NEW CARDING CHAT IN TELEGRAM

Magento Shoplift: вредоносное ПО для электронной коммерции нацелено как на WordPress, так и на Magento CMS

Man

Professional
Messages
2,828
Reputation
5
Reaction score
447
Points
83
Мы часто пишем о вредоносном ПО, которое крадет платежную информацию с сайтов, созданных с помощью Magento и других типов CMS для электронной коммерции. Однако WordPress также стал крупным игроком в электронной коммерции благодаря внедрению Woocommerce и других плагинов, которые могут легко превратить сайт WordPress в полнофункциональный интернет-магазин. Эта популярность также делает магазины WordPress главной целью — и злоумышленники модифицируют свое вредоносное ПО для электронной коммерции MageCart, чтобы нацеливаться на более широкий спектр платформ CMS.

В этой статье мы расскажем, как наши аналитики недавно очистили сайт WordPress от вредоносного ПО, зараженного новой версией вредоносного ПО «Magento Shoplift».

Давайте посмотрим поближе!

В /custom-css-js/ обнаружен внедренный код​

Владелец веб-сайта пожаловался на подозрительные перенаправления на своем сайте, поэтому мы начали расследование, чтобы выяснить, что происходит.

Проверка файлов веб-сайта выявила следующий код в ./wp-content/uploads/custom-css-js/134019.js, который внедрялся в нижнюю часть веб-страницы:

В /custom-css-js/ обнаружен внедренный код


При расшифровке было выявлено истинное поведение:

Вредоносный скрипт загружен из домена jqueurystatics


Целью этого фрагмента, содержащего запутанный код JavaScript и кодировку base64 для обхода обнаружения, является загрузка вредоносного скрипта с: wss://jqueurystatics[.]com:8001

При загрузке на веб-страницу он извлекает и выполняет вредоносный скрипт, что может привести к различным вредоносным действиям, таким как скимминг кредитных карт и кража данных, несанкционированный доступ или дальнейшее развертывание вредоносного ПО. Чтобы еще больше обмануть любопытных разработчиков и избежать обнаружения, фрагмент использует функции и имена файлов, такие как GoogleAnalyticsObjects и Analytics.js. Хотя он явно выдает себя за скрипт Google Analytics, это всего лишь отвлечение от истинной природы JavaScript для скимминга кредитных карт — и очень распространенная тактика, используемая злоумышленниками.

Более ранние версии Magento Shoplift​

Еще в сентябре 2023 года мы обнаружили следующий код, внедренный в таблицу core_config_data веб-сайта Magento, на который поступали жалобы от клиентов на подозрительное поведение и мошеннические транзакции на их веб-сайте:

Вредоносный код, внедренный в таблицу core_config_data сайта Magento


Здесь значение внутри первого atob() представляет собой данные в кодировке Base64, которые декодируются в «checkout», а второй atob() декодируется во вредоносный домен: sanzsec[.]net/generator/

Этот код JavaScript проверяет, содержит ли текущий URL-адрес декодированную строку «checkout». Если это так, он динамически создает новый элемент скрипта и устанавливает его атрибут источника на «hxxps://sanzsec[.]net/generator/». Наконец, он добавляет этот новый элемент скрипта в заголовок документа, который загружает и выполняет скрипт с этого URL-адреса.

Внедренный JavaScript в нижней части веб-страницы


У этого вредоносного ПО есть несколько вариантов, которые за последний год затронули как сайты WordPress, так и Magento, включая этот известный вариант, который на момент написания статьи заразил 89 сайтов. Эта другая версия заразила 10 сайтов.

Домены, использовавшиеся для загрузки вредоносных данных в 2023 году:
  • cdn[.]cloudlayerinsights[.]com
  • sanzsec[.]net

Однако последние версии Magento Shoplift, влияющие на WordPress, начали загружать скрипты с сайта jqueurystatics[.]com.

SiteCheck обнаруживает это вредоносное ПО как malware.magento_shoplift?71.5 :

Обнаружение вредоносного ПО для электронной коммерции Magento Shoplift в Sucuri Sitecheck


Источник
 
Top