Исследователи Sucuri обнаружили новую кампанию по краже данных банковских карт, нацеленную на интернет-магазины, использующие платформу Magento. Злоумышленники прячут вредоносный код в HTML-разметке, маскируя его под изображения, чтобы оставаться незамеченными.
MageCart — это название группы вредоносных программ, которые крадут платёжные данные с онлайн-платформ. Для этого атакующие используют различные методы взлома, как на стороне клиента, так и на сервере, чтобы внедрить скрытые скиммеры на страницы оформления покупок. Зачастую вредоносный код активируется именно на этапе оплаты, подменяя форму ввода или перехватывая вводимые пользователями данные в режиме реального времени.
Название MageCart связано с первоначальной целью атак — платформой Magento, предоставляющей функции корзины и оформления заказов. Со временем злоумышленники усовершенствовали тактику, скрывая вредоносные скрипты внутри поддельных изображений, аудиофайлов, иконок и даже страниц с ошибкой 404.
Новая атака отличается особой скрытностью: вредоносный код внедрён в тег <img> внутри HTML-страницы. Исследователи компании Sucuri отмечают, что этот способ позволяет избежать внимания защитных систем. Поскольку изображения часто содержат длинные строки, например, пути к файлам или закодированные данные, присутствие скрытого кода не вызывает подозрений.
Главная хитрость заключается в использовании события «onerror». Обычно браузер применяет его, если изображение не загружается, но в данном случае оно служит для выполнения JavaScript-кода. Таким образом, браузер воспринимает внедрённый скрипт как часть стандартного механизма обработки ошибок.
После активации вредоносный код проверяет, открыта ли страница оплаты, и при нажатии пользователем кнопки подтверждения платежа отправляет данные на удалённый сервер. Поддельная форма запрашивает номер карты, срок её действия и CVV-код, а затем передаёт их злоумышленникам через ресурс «wellfacing[.]com».
Эксперты отмечают, что атака отличается не только скрытностью, но и высокой эффективностью. Киберпреступники достигают сразу двух целей: обходят защитные сканеры благодаря маскировке в тегах <img> и минимизируют вероятность обнаружения пользователями, поскольку поддельная форма выглядит легитимно.
Вредоносные скрипты часто шифруются и используют нестандартные методы сокрытия. Такие угрозы демонстрируют, насколько изобретательными становятся хакеры, и подчёркивают важность постоянного мониторинга безопасности онлайн-магазинов.