Meta Pixel: полезный инструмент веб-аналитики или ловушка для вашего кошелька?

Недавно специалисты по кибербезопасности обнаружили в киберпространстве специализированной скрипт для похищения информации, который маскируется под популярный инструмент веб-аналитики Meta Pixel. Выявленная мошенническая операция призвана собирать данные кредитных карт у ничего не подозревающих пользователей.

Компания Sucuri сообщила, что зловредный код внедряется в веб-сайты через инструменты для добавления пользовательского кода, такие как плагины WordPress или раздел «Miscellaneous Scripts» в панели управления Magento.

«Редакторы пользовательских скриптов привлекательны для злоумышленников, так как позволяют вставлять сторонний JavaScript-код, который может выдавать себя за безобидный, имитируя названия популярных скриптов, таких как, например, Google Analytics», — отметил исследователь безопасности Мэтт Морроу.

Фальшивый скрипт трекера Meta Pixel содержит элементы, схожие с законным, однако при более тщательном изучении обнаруживается дополнительный JavaScript-код. Этот код заменяет ссылки на домен «connect.facebook[.]net» на «b-connected[.]com», что в итоге приводит к загрузке оттуда вредоносного скрипта «fbevents.js». Этот скрипт активируется на страницах оформления заказа и отображает мошенническую форму для сбора данных кредитных карт.

Отмечается, что «b-connected[.]com» — это законный сайт электронной торговли, который был скомпрометирован злоумышленниками и использован для размещения скиммера. Собранные данные затем отправлялись на другой скомпрометированный сайт («donjuguetes[.]es»).

Скиммеры кредитных карт часто активируются при обнаружении ключевых слов, таких как «checkout». «Так как большинство страниц оформления заказа генерируется динамически, эти скрипты ускользают от общедоступных сканеров, и единственный способ обнаружить вредоносное ПО — вручную проверить исходный код страницы или сетевой трафик», — сообщил специалист Sucuri.

Кроме того, недавно компания выявила, что сайты на базе WordPress и Magento стали целью для другого вида вредоносного ПО — Magento Shoplift, обнаруженного в сентябре 2023 года. Этот код начинает свою атаку с внедрения зашифрованного JavaScript, который маскируется под скрипт Google Analytics. «WordPress активно используется в электронной коммерции благодаря плагинам, таким как Woocommerce, что делает эти магазины привлекательной целью для атак», — объяснили исследователи.

Киберпреступники в наше время используют всё более изощренные методы для похищения личных данных пользователей. Они умело маскируют свои вредоносные скрипты под популярные веб-инструменты, практически не вызывая подозрений.

В борьбе с такими угрозами нельзя расслабляться — владельцам сайтов необходимо постоянно повышать уровень их кибербезопасности, тщательно проверять сторонние компоненты, регулярно обновлять системы и бдительно следить за подозрительной активностью. В свою очередь, конечным пользователям также нужно проявлять повышенную бдительность, чтобы не стать жертвой подобного рода угроз.