Magecart, печально известная группа киберпреступников, известная своим мастерством в краже конфиденциальных данных с веб-сайтов электронной коммерции, обнародовала коварную схему, которая использует, казалось бы, безобидный элемент Интернета — страницу ошибки 404. Эта инновационная тактика, обнаруженная Akamai Security Intelligence Group, является одним из трех вариантов, используемых Magecart, и она предполагает сокрытие вредоносного кода в цифровой бездне страниц с ошибками 404 для тайной кражи информации о кредитных картах клиентов.

Как страница 404 стала игровой площадкой для киберпреступников?

В ходе этой кибератаки, организованной группой Magecart, хакеры манипулируют страницей ошибки 404 веб-сайта — страницей, отображаемой, когда веб-страница не существует или имеет неработающую ссылку. Они прячут вредоносный код на этой, казалось бы, безобидной странице, чтобы украсть данные кредитной карты у ничего не подозревающих посетителей. Скрытый код представляет пользователям поддельную форму, предлагая им ввести конфиденциальные данные кредитной карты. Эти украденные данные затем тайно передаются хакерам под видом невинных запросов изображений. Инновационный подход усложняет обнаружение, подчеркивая необходимость надежных мер кибербезопасности для защиты онлайн-транзакций и пользовательской информации.

Хакеры начали использовать страницы с ошибкой 404 для кражи кредитных карт
(Изображение предоставлено)

Давайте углубимся в детали того, как на самом деле работает этот хак для скимминга карт Magecart, который использует страницы с ошибками 404:

You Might Also Like
Google Docs предлагает несколько новых функций
Google Docs предлагает несколько новых функций
Коды GPO Upd 9 во вселенной Roblox
Коды GPO Upd 9 во вселенной Roblox
IShowSpeed ​​закрывается после инцидента с IShowMeat?
IShowSpeed ​​закрывается после инцидента с IShowMeat?
  • Целевой выбор: Первым шагом для хакеров Magecart является определение своих целей, к которым в первую очередь относятся веб-сайты электронной коммерции, созданные на популярных платформах, таких как Magento и WooCommerce. Некоторыми жертвами этой кампании стали известные организации в сфере продуктов питания и розничной торговли.
  • Сокрытие вредоносного кода: Как только цель выбрана, хакеры применяют инновационную технику. Они манипулируют страницей ошибки 404 веб-сайта, которую видят посетители страницы, когда пытаются получить доступ к веб-странице, которая не существует, была перемещена или содержит неработающую ссылку.
  • Спрятавшись на виду: Вместо того, чтобы вставлять свой вредоносный код непосредственно в код веб-сайта, злоумышленники Magecart скрывают его на странице ошибки 404. Эта тактика особенно умна, потому что ее не видели в предыдущих кампаниях Magecart. Благодаря этому у них появился новый способ избежать обнаружения.
  • Скиммер-погрузчик: Скиммер-погрузчик является важнейшим компонентом атаки. Он может принимать различные маскировки, например, появляться в виде фрагмента кода Meta Pixel или прятаться в уже существующих встроенных скриптах на скомпрометированной веб-странице оформления заказа.
  • Получение несуществующих ресурсов: Загрузчик инициирует запрос на выборку по относительному пути с именем «значки». Этот путь не существует на целевом веб-сайте, что приводит к ошибке «404 не найден». На первый взгляд это может показаться невинной ошибкой или бездействующим скиммером.
  • Скрытый в комментариях HTML: Однако при ближайшем рассмотрении загрузчик содержит совпадение с регулярным выражением, которое ищет определенную строку в HTML-коде страницы ошибки 404. Когда он находит эту строку, он обнаруживает объединенную строку в кодировке Base64, умело скрытую в комментарии HTML.
  • Обнародован вредоносный JavaScript: Эта строка в кодировке Base64 при декодировании показывает скиммер JavaScript, который предназначен для того, чтобы оставаться скрытым на всех страницах с ошибками 404.
  • Скрытая утечка данных: Когда скиммер активен, он представляет посетителям сайта поддельную форму. Эта обманчивая форма предлагает пользователям ввести конфиденциальную информацию, включая номер кредитной карты, срок ее действия и код безопасности. Без ведома жертвы, в тот момент, когда она вводит эти данные, она получает ложную ошибку «тайм-аут сеанса».
  • Эксфильтрация данных: В фоновом режиме вся украденная информация кодируется в формате Base64 и отправляется злоумышленнику через URL-адрес запроса изображения, содержащий строку в качестве параметра запроса. Этот обманный подход маскирует кражу данных как, казалось бы, безобидное событие выборки изображения, что затрудняет выявление инструментов мониторинга сетевого трафика.
  • Украденная информация: Однако после расшифровки строки base64 злоумышленник получает доступ к личной информации и данным кредитной карты, что потенциально может привести к краже личных данных и финансовым потерям для жертв.
  Новый iPad Pro поступит в продажу в апреле.

Эта изощренная атака подчеркивает развитие тактики хакеров Magecart, которые постоянно находят новые способы скрыть свой вредоносный код и поставить под угрозу безопасность интернет-магазинов. Это подчеркивает необходимость повышенной бдительности при защите конфиденциальной информации и необходимость принятия надежных мер кибербезопасности для защиты как бизнеса, так и потребителей в мире, который становится все более цифровым.

Более подробную информацию об этом читайте в официальном отчет.

Предоставленное изображение предоставлено: Эрик Маклин / Unsplash

Source: Хакеры начали использовать страницы с ошибкой 404 для кражи кредитных карт