Мошенники внедряют вредоносный код туда, где меньше всего ожидаешь его увидеть.
Недавно специалисты по кибербезопасности обнаружили в киберпространстве специализированной скрипт для похищения информации, который маскируется под популярный инструмент веб-аналитики Meta Pixel. Выявленная мошенническая операция призвана собирать данные кредитных карт у ничего не подозревающих пользователей.
Компания Sucuri сообщила, что зловредный код внедряется в веб-сайты через инструменты для добавления пользовательского кода, такие как плагины WordPress или раздел «Miscellaneous Scripts» в панели управления Magento.
«Редакторы пользовательских скриптов привлекательны для злоумышленников, так как позволяют вставлять сторонний JavaScript-код, который может выдавать себя за безобидный, имитируя названия популярных скриптов, таких как, например, Google Analytics», — отметил исследователь безопасности Мэтт Морроу.
Фальшивый скрипт трекера Meta Pixel содержит элементы, схожие с законным, однако при более тщательном изучении обнаруживается дополнительный JavaScript-код. Этот код заменяет ссылки на домен «connect.facebook[.]net» на «b-connected[.]com», что в итоге приводит к загрузке оттуда вредоносного скрипта «fbevents.js». Этот скрипт активируется на страницах оформления заказа и отображает мошенническую форму для сбора данных кредитных карт.
Отмечается, что «b-connected[.]com» — это законный сайт электронной торговли, который был скомпрометирован злоумышленниками и использован для размещения скиммера. Собранные данные затем отправлялись на другой скомпрометированный сайт («donjuguetes[.]es»).
Скиммеры кредитных карт часто активируются при обнаружении ключевых слов, таких как «checkout». «Так как большинство страниц оформления заказа генерируется динамически, эти скрипты ускользают от общедоступных сканеров, и единственный способ обнаружить вредоносное ПО — вручную проверить исходный код страницы или сетевой трафик», — сообщил специалист Sucuri.
Кроме того, недавно компания выявила, что сайты на базе WordPress и Magento стали целью для другого вида вредоносного ПО — Magento Shoplift, обнаруженного в сентябре 2023 года. Этот код начинает свою атаку с внедрения зашифрованного JavaScript, который маскируется под скрипт Google Analytics. «WordPress активно используется в электронной коммерции благодаря плагинам, таким как Woocommerce, что делает эти магазины привлекательной целью для атак», — объяснили исследователи.
Киберпреступники в наше время используют всё более изощренные методы для похищения личных данных пользователей. Они умело маскируют свои вредоносные скрипты под популярные веб-инструменты, практически не вызывая подозрений.
В борьбе с такими угрозами нельзя расслабляться — владельцам сайтов необходимо постоянно повышать уровень их кибербезопасности, тщательно проверять сторонние компоненты, регулярно обновлять системы и бдительно следить за подозрительной активностью. В свою очередь, конечным пользователям также нужно проявлять повышенную бдительность, чтобы не стать жертвой подобного рода угроз.
Сбалансированная диета для серого вещества