCB и UnionPay. Выявить масштаб атаки удалось лишь недавно, когда специалисты Silent Push изучили аномальную активность, связанную с доменами, контролируемыми хостинг-провайдером, принадлежащим голландской компании WorkTitans B.V.

В ходе атаки злоумышленники внедряли вредоносный JavaScript-код на страницы оплаты легитимных интернет-магазинов. Такой код активируется в момент оформления заказа, перехватывая введённые пользователями данные: номера карт, сроки действия, CVC-коды, а также имена, адреса доставки, телефоны и электронную почту. Полученная информация затем передавалась на удалённый сервер через HTTP-запрос.

Особенностью данной атаки стало использование домена «cdn-cookie[.]com», на котором размещались зашифрованные скрипты, включая «recorder.js» и «tab-gtm.js». Эти компоненты загружались веб-магазинами и обеспечивали скрытую работу вредоносной системы. Один из ключевых механизмов защиты от обнаружения — проверка на наличие на странице элемента «wpadminbar», характерного для администраторской панели WordPress. Если такой элемент обнаруживался, вредоносный скрипт тут же самоуничтожал себя.

Атака Magecart

Скрипт адаптировался под различные платёжные методы. Например, при выборе Stripe проверялось наличие специального флага в хранилище браузера — элемента «wc_cart_hash». Если он отсутствовал, пользователь видел поддельную форму оплаты, стилизованную под настоящую. После ввода данных происходила имитация ошибки, как будто реквизиты введены некорректно, а тем временем информация отправлялась злоумышленникам. После этого флаг устанавливался, чтобы не повторять атаку на того же пользователя.

Обнаруженная схема отличается высокой степенью технической проработки. Злоумышленники глубоко изучили архитектуру WordPress, включая малоизвестные особенности, и интегрировали их в последовательность атаки. Хостинг, на котором размещались вредоносные компоненты, ранее принадлежал организации Stark Industries и её головной компании PQ.Hosting, но впоследствии сменил имя на THE[.]Hosting — вероятно, в попытке уйти от санкционного давления.

Обнаруженная кампания относится к семейству атак Magecart, которое изначально связывали с группами, эксплуатирующими уязвимости в Magento, но с тех пор методы распространения были адаптированы под другие платформы и сервисы. В целом, атака нацелена на крупные компании, сотрудничающие с глобальными платёжными системами, и демонстрирует растущую сложность и изощрённость онлайн-угроз.