Cybersecurity-onderzoekers hebben een creditcardskimmer ontdekt die verborgen is in een nep Meta Pixel-trackerscript in een poging detectie te omzeilen.
Sucuri zei dat de malware in websites wordt geïnjecteerd via tools die aangepaste code mogelijk maken, zoals WordPress-plug-ins zoals Simple Custom CSS en JS of de sectie ‘Miscellaneous Scripts’ van het Magento-beheerderspaneel.
“Aangepaste scripteditors zijn populair bij slechte actoren omdat ze JavaScript van externe derden (en kwaadaardige) toestaan en gemakkelijk kunnen doen alsof ze goedaardig zijn door gebruik te maken van naamgevingsconventies die overeenkomen met populaire scripts zoals Google Analytics of bibliotheken zoals JQuery”, zegt beveiligingsonderzoeker Matt Morrow. .
Het valse Meta Pixel-trackerscript dat door het webbeveiligingsbedrijf is geïdentificeerd, bevat vergelijkbare elementen als zijn legitieme tegenhanger, maar bij nader onderzoek blijkt de toevoeging van JavaScript-code die verwijzingen naar het domein “connect.facebook” vervangt.[.]net” met “b-verbonden[.]com.”
Terwijl het eerstgenoemde een echt domein is dat is gekoppeld aan de Pixel-trackingfunctionaliteit, wordt het vervangende domein gebruikt om een aanvullend kwaadaardig script (“fbevents.js”) te laden dat controleert of een slachtoffer zich op een afrekenpagina bevindt en, zo ja, een frauduleuze overlay om hun creditcardgegevens op te halen.
Het is vermeldenswaard dat “b-connected[.]com” is een legitieme e-commercewebsite die op een gegeven moment is gecompromitteerd om de skimmercode te hosten. Bovendien wordt de informatie die in het nepformulier wordt ingevoerd, geëxfiltreerd naar een andere gecompromitteerde site (“www.donjuguetes[.]es”).
Om dergelijke risico's te beperken, wordt aanbevolen om de sites up-to-date te houden, periodiek beheerdersaccounts te controleren om te bepalen of ze allemaal geldig zijn, en wachtwoorden regelmatig bij te werken.
Dit is vooral belangrijk omdat bekend is dat bedreigingsactoren zwakke wachtwoorden en fouten in WordPress-plug-ins gebruiken om verhoogde toegang tot een doelsite te krijgen en malafide beheerders toe te voegen, die vervolgens worden gebruikt om verschillende andere activiteiten uit te voeren, waaronder het toevoegen van extra plug-ins en backdoors.
“Omdat creditcardstelers vaak wachten op trefwoorden als 'checkout' of 'onepage', worden ze mogelijk pas zichtbaar nadat de betaalpagina is geladen”, aldus Morrow.
“Aangezien de meeste betaalpagina's dynamisch worden gegenereerd op basis van cookiegegevens en andere variabelen die aan de pagina worden doorgegeven, omzeilen deze scripts openbare scanners en is de enige manier om de malware te identificeren het controleren van de paginabron of het bekijken van netwerkverkeer. Deze scripts worden stil uitgevoerd in de achtergrond.”
De ontwikkeling komt omdat Sucuri ook onthulde dat sites die zijn gebouwd met WordPress en Magento het doelwit zijn van een andere malware genaamd Magento Shoplift. Eerdere varianten van Magento Shoplift zijn sinds september 2023 in het wild aangetroffen.
De aanvalsketen begint met het injecteren van een versluierd JavaScript-fragment in een legitiem JavScript-bestand dat verantwoordelijk is voor het laden van een tweede script vanuit jqueurystatics[.]com via WebSocket Secure (WSS), dat op zijn beurt is ontworpen om het skimmen van creditcards en gegevensdiefstal te vergemakkelijken, terwijl het zich voordoet als een Google Analytics-script.
“WordPress is ook een enorme speler in e-commerce geworden, dankzij de adoptie van Woocommerce en andere plug-ins die een WordPress-site gemakkelijk kunnen veranderen in een volledig uitgeruste online winkel”, aldus onderzoeker Puja Srivastava.
“Deze populariteit maakt WordPress-winkels ook tot een belangrijk doelwit – en aanvallers passen hun MageCart e-commerce-malware aan om zich op een breder scala aan CMS-platforms te richten.”
