Вредоносный код в тегах <img>: новая угроза для онлайн-платежей

Исследователи Sucuri обнаружили новую кампанию по краже данных банковских карт, нацеленную на интернет-магазины, использующие платформу Magento. Злоумышленники прячут вредоносный код в HTML-разметке, маскируя его под изображения, чтобы оставаться незамеченными.

MageCart — это название группы вредоносных программ, которые крадут платёжные данные с онлайн-платформ. Для этого атакующие используют различные методы взлома, как на стороне клиента, так и на сервере, чтобы внедрить скрытые скиммеры на страницы оформления покупок. Зачастую вредоносный код активируется именно на этапе оплаты, подменяя форму ввода или перехватывая вводимые пользователями данные в режиме реального времени.

Название MageCart связано с первоначальной целью атак — платформой Magento, предоставляющей функции корзины и оформления заказов. Со временем злоумышленники усовершенствовали тактику, скрывая вредоносные скрипты внутри поддельных изображений, аудиофайлов, иконок и даже страниц с ошибкой 404.

Новая атака отличается особой скрытностью: вредоносный код внедрён в тег <img> внутри HTML-страницы. Исследователи компании Sucuri отмечают, что этот способ позволяет избежать внимания защитных систем. Поскольку изображения часто содержат длинные строки, например, пути к файлам или закодированные данные, присутствие скрытого кода не вызывает подозрений.

Главная хитрость заключается в использовании события «onerror». Обычно браузер применяет его, если изображение не загружается, но в данном случае оно служит для выполнения JavaScript-кода. Таким образом, браузер воспринимает внедрённый скрипт как часть стандартного механизма обработки ошибок.

После активации вредоносный код проверяет, открыта ли страница оплаты, и при нажатии пользователем кнопки подтверждения платежа отправляет данные на удалённый сервер. Поддельная форма запрашивает номер карты, срок её действия и CVV-код, а затем передаёт их злоумышленникам через ресурс «wellfacing[.]com».

Эксперты отмечают, что атака отличается не только скрытностью, но и высокой эффективностью. Киберпреступники достигают сразу двух целей: обходят защитные сканеры благодаря маскировке в тегах <img> и минимизируют вероятность обнаружения пользователями, поскольку поддельная форма выглядит легитимно.

Атаки на платформы вроде Magento, WooCommerce и PrestaShop продолжают развиваться, становясь всё более сложными. Вредоносные скрипты часто шифруются и используют нестандартные методы сокрытия. Такие угрозы демонстрируют, насколько изобретательными становятся киберпреступники, и подчёркивают важность постоянного мониторинга безопасности онлайн-магазинов.