Do webových stránok OpenCart bol potichu infiltrovaný malvér, ktorý napodobňuje dôveryhodné skripty na sledovanie. Skript sa skrýva v analytických značkách a nenápadne vymieňa skutočné platobné formuláre za falošné. Zatemnený JavaScript umožnil útočníkom prekĺznuť cez detekciu a spustiť krádež poverení v reálnom čase.
Nový útok v štýle Magecart vyvolal obavy v oblasti kybernetickej bezpečnosti a zameriava sa na webové stránky elektronického obchodu, ktoré sa spoliehajú na redakčný systém OpenCart.
Útočníci vložili škodlivý JavaScript do vstupných stránok, pričom šikovne skryli svoj kód medzi legitímne analytické a marketingové značky, ako sú Facebook Pixel, Meta Pixel a Google Tag Manager.
Odborníci z firmy na kybernetickú bezpečnosť c/side, ktorá monitoruje skripty tretích strán a webové aktíva na detekciu a prevenciu útokov zo strany klienta, tvrdia, že vložený kód sa podobá štandardnému fragmentu značky, ale jeho správanie hovorí iný príbeh.
Techniky zatemňovania a injekcia skriptov
Táto konkrétna kampaň maskuje svoj škodlivý úmysel kódovaním adries URL kódu pomocou Base64 a smerovaním prenosu cez podozrivé domény, ako napríklad /tagscart.shop/cdn/analytics.min.js, čo sťažuje odhalenie počas prenosu.
Na prvý pohľad sa zdá, že ide o štandardný skript Google Analytics alebo Tag Manager, ale bližšia kontrola odhalí opak.
Po dekódovaní a vykonaní skript dynamicky vytvorí nový prvok, vloží ho pred existujúce skripty a potichu spustí ďalší kód.
Malvér potom vykoná silne zatemnený kód pomocou techník, ako sú hexadecimálne odkazy, rekombinácia polí a funkcia eval() na dynamické dekódovanie.
Kľúčovou funkciou tohto skriptu je vloženie falošného formulára kreditnej karty počas procesu platby, ktorý je vizuálne upravený tak, aby vyzeral legitímne.
Po vykreslení formulár zachytáva vstupné údaje týkajúce sa čísla kreditnej karty, dátumu exspirácie a CVC kódu. Na udalosti blur, keydown a paste sú pripojené poslucháče, ktoré zabezpečujú zachytenie používateľského vstupu v každej fáze.
Dôležité je, že útok sa nespolieha na získavanie údajov zo schránky a používatelia sú nútení manuálne zadávať údaje o karte.
Následne sú údaje okamžite odoslané pomocou požiadaviek POST na dve domény riadiaceho a kontrolného centra (C2): //ultracart[.]shop/g.php a //hxjet.pics/g.php.
Ako ďalší zvrat je pôvodný platobný formulár skrytý po odoslaní údajov o karte, pričom druhá stránka potom vyzve používateľov na zadanie ďalších údajov o bankovej transakcii, čo znásobuje hrozbu.
Čo v tomto prípade vyniká, je nezvyčajne dlhé oneskorenie pri použití ukradnutých údajov o karte, ktoré trvalo niekoľko mesiacov namiesto typických niekoľkých dní.
Správa odhaľuje, že jedna karta bola použitá 18. júna v transakcii s platbou cez telefón z USA, zatiaľ čo ďalšia bola zaťažená sumou 47,80 € u neidentifikovaného predajcu.
Toto narušenie poukazuje na rastúce riziko v elektronickom obchode založenom na SaaS, kde sa platformy CMS ako OpenCart stávajú mäkkými cieľmi pre pokročilý malvér.
Preto je potrebná silnejšia ochrana, ktorá presahuje základné firewally.
Automatizované platformy ako c/side tvrdia, že detekujú hrozby rozpoznaním zatemneného JavaScriptu, neoprávnených injekcií formulárov a anomálneho správania skriptov.
Keďže sa útočníci vyvíjajú, aj malé nasadenia CMS musia zostať ostražité a monitorovanie v reálnom čase a informácie o hrozbách by už nemali byť voliteľné pre predajcov v elektronickom obchode, ktorí sa snažia zabezpečiť dôveru svojich zákazníkov.
