Google Analytics et Angular dans les scripts Magento pour voler des cartes de crédit

Au cours des derniers mois, nous avons remarqué plusieurs scripts de vol de cartes de crédit qui utilisent des variantes de Google Analytics Nom pour les rendre moins suspects et éviter d’être détectés par les propriétaires de sites Web.

Le code malveillant est obscurci et stocké dans des fichiers JS légitimes tels que skin / frontend / default / theme122k / js / jquery.jscrollpane.min.js, js / meigee / jquery.min.js, et js / varien / js.js..

Code malveillant déguisé inséré dans des fichiers JS — Code injecté

Le code obscurci charge un autre script www.google-analysis[.]cm/analytics.js. L’URL ressemble beaucoup à l’emplacement réel de Google Analytics. www.google-analytics.com/analytics.js – mais a .cm Domaine de premier niveau à la place .Avec.

Mettre à jour: Le 17 janvier 2019, les attaquants ont créé un autre domaine en utilisant le même script sur le même serveur (5.188.9.40): googlc-Une analyse[.]cm/analytics.js. Ce serveur héberge également le analytiquement[.]est Domaine enregistré le 28 décembre 2018.

Quand quelqu’un regarde le script, il trouve ce code obscurci qui essaie également de se masquer comme Google Analytics.

Code obscurci, masqué comme Google Analytics — www.google-analysis[.]cm / code d’analyse.js

Cependant, si vous prenez le temps de le déchiffrer, sa nature malveillante devient évidente – le vol des informations de carte de crédit des formulaires de caisse.

Faux script angulaire

Dans certains endroits, l’obscurcissement est moins évident. À première vue, on dirait que c’est légitime Angulaire Code.

Faux code d'angle — Script « angulaire » injecté

Le code contient de nombreux mots-clés pertinents pour ce framework JavaScript populaire, tels que: Angular.io, unelgularToken, angleCdn, et côtés angulaires. Cependant, une analyse plus approfondie montre que angleCdn est une URL chiffrée, unelglularToken (Notez la faute de frappe) est une clé de déchiffrement, et le reste du code est constitué de fonctions qui décodent l’url et chargent dynamiquement un script à partir de celle-ci.

Dans ce cas particulier, l’URL est hxxps: //www.gooqletagmanager[.]com / gtm.js. Encore une fois, le domaine prétend être un service légitime. On dirait qu’il fait partie du service populaire Google Tag Manager, mais il a Q. Remplacez le second g au nom de google. C’est aussi un voleur de carte de crédit.

Une autre variante que l’on peut trouver sur les sites Web Magento compromis est hxxps: // googletagmanager[.]moi/gtm.js.

Plus de voleurs angulaires

Ces faux scripts Angular sont généralement injectés dans la base de données Magento et résident dans la source HTML des pages Web sur les sites Web Magento compromis. Au moment de la rédaction de cet article, c’était PublicWWW trouve 40 emplacements contient ces faux scripts angulaires.

Dans la plupart des cas, ils ne sont pas aussi bien formatés que l’exemple ci-dessus et ne prennent qu’une seule et longue ligne de code.

Chaque site a sa propre version du script avec différentes clés de déchiffrement et URL chiffrées. Il est à noter que la majorité de ces