セキュリティ研究者は、非常に説得力のあるものを使用している悪意のあるキャンペーンに出くわしました, 偽のGoogleドメインを使用して、Webサイトの訪問者をだまし、ページを信頼してオンライントランザクションを実行させます.
すなわち, キャンペーンは 報告 MagentoのWebサイト所有者から連絡を受けたSucuriの研究者による. ウェブサイトの所有者は「ブラックリストに登録されており、McAfeeSiteAdvisorの「危険なサイト」の警告が表示されていました」.
Sucuriの調査により、「サイトが悪意のある国際化されたドメインgoogle-analytîcsからJavaScriptをロードするクレジットカードスキマーに感染していたことが明らかになりました。[.]com (またはxn--google-analytcs-xpb[.]ASCIIのcom).
ドメインの感染はどのように発生しましたか?
ハッカーは「無防備な被害者をだますことを目的として、意図的にドメイン名を選択しました」. 秘訣は、オンラインユーザーがGoogleなどの評判の良い名前を見て、安全に続行できると想定することです。, 実際には、悪意のあるドメインをロードしようとしているというのが真実です。.
このトリッキーな方法は、被害者をだましてフィッシングページが実際に正当であると思わせるために展開されるフィッシング攻撃でも一般的です。, 研究者は説明します.
調査により、入力データのキャプチャが他のMagentoクレジットカードスキマーと類似していることも明らかになりました. 要するに, このメカニズムは、ロードされたJavaScriptを使用して、document.getElementsByTagNameおよび入力を介して入力データをキャプチャします。, またはドロップダウンメニューデータをキャプチャするための保存された要素名を介して.
このキャンペーンの興味深い部分の1つは、ChromeまたはFirefoxブラウザーでの開発者ツールの使用に応じて戦術を変更するようにコードが設計されていることです。. 開発者ツールが用意されている場合, スキマーは情報を取得しようとはしません.
スキマーは多くの支払いゲートウェイをサポートしています, 上記の条件が満たされた場合, 盗まれた情報はリモートサーバーに送信されます, 別のグーグルドメインを装った – グーグル[.]ssl[.]lnfo[.]cc.
あなたのeコマースウェブサイトを保護するために, Magentoサイト所有者への専門家のアドバイスは、最新のセキュリティパッチが利用可能になり次第インストールすることです。. サイトを更新できない場合, Webアプリケーションファイアウォールを活用して、脆弱性に仮想的にパッチを適用できます, Sucureは追加します.