Carding 4 Carders
Professional
![code.jpg](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi8y1mJFnD-YLMEanx3ehcvXwAnvHHYTR0H_0-4hR5ax29EcIgHx8l_pvflBYQXM08tbdoZWJ3jiPoBa6EVolAPJpcqeFZZsQyjNYS7uLdaDtMVuwzjOvLs8hNKAK8Vrfhx3fhVXaLRNkYWKLNS7HNWmruysIBQ5PcXwBFJb2AbHcWivCIisoau99BzV7Ae/s728-rw-ft-e30/code.jpg)
Была замечена сложная кампания Magecart, которая манипулирует страницей с ошибками 404, используемой веб-сайтами по умолчанию, чтобы скрыть вредоносный код в том, что было описано как последняя эволюция атак.
Согласно Akamai, целью этой акции являются веб-сайты Magento и WooCommerce, причем некоторые жертвы принадлежат к крупным организациям пищевой промышленности и розничной торговли.
"В этой кампании все обнаруженные нами веб-сайты-жертвы были напрямую использованы, поскольку фрагмент вредоносного кода был внедрен на один из их сторонних ресурсов", - сказал в своем анализе в понедельник исследователь безопасности Akamai Роман Львовский.
Для этого необходимо вставить код непосредственно на HTML-страницы или в один из сторонних скриптов, которые были загружены как часть веб-сайта.
Атаки осуществляются посредством многоступенчатой цепочки, в которой код загрузчика извлекает основную полезную нагрузку во время выполнения, чтобы захватить конфиденциальную информацию, введенную посетителями на страницах оформления заказа, и отфильтровать ее на удаленном сервере.
"Цель разделения атаки на три части - скрыть атаку таким образом, чтобы ее было сложнее обнаружить", - объяснил Львовский. "Это делает атаку более скрытной и ее труднее обнаружить службам безопасности и внешним средствам сканирования, которые могут быть установлены на целевом веб-сайте".
"Это позволяет активировать полный поток атаки только на специально целевых страницах; то есть из-за используемых злоумышленником мер запутывания активация полного потока атаки может произойти только там, где злоумышленник намеревался ее выполнить".
Использование страниц с ошибками 404 - это один из трех вариантов кампании, два других из которых скрывают код скиммера в атрибуте onerror искаженного тега HTML-изображения и в виде встроенного скрипта, который маскируется под фрагмент кода мета-пикселя".
![Magecart Magecart](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjc5P_-hLlsKDE3j5PJCu06zSPErRihOfClb4bj0Lqd-fHtid2LycjX_XmyER1kycIX58ZIQM6MSRYcFpTR4_ZyTH1K-fIsv-9ej_lt2ZoPN9Tw0iGs6OLiR_zQdOhz-Md7qs4IpUFlVCtQnmuw5r0LD-LJgLMAyxjWYJzfqZpKkc-Dbw8oEa_f1Bq4QBq9/s728-rw-ft-e30/cc.gif)
Поддельный мета-пиксельный код, со своей стороны, извлекает изображение PNG из собственного каталога веб-сайта, которое содержит строку в кодировке Base64, добавленную в конец двоичного файла изображения, которая при декодировании представляет фрагмент кода JavaScript, который обращается к домену, контролируемому участником, для получения полезной нагрузки второго этапа.
"Этот код отвечает за выполнение различных вредоносных действий на целевой конфиденциальной странице с целью считывания конфиденциальных личных данных пользователя и данных кредитной карты и передачи их обратно на сервер C2 скиммера", - сказал Львовский.
Оба этих метода предназначены для обхода таких мер безопасности, как статический анализ и внешнее сканирование, эффективно продлевая срок службы цепочки атак.
Однако это третий вариант загрузки, который отличается необычной техникой сокрытия, используя страницу с ошибками по умолчанию на целевом веб-сайте. Появляясь либо в виде встроенного скрипта, либо в виде поддельного метапиксельного кода, она отправляет запрос GET на несуществующий URL-адрес веб-сайта, вызывая ответ "404 Не найдено".
Этот ответ указывает на измененную страницу с ошибкой, скрывающую внутри себя код скиммера. Скиммер работает путем наложения похожей платежной формы на страницы оформления заказа, чтобы захватить данные для последующей фильтрации в виде строки в кодировке Base64.
"Идея манипулирования страницей с ошибками 404 по умолчанию на целевом веб-сайте может предложить участникам Magecart различные творческие варианты для улучшения сокрытия и уклонения", - сказал Львовский.
"Запрос на сторонний путь, ведущий на страницу 404, является еще одним методом уклонения, который может обойти заголовки политики безопасности контента и другие меры безопасности, которые могут активно анализировать сетевые запросы на странице".