Схема уже получила название – «Magecart». Для ее реализации злоумышленники скрывают по умолчанию существующую на сайте страницу с ошибкой 404. Загружаемый на ее поддельную копию вредоносный код исследователи ранее не встречали в других кампаниях.
Обнаружили новую схему эксперты из команды Akamai Security Intelligence Group. Также специалисты компании сообщили о двух других вариантах, когда злоумышленники прячут вредоносный код в атрибуте «onerror» HTML-тега изображения и в двоичном коде изображения, имитируя сниппет кода Meta Pixel.
Объектами атаки преимущественно являются сайты, работающие на платформах Magento и WooCommerce. В том числе, атаке подверглись несколько крупных представителей ритейла и пищевого сектора.
Киберэксперт Овчинников уверен, что от «Magecart» могут пострадать не только сайты, работающие на платформах Magento и WooCommerce, но и российские ресурсы.
«Magecart» выполняется на сайты, которые используют сторонние интернет-магазины Magneto и WooCommerce. Однако, это совсем не значит, что сайты, использующие иные приложения защищены от подобной атаки. Новаторство данной схемы заключается в том, злоумышленники, используя уязвимость основного сайта, создают неверную ссылку и перенаправляют пользователя на взломанную страницу по умолчанию 404 «Страница не найдена» в которой содержится вредоносный код. Пользователь, на мошеннической форме, вводит свои платежные данные, не подозревая что его обманывают, а вредоносный код маскирует передачу данных под закодированное сообщение, которое в первом приближении похожа на передачу картинки. Таким образом, злоумышленники избегают обнаружения своей деятельности сетевыми средствами обнаружения.
Данная атака возможно исключительно потому, что в вебсайтах используются сторонние уязвимые компоненты, что еще раз подчеркивает необходимость всесторонней защиты веб-сайтов даже в случае, если вы считаете свой ресурс защищённым. Пока что атаки такого рода проводятся на иностранные сайты, однако, в ближайшем будущем такая схема может быть воспроизведена и на отечественных сайтах», – говорит главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников.