По данным специалистов из Microsoft, злоумышленники замаскировали скимминговый скрипт, закодировав его в PHP-скрипт, внедренный в файл изображения. С помощью этого трюка вредоносный код выполняется при загрузке индексной страницы сайта. Некоторые скимминговые скрипты также включали механизмы защиты от отладки.
Веб-скимминг – преступный метод сбора платежной информации посетителей веб-сайтов во время оформления заказа. Мошенники используют уязвимости в платформах электронной коммерции и CMS для внедрения скиммингового скрипта на страницу электронного магазина. В некоторых случаях злоумышленники могут использовать уязвимости в установленных сторонних плагинах и темах для внедрения вредоносных скриптов.
“Во время исследования мы столкнулись с двумя случаями загрузки вредоносных изображений на сервер, размещенный на Magento. Оба изображения имели одинаковый JavaScript-код, но немного отличались в реализации PHP-скрипта”, – говорится в отчете , опубликованном Microsoft. “Первое изображение было замаскировано под favicon и доступно на VirusTotal, а второе являлось обычным WebP-файлом, обнаруженным нашей командой”.
Microsoft также заметила злоумышленников, использующих вредоносный JavaScript-код в формате Base64 для подмены скриптов Google Analytics и Meta Pixel, чтобы избежать обнаружения. Эксперты отметили, что хакеры, стоящие за подменой Meta Pixel, использовали недавно зарегистрированные домены с HTTPS.
В заключении отчета специалисты из Microsoft рекомендуют организациям обновить CMS и установленные плагины до последних версий и убедиться что все сторонние плагины и службы загружены только из надежных источников.
Источник: SecurityLab