Новая кампания группы MageCart по краже данных кредитных карт скрывает вредоносный код внутри модуля платежного шлюза «Authorize.net» для плагина WooCommcerce, позволяя хакерам избежать обнаружения. Об этом сообщили
эксперты по безопасности веб-сайтов из Sucuri.
Когда злоумышленники взламывают коммерческий сайт на основе Magenta или WordPress, на котором работает платформа для интернет-магазина WooCommerce — популярная платформа электронной коммерции для WordPress с открытым исходным кодом, которую используют примерно 40% всех интернет-магазинов.
» data-html=»true» data-original-title=»WooCommerce»>WooCommerce, они внедряют вредоносный код JavaScript в HTML-код магазина или страниц оформления заказа. Затем скрипты похищают данные введённой карты, адрес, номер телефона и адрес электронной почты покупателя.
Сейчас многие онлайн-магазины используют сканеры HTML-кода, чтобы найти вредоносные скрипты. Теперь злоумышленники, чтобы избежать обнаружения, внедряют вредоносные сценарии непосредственно в модули платежного шлюза сайта, используемые для обработки платежей по кредитным картам при оформлении заказа. Поскольку эти расширения обычно вызываются только после того, как пользователь введет данные своей кредитной карты и совершит оплату в магазине, их сложнее обнаружить с помощью средств безопасности.
Для приема кредитных карт на сайте магазины используют систему обработки платежей «Authorize.net», которой пользуются около 440 000 магазинов по всему миру. На скомпрометированном сайте киберпреступники изменили один из файлов Authorize.net, поддерживающих интеграцию платежного шлюза в среду WooCommerce.
Внедренный в конец файла код проверяет, содержит ли тело HTTP (англ. HyperText Transfer Protocol — «протокол передачи гипертекста») — протокол прикладного уровня передачи данных, изначально — в виде гипертекстовых документов в формате HTML (т.е. документов, которые могут содержать ссылки, позволяющие переход к другим документам), в настоящее время используется для передачи произвольных данных.
» data-html=»true» data-original-title=»HTTP»>HTTP-запроса строку «wc-authorize-net-cim-credit-card-account-number». Наличие этой строки означает, что HTTP-запрос содержит платежные данные, которые отправляются после того, как пользователь оформит заказ из корзины.
Затем код генерирует случайный пароль, шифрует платежные реквизиты жертвы с помощью AES-128-CBC и сохраняет их в файле изображения, который позже отправляется хакерам.
Далее киберпреступники внедряют код в файл Authorize.net «wc-authorize-net-cim.min.js». Внедрённый код перехватывает дополнительные платежные реквизиты из элементов формы ввода на зараженном сайте, включая имя жертвы, адрес доставки, номер телефона и почтовый индекс.
Уклонение от обнаружения
Еще одним примечательным аспектом этой кампании является скрытность
Скиммер — инструмент злоумышленника для считывания, например, магнитной дорожки платежной карты. При осуществлении данной мошеннической операции используется комплекс скимминговых устройств:
- инструмент для считывания магнитной дорожки платежной карты — представляет собой устройство, устанавливаемое в картоприемник, и картридер на входной двери с зону обслуживания клиентов в помещении банка. Представляет собой устройство со считывающей магнитной головкой, усилителем — преобразователем, памятью и переходником для подключения к компьютеру. Скиммеры могут быть портативными, миниатюрными. Основная идея и задача скимминга — считать необходимые данные (содержимое дорожки/трека) магнитной полосы карты для последующего воспроизведения ее на поддельной. Таким образом, при оформлении операции по поддельной карте авторизационный запрос и списание денежных средств по мошеннической транзакции будут осуществлены со счета оригинальной, «скиммированной» карты.
- миниатюрная видеокамера, устанавливаемая на банкомат и направляемая на клавиатуру ввода в виде козырька банкомата либо посторонних накладок, например, рекламных материалов — используется вместе со скиммером для получения ПИН-кода держателя, что позволяет получать наличные в банкоматах по поддельной карте (имея данные дорожки и ПИН оригинальной).
Скиммеры могут накапливать украденную информацию о пластиковых картах, либо дистанционно передавать ее по радиоканалу злоумышленникам, находящимся поблизости.