Чекаут с сюрпризом: ввод данных карты заканчивается полнейшим фиаско

В преддверии «Чёрной пятницы» исследователи компании Sucuri обнаружили новую атаку на сайты, работающие на платформе Magento. Злоумышленники внедряют вредоносный JavaScript, который крадёт данные с платёжных страниц интернет-магазинов. Эта атака отличается сложными методами сокрытия, что затрудняет её обнаружение.

Скрипт работает двумя способами: создаёт поддельную форму для ввода данных карты или извлекает информацию напрямую из полей оплаты. Затем данные шифруются и отправляются на сервер злоумышленников. Сайты на Magento часто становятся целями хакеров из-за их популярности и объёма обрабатываемых платёжных данных.

Скрипт активируется только на страницах с ключевым словом «checkout» в URL, исключая «cart». После выполнения задачи вредоносная программа через API Magento собирает дополнительные данные — имя пользователя, адрес, email, телефон и другую информацию.

Для шифрования украденных данных используется метод XOR с ключом «script», после чего данные кодируются в формате Base64 и отправляются на удалённый сервер.

Эксперты рекомендуют администраторам сайтов регулярно проводить аудиты безопасности, обновлять программное обеспечение, использовать WAF (веб-аппликационный файрвол) и уникальные пароли. Внедрение мониторинга целостности файлов также помогает своевременно выявлять изменения.

Magento остаётся популярной платформой, но её уязвимости продолжают привлекать внимание киберпреступников. Без тщательной защиты такие атаки могут привести к утечке данных тысяч пользователей.