- Situs web Opencart disuntikkan secara diam -diam dengan malware yang meniru skrip pelacakan tepercaya
- Manuscript bersembunyi di tag analitik dan diam -diam bertukar formulir pembayaran nyata untuk yang palsu
- JavaScript yang dikaburkan memungkinkan penyerang tergelincir melewati deteksi dan meluncurkan pencurian kredensial secara actual time
Serangan gaya Magecart baru telah menimbulkan kekhawatiran di seluruh lanskap cybersecurity, yang menargetkan situs internet e-commerce yang mengandalkan Opencart CMS.
Para penyerang menyuntikkan javascript berbahaya ke halaman arahan, dengan cerdik menyembunyikan muatan mereka di antara analitik dan tag pemasaran yang sah seperti Facebook Pixel, Meta Pixel, dan Google Tag Supervisor.
Exepers dari C/SIDE sebuah perusahaan keamanan siber yang memantau skrip pihak ketiga dan aset web untuk mendeteksi dan mencegah serangan sisi klien, mengatakan kode yang disuntikkan menyerupai cuplikan tag standar, tetapi perilakunya menceritakan kisah yang berbeda.
Teknik pengayaan dan injeksi skrip
Kampanye khusus ini menyamarkan niat jahatnya dengan menyandikan link muatan menggunakan base 64 dan routing lalu lintas melalui domain name yang mencurigakan seperti/ tagscart.shop/ cdn/analytics. min.js, membuatnya lebih sulit untuk dideteksi dalam perjalanan.
Pada awalnya, tampaknya merupakan skrip Google Analytics atau Tag Supervisor standar, tetapi inspeksi yang lebih dekat mengungkapkan sebaliknya.
Ketika didekodekan dan dieksekusi, skrip secara dinamis membuat elemen baru, memasukkannya sebelum skrip yang ada, dan secara diam -diam meluncurkan kode tambahan.
Malware kemudian mengeksekusi kode yang sangat dikaburkan, menggunakan teknik seperti referensi heksadesimal, rekombinasi selection, dan fungsi eval () untuk decoding dinamis.
Fungsi utama dari skrip ini adalah menyuntikkan formulir kartu kredit palsu selama check out, ditata agar terlihat sah.
Setelah diberikan, formulir menangkap input di seluruh nomor kartu kredit, tanggal kedaluwarsa, dan CVC. Pendengar terikat pada acara blur, keydown, dan tempel, memastikan bahwa input pengguna ditangkap di setiap tahap.
Yang penting, serangan itu tidak mengandalkan pengikisan clipboard, dan pengguna dipaksa untuk secara guidebook memasukkan detail kartu.
Setelah ini, data segera dieksfiltrasi melalui permintaan message ke dua domain name perintah-dan-control (C 2:// ultracart(.)shop/g. php dan// hxjet.pics/ g.php.
Dalam twist tambahan, formulir pembayaran asli disembunyikan setelah informasi kartu diserahkan – halaman kedua kemudian meminta pengguna untuk memasukkan rincian transaksi bank lebih lanjut, menambah ancaman.
Yang menonjol dalam hal ini adalah keterlambatan yang luar biasa lama dalam menggunakan information kartu curian, yang memakan waktu beberapa bulan, bukan beberapa hari yang khas.
Laporan itu mengungkapkan bahwa satu kartu digunakan pada 18 Juni dalam transaksi pay-by-ponsel dari AS, sementara yang existed dikenakan EUR 47, 80 ke vendor yang tidak dikenal.
Pelanggaran ini menunjukkan risiko yang semakin besar dalam e-commerce berbasis SaaS, di mana platform CMS seperti Opencart menjadi target lunak untuk malware canggih.
Oleh karena itu ada kebutuhan untuk langkah -langkah keamanan yang lebih kuat di luar firewall dasar.
Platform otomatis seperti C/SIDE mengklaim untuk mendeteksi ancaman dengan melihat JavaScript yang dikaburkan, suntikan bentuk tidak sah, dan perilaku skrip anomali.
Ketika penyerang berevolusi, bahkan penyebaran CMS kecil harus tetap waspada, dan pemantauan dan intelijen ancaman waktu nyata seharusnya tidak lagi opsional bagi vendor ecommerce yang ingin mengamankan kepercayaan pelanggan mereka.
