Хакеры прячут веб-скиммер в WooCommerce-модуле обработки платежей

Хакеры прячут веб-скиммер в WooCommerce-модуле обработки платежей

Хакеры прячут веб-скиммер в WooCommerce-модуле обработки платежей

Один из клиентов Sucuri получил неприятное уведомление от банка: данные засветившихся в его интернет-магазине кредиток попали в руки мошенников. Оказалось, что на сайте работает веб-скиммер, который во избежание обнаружения спрятан в файлах, обеспечивающих интеграцию платежного шлюза Authorize.net с WooCommerce и WordPress.

Это необычный случай: подобные инъекции на сайтах электронной коммерции обычно сводятся к внедрению вредоносных JavaScript в HTML-шаблон магазина или страницы оформления заказа. Кража данных платежных карт и ПДн происходит, когда покупатель заполняет соответствующую веб-форму.

Выявить такую угрозу можно сканированием HTML на стороне клиента, и многие коммерсанты уже подписались на услуги специалистов в этой области. Взломщики теперь вынуждены тратить больше усилий и проявлять изобретательность, чтобы скрыть вредоносные инъекции.

В рамках выявленной атаки на интернет-магазин хакеры внедрили свои скрипты в расширение Authorize.net для WooCommerce. Один вредонос был добавлен к файлу class-wc-authorize-net-cim.php; он ищет в HTTP-запросах строку wc-authorize-net-cim-credit-card-account-number и при положительном результате генерирует случайный пароль, шифрует платежные данные по AES-128-CBC и сохраняет итог в файле изображений для последующего вывода.

Второй вредоносный код был обнаружен в файле wc-authorize-net-cim.min.js. Он собирает дополнительную информацию из веб-форм: имя жертвы, адрес доставки, номер телефона, почтовый индекс или зип-код.

По словам экспертов, повышенная скрытность в данном случае достигается за счет нескольких факторов:

  • нестандартный выбор объектов для инъекций;
  • использование сильного шифрования и отложенного вывода краденых данных;
  • использование Heartbeat API, встроенного в WordPress, для сокрытия несанкционированной эксфильтрации данных в регулярном трафике.

Фейковый Google Play маскирует онлайн-казино под приложения Tesco, Amazon

Мошенники нашли красивую упаковку для старой схемы: берут известный бренд, рисуют фейковую страницу Google Play, запускают рекламу в соцсетях и под видом официального приложения ведут пользователя в онлайн-казино. В объявлениях злоумышленники используют названия и визуальный стиль известных компаний, включая Tesco, Amazon, Monzo, Revolut и стриминговые сервисы.

По данным Netcraft, кампания продвигается через платную рекламу в Facebook, Instagram, Threads (все три принадлежат корпорации Meta, признанной экстремистской и запрещённой в России) и TikTok.

Где-то всё выглядит примитивно — просто «Brand Slots». А где-то уже почти спектакль: поддельные интерфейсы, фальшивые отзывы, липовые данные из магазинов приложений и даже ИИ-видео с якобы сотрудниками бренда.

 

Главная легенда — официальный запуск слотов или казино-приложения от известной компании. Пользователь кликает по рекламе и попадает на страницу, похожую на Google Play, App Store или сайт бренда. Но кнопка «Install» не ведёт в настоящий магазин приложений. Вместо этого браузер предлагает добавить на главный экран PWA — прогрессивное веб-приложение.

После установки такая штука выглядит как обычное приложение: с иконкой, названием и оформлением под бренд. На деле это тонкая обёртка, которая открывает сторонний сайт онлайн-казино. То есть пользователь думал, что ставит «Amazon Slots» или «Monzo Slots», а получил ярлык на азартную площадку.

Netcraft считает, что схему подпитывает партнёрская экономика. В PWA и ссылках есть параметры, которые позволяют отслеживать регистрации и депозиты. По открытым данным, выплаты за игрока, внесшего депозит, могут составлять от $50 до $350. С такими ставками мошенникам есть смысл вкладываться в правдоподобные объявления и массовый запуск рекламы.

В некоторых кампаниях использовались фейковые страницы с вымышленными разработчиками, скачиваниями и отзывами. Были и интерактивные приманки вроде колеса удачи с гарантированным выигрышем, после которого пользователя просили установить PWA, чтобы забрать приз.

Опасность здесь не только в потерянных деньгах. Такие PWA размывают границу между настоящим приложением и подделкой: браузерная оболочка минимальна, и всё выглядит почти как фирменный сервис. Только фирменного там — разве что украденный логотип.

RSS: Новости на портале Anti-Malware.ru