Beveiliging onderzoekers kwam een kwaadaardige campagne die gebruikmaakt van heel overtuigend, nep-Google-domeinen om websitebezoekers te verleiden tot het vertrouwen van de pagina's om online transacties te verrichten.
Specifieker, de campagne was gerapporteerd door Sucuri onderzoekers die werden benaderd door een Magento website eigenaar. De eigenaar van deze website “was op de zwarte lijst en ervoer McAfee SiteAdvisor‘Dangerous Site’waarschuwingen”.
Sucuri's onderzoek “onthulde dat de site was besmet met een creditcard skimmer laden JavaScript uit de kwaadaardige Internationalized Domain google-analytics[.]met (of xn - google-analytcs-XPB-[.]com in ASCII).
Hoe heeft de infectie van het domein plaatsvinden?
Hackers “met opzet gekozen voor de domeinnaam met de bedoeling te misleiden nietsvermoedende slachtoffers”. De truc is dat online gebruikers te zien krijgen een gerenommeerde naam zoals Google en neem aan dat ze veilig zijn om door te gaan, terwijl het in feite de waarheid is dat ze op het punt om een kwaadaardig domein wilt laden.
Dit lastige methode is ook gebruikelijk in phishing-aanvallen waar het wordt ingezet om de slachtoffers te laten denken dat een phishing-pagina is eigenlijk legitiem, de onderzoekers verklaren.
Uit het onderzoek blijkt ook dat de input data capture is vergelijkbaar met andere Magento credit card skimmers. Kortom, het mechanisme gebruikt loaded JavaScript alle ingevoerde gegevens via de document.getElementsByTagName en input vangen, of via opgeslagen element namen voor het vastleggen van drop-down menu data.
Een van de interessante delen van deze campagne is dat de code is ontworpen om tactiek, afhankelijk van het gebruik van developer tools in Chrome of Firefox-browsers veranderen. Als developer tools op hun plaats, de skimmer zal niet proberen om alle informatie te grijpen.
De skimmer ondersteunt vele betalingsgateways, en indien de bovenstaande voorwaarde wordt voldaan, de gestolen informatie wordt verzonden naar een externe server, vermomd als een ander Google-domein – google[.]ssl[.]lnfo[.]cc.
Om uw e-commerce website te beschermen, het deskundigenadvies voor Magento site-eigenaren is om de nieuwste security patches zodra ze beschikbaar zijn te installeren. Als u niet in staat om uw site bij te werken zijn, kunt u een webapplicatie firewall gebruiken om vrijwel patchen alle kwetsbaarheden, Sucure voegt.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: