Sikkerhed forskere stødte på en ondsindet kampagne, der bruger ganske overbevisende, falske Google-domæner at narre besøgende ind tillidsfuld siderne for at udføre online transaktioner.
Mere specifikt, kampagnen var rapporteret af Sucuri forskere, der blev kontaktet af en Magento hjemmeside ejer. En boardadministrator ”var blevet sortlistet og oplevede McAfee SiteAdvisors’Dangerous site’advarsler”.
Sucuri undersøgelse ”afslørede, at stedet var blevet smittet med et kreditkort hulske lastning JavaScript fra de ondsindede internationaliseret domæne google-analytics[.]med (eller Xn - Google-analytcs-XPB[.]com i ASCII).
Hvordan har infektionen af domænet finde sted?
Hackere ”valgt med vilje domænenavnet med den hensigt at bedrage intetanende ofre”. Tricket er, at online-brugere ser en velrenommeret navn som Google og påtage sig de er sikre at fortsætte, når de i virkeligheden sandheden er, at de er ved at indlæse en ondsindet domæne.
Denne tricky metode er også almindelig i phishing-angreb, hvor det er indsat for at narre ofre til at tro, en phishing side er faktisk legitimt, forskerne forklare.
Undersøgelsen afslører også, at indfangning datainput ligner andre Magento kreditkort skummere. Kort, mekanismen anvender loaded JavaScript fange eventuelle inputdata via document.getElementsByTagName og input, eller via lagrede element navne for at opfange rullemenu data.
En af de interessante dele af denne kampagne er, at koden er designet til at ændre taktik afhængig af brugen af udviklingsværktøjer i Chrome eller Firefox browsere. Hvis udviklingsværktøjer er på plads, skimmer vil ikke forsøge at få fat i alle oplysninger.
Den skummer understøtter mange betalingsgateways, og i tilfælde af ovennævnte betingelse er opfyldt, de stjålne oplysninger sendes til en ekstern server, forklædt som en anden Google-domæne – google[.]ssl[.]lnfo[.]cc.
For at beskytte din e-handels website, eksperternes råd til Magento webstedsejere er at installere de nyeste sikkerhedsrettelser, så snart de bliver tilgængelige. Hvis du ikke er i stand til at opdatere din hjemmeside, du kan udnytte en webapplikation firewall til næsten lappe eventuelle sårbarheder, Sucure tilføjer.