- Los sitios web de OpenCart fueron inyectados de malware que duplican scripts de seguimiento de confianza.
- El script está oculto en las etiquetas de análisis y los formularios de pago reales para duplicados se extinguen para formularios
- Los invasores de JavaScript descuidados permiten que la identificación pasada regrese y encienda el robo de credenciales en tiempo real
Un nuevo ataque al estilo de MagicArt ha elevado la ansiedad en el panorama de la cibergueca dirigida a sitios web de comercio electrónico dependiendo de OpenCart CMS.
Los atacantes dan inyecciones a las páginas de destino, esconden libremente su análisis de carga útil y etiquetas de marketing como Facebook Pixels, Meta Pixels y Google Tag Manager.
Expertos de C/ladoUna firma de ciberscopery que observa scripts de terceros y recursos web para detectar y prevenir ataques del lado del cliente, diciendo que el código de inyección es similar a un francotirador estándar, pero su comportamiento cuenta una historia diferente.
Técnicas de ofuscación e inyecciones de script
Esta promoción especial está codificando las URL de carga útil utilizando la base 64 y enrutar el tráfico a través de los dominios sospechosos como/tagSart.sp/CDN/Analytics.min.
Al principio, parece estar presente como un gerente estándar de Google Analytics o Tag como un script, pero de lo contrario se revela alrededor.
Cuando se decodifica y edita, el script crea un nuevo material dinámicamente, lo inserta antes de los scripts existentes y enciende el código adicional en silencio.
Luego, el malware implementó un código continuo pesado utilizando referencias hexadecimales, reconectas de matriz y decodificación vibrante para la decodificación dinámica.
La función principal de este script es inyectar un formulario de tarjeta de crédito falso durante el pago, que parece válido.
Una vez que se representa el renderizado, el formulario captura el número de tarjeta de crédito, la fecha de vencimiento y la entrada en todo el CVC. La audiencia está conectada a eventos borrosos, de Kidown y Paste, asegura que la entrada del usuario se diagnostica en cada etapa.
Es importante destacar que el ataque no depende del raspado del portapapeles y los usuarios se ven obligados a ingresar manualmente los detalles de la tarjeta.
Después de eso, dos dominios de comando en contracciones (C2): // ultracart (
En una envoltura adicional, el formulario de pago original está oculto después de enviar la información de la tarjeta: la segunda página solicita a los usuarios que ingresen más transacciones bancarias con amenazas.
Lo que se destaca en este caso es un retraso anormal largo en el uso de los datos de la tarjeta robada, que tomó varios meses en lugar de unos pocos días.
Según el informe de que una tarjeta se usó en transacciones de pago por teléfono de los Estados Unidos el 18 de junio, a la otra se le cobraron $ 47.80 a un vendedor no identificado.
Esta violación muestra el riesgo creciente en el comercio electrónico basado en SAS, donde las plataformas CMS como OpenCart se convierten en un objetivo suave para el malware avanzado.
Por lo tanto, existe la necesidad de un sistema de seguridad más potente más allá de los firewalls básicos.
Las plataformas automáticas como C/Side afirman identificar la amenaza identificando el JavaScript descuidado, la inyección de forma no autorizada y el comportamiento de script extraordinario.
A medida que los atacantes se desarrollan, incluso la despliegue de CMS pequeño debe estar atento, y el monitoreo en tiempo real y la inteligencia de amenazas ya no deberían ser Al-Al para que los proveedores de comercio electrónico protejan la confianza de sus clientes.
