02/12/24
В преддверии «Чёрной пятницы» исследователи компании Sucuri обнаружили новую атаку на сайты, работающие на платформе Magento. Злоумышленники внедряют вредоносный JavaScript, который крадёт данные с платёжных страниц интернет-магазинов. Эта атака отличается сложными методами сокрытия, что затрудняет её обнаружение, пишет Securitylab.
Скрипт работает двумя способами: создаёт поддельную форму для ввода данных карты или извлекает информацию напрямую из полей оплаты. Затем данные шифруются и отправляются на сервер злоумышленников. Сайты на Magento часто становятся целями хакеров из-за их популярности и объёма обрабатываемых платёжных данных.
Скрипт активируется только на страницах с ключевым словом «checkout» в URL, исключая «cart». После выполнения задачи вредоносная программа через API Magento собирает дополнительные данные — имя пользователя, адрес, email, телефон и другую информацию.
Для шифрования украденных данных используется метод XOR с ключом «script», после чего данные кодируются в формате Base64 и отправляются на удалённый сервер.
Эксперты рекомендуют администраторам сайтов регулярно проводить аудиты безопасности, обновлять программное обеспечение, использовать WAF (веб-аппликационный файрвол) и уникальные пароли. Внедрение мониторинга целостности файлов также помогает своевременно выявлять изменения.
