Chiến dịch được đánh dấu bằng một mức độ tùy biến đáng kể, với cách tiếp cận cá nhân nhưng rất nhất quán đối với mọi thỏa hiệp.
Một loạt các tập lệnh đánh cắp thẻ tín dụng đã xuất hiện trên web, đưa vào các trang web và giả mạo thành các tiện ích Google Analytics hoặc Angular hợp pháp để tránh thông báo của quản trị viên web.
Theo nghiên cứu từ Sucuri, mã độc bị xáo trộn và được tiêm vào các tệp tin hợp pháp, chủ yếu trên các trang web do Magento xây dựng. Tệp JS là một tệp văn bản chứa mã JavaScript được sử dụng để thực thi các lệnh JavaScript trong các trang web.
Chiến dịch này được đánh dấu bằng một mức độ tùy biến đáng kể, với cách tiếp cận cá nhân nhưng rất nhất quán đối với mọi thỏa hiệp, các nhà nghiên cứu đã giải thích trong bài đăng thứ ba . Mỗi trang web có một tập lệnh được chèn riêng, các trang bị xâm nhập, các biến và tên tệp sai lệch và các biến thể độc đáo của obfuscation.
Họ đã thêm vào ở mỗi cấp độ, họ luôn cố gắng tạo ấn tượng rằng họ làm điều gì đó hữu ích, có liên quan đến theo dõi chuyển đổi Google Analytics hoặc Magento hoặc được xây dựng với các khung JS có uy tín.
Đối với một số trang web, mã mã ẩn được tải một tập lệnh khác từ www.google-analytics [.] Cm / analytics.js. URL trông rất giống với vị trí Google Analytics thực – www.google-analytics.com/analytics.js – nhưng có tên miền cấp cao nhất .cm thay vì .com, nhóm nghiên cứu cho biết. Nếu ai đó xem tập lệnh, họ sẽ tìm thấy mã bị xáo trộn này cũng cố gắng che dấu chính nó dưới dạng GoogleAnalytics.
Trên các trang web bị xâm nhập khác, mã đánh cắp thẻ tín dụng giả mạo là mã Angular hợp pháp; Angular là khuôn khổ của Google để phát triển web. Ít nhất 40 trang web đã được tìm thấy lưu trữ các tập lệnh giả mạo này, theo Sucuri.
Mã này chứa nhiều từ khóa có liên quan đến khung JavaScript phổ biến này, chẳng hạn như Angular.io, algularToken, angularCdn và angularPages, theo bài đăng. Tuy nhiên, một phân tích kỹ lưỡng hơn cho thấy angularCdn là một URL được mã hóa, alglularToken (lưu ý lỗi đánh máy) là một khóa giải mã và phần còn lại của mã là các hàm giải mã URL và tự động tải tập lệnh từ nó.
URL đó, hxxps: //www.gooqletagmanager [.] Com / gtm.js., Cũng phản ánh chặt chẽ URL cho một dịch vụ hợp pháp; lần này, dịch vụ Trình quản lý thẻ của Google. Sự thay đổi duy nhất là một khu vực mà Jiêu thay thế cho tên Giv thứ hai trong tên của Google.
Các nhà nghiên cứu cho biết, các tập lệnh Angular giả này thường được đưa vào cơ sở dữ liệu Magento và có thể được tìm thấy trong nguồn trang web HTML trên các trang web Magento bị xâm nhập. Trong hầu hết các trường hợp, chúng không được định dạng cũng như mẫu ở trên và chỉ chiếm một dòng mã dài. Mỗi trang web có phiên bản tập lệnh riêng, với các khóa giải mã và URL được mã hóa khác nhau. Điều đáng nói là phần lớn các thẻ <script> này có các tham chiếu sai lệch khác nhau đối với google / phân tích / magento / chuyển đổi.
Các trang web bị tấn công đang phục vụ mã không giới hạn ở Magento, Sucuri nói thêm: Các trang web WordPress, Joomla và Bitrix cũng bị ảnh hưởng. Trong mọi trường hợp, các tập lệnh thu thập thông tin thanh toán từ các trang thanh toán thương mại điện tử.
Sucuri đã không xác định được các tác nhân đe dọa đằng sau chiến dịch mới nhất này, nhưng họ vẫn khẳng định đây là là một mối đe dọa ngày càng tăng, đặc biệt là trong hoạt động đồ sộ của Tập đoàn Magecart . Năm ngoái, hơn 7.000 trang web thương mại điện tử cá nhân đã bị phát hiện đã bị nhiễm skimmer thẻ thanh toán MagentoCore.net, khiến tập lệnh độc hại trở thành một trong những mối đe dọa thẻ tín dụng thành công nhất hiện có. Các bệnh nhiễm trùng là một phần của một nỗ lực duy nhất, tất cả đều gắn liền với Magecart có nguồn lực tốt, có phạm vi toàn cầu.
Quản trị viên trang web nên xem xét kỹ lưỡng việc thêm bất kỳ mã mới nào vào trang web của họ để bảo vệ người tiêu dùng của họ khỏi các loại tấn công này.
Ngay cả khi bạn không hiểu mã này làm gì, bạn có thể thừa nhận bản chất độc hại của nó nếu không có ai chịu trách nhiệm bảo trì trang web.