Au cours des derniers mois, nous avons remarqué plusieurs scripts de vol de cartes de crédit qui utilisent des variantes de Google Analytics Nom pour les rendre moins suspects et éviter d’être détectés par les propriétaires de sites Web.
Le code malveillant est obscurci et stocké dans des fichiers JS légitimes tels que skin / frontend / default / theme122k / js / jquery.jscrollpane.min.js, js / meigee / jquery.min.js, et js / varien / js.js..

Le code obscurci charge un autre script www.google-analysis[.]cm/analytics.js. L’URL ressemble beaucoup à l’emplacement réel de Google Analytics. www.google-analytics.com/analytics.js – mais a .cm Domaine de premier niveau à la place .Avec.
Mettre à jour: Le 17 janvier 2019, les attaquants ont créé un autre domaine en utilisant le même script sur le même serveur (5.188.9.40): googlc-Une analyse[.]cm/analytics.js. Ce serveur héberge également le analytiquement[.]est Domaine enregistré le 28 décembre 2018.
Quand quelqu’un regarde le script, il trouve ce code obscurci qui essaie également de se masquer comme Google Analytics.
Cependant, si vous prenez le temps de le déchiffrer, sa nature malveillante devient évidente – le vol des informations de carte de crédit des formulaires de caisse.
Faux script angulaire
Dans certains endroits, l’obscurcissement est moins évident. À première vue, on dirait que c’est légitime Angulaire Code.

Le code contient de nombreux mots-clés pertinents pour ce framework JavaScript populaire, tels que: Angular.io, unelgularToken, angleCdn, et côtés angulaires. Cependant, une analyse plus approfondie montre que angleCdn est une URL chiffrée, unelglularToken (Notez la faute de frappe) est une clé de déchiffrement, et le reste du code est constitué de fonctions qui décodent l’url et chargent dynamiquement un script à partir de celle-ci.
Dans ce cas particulier, l’URL est hxxps: //www.gooqletagmanager[.]com / gtm.js. Encore une fois, le domaine prétend être un service légitime. On dirait qu’il fait partie du service populaire Google Tag Manager, mais il a Q. Remplacez le second g au nom de google. C’est aussi un voleur de carte de crédit.
Une autre variante que l’on peut trouver sur les sites Web Magento compromis est hxxps: // googletagmanager[.]moi/gtm.js.
Plus de voleurs angulaires
Ces faux scripts Angular sont généralement injectés dans la base de données Magento et résident dans la source HTML des pages Web sur les sites Web Magento compromis. Au moment de la rédaction de cet article, c’était PublicWWW trouve 40 emplacements contient ces faux scripts angulaires.
Dans la plupart des cas, ils ne sont pas aussi bien formatés que l’exemple ci-dessus et ne prennent qu’une seule et longue ligne de code.
Chaque site a sa propre version du script avec différentes clés de déchiffrement et URL chiffrées. Il est à noter que la majorité de ces Les balises ont diverses références trompeuses à Google / Analytics / Magento / Conversions, comme:
<script type="text/javascript" id="google_js_analytics"> <script type="text/javascript" id="mag_checkout_analytics"> <script id="magento_conversion" type="text/javascript"> <script id="google_conversion_analytics" type="text/javascript"> <script type="text/javascript" id="magento_analytics_js"> <script type="text/javascript" id="google_conversion">

Faux scripts d'analyse sur des sites Web piratés
Tous ces scripts chargent les voleurs de cartes de crédit à partir de différentes URL. Contrairement aux exemples présentés ci-dessus, qui se trouvent sur les domaines spécifiquement créés pour l'attaque, cette charge utile est hébergée sur des sites Web tiers vulnérables.
Ces sites Web piratés ne se limitent pas à Magento. L'analyse de la structure des URL montre que ces sites sont exploités par différents CMS, principalement par WordPress, Joomla, et Bitrix. Les scripts malveillants sont cachés profondément dans les sous-répertoires et ont des noms qui contiennent des mots tels que Google / Analytics / Conversion / Magento en eux.
https://m***m.com/wp-content/themes/__MACOSX/pluto/js/analytics.js https://z***a.kiev.ua/bitrix/modules/iblock/lib/component/conversion_analytics.js https://u***n.com/wp-content/themes/Avada/framework/plugins/importer/lifestyle_demo/conversion_analytics.js https://u***n.com/wp-includes/js/tinymce/conversion_analytics.js https://v***s.com/test/wp-includes/js/tinymce/plugins/paste/conversion.js https://www.b***l.com/wp-content/plugins/jetpack/modules/tiled-gallery/magento_analytics.js https://l***d.ru/bitrix/cache/s1/bitrix/menu/06f/6b/magento_analytics.js https://k***k.eu/scripts/contentslider/_notes/magento_analytics.js https://d***n.nl/jscripts/tiny_mce/plugins/advimage/langs/conversion_analytics.js https://e***z.ru/bitrix/components/bitrix/news.detail/lang/ru/magento_analytics.js https://l***a.ru/wp-content/plugins/jetpack/modules/theme-tools/site-logo/analytics.js https://g***r.com/wp-content/plugins/yith-woocommerce-wishlist/plugin-fw/templates/metaboxes/types/analytics.js https://t***h.net/wp-includes/js/analytics.js https://c***c.ca/wp-admin/cache/google_analytics.js https://a***m.org.au/wp-content/plugins/wordpress-access-control/documentation/conversion.js https://www.i***t.uk.com/wp-content/plugins/standout-color-boxes-and-buttons/images/conversion.js https://t***a.go.tz/newsite/administrator/language/conversion_analytics.js https://t***s.be/wp-includes/js/tinymce/plugins/wpeditimage/conversion_analytics.js https://o***s.net/wp-content/themes/twentyfourteen/inc/google_analytics.js https://s***a.org/wp-content/uploads/2016/08/magento_analytics.js https://r***s.net/old/components/com_jce/editor/tiny_mce/plugins/style/classes/google_analytics.js https://d***m.pl/wp-content/plugins/js_composer/assets/js/frontend_editor/vendors/conversion.js https://p***d.sk/wp-content/plugins/s2member/src/images/google_analytics.js https://l***r.com/old/gms/client_scripts/fckeditor/editor/filemanager/_notes/conversion.js https://r***n.com/wp-content/themes/rs-card/colors/conversion_analytics.js https://l***o.com/wp-content/plugins/lightning-wp-pro-final/google-api-php-client/src/external/google_analytics.js https://p***i.rj.gov.br/plugins/osmap/com_virtuemart/magento_analytics.js https://k***r.in/wp-admin/css/conversion_analytics.js https://n***s.net.au/wp-content/plugins/form-maker/magento_analytics.js https://p***k.com/wp-content/plugins/meta-box/google_analytics.js https://l***y.com/wp-content/plugins/menu-icons/languages/google_analytics.js https://m***s.com/divi/wp-content/themes/twentyseventeen/assets/conversion.js https://www.l***r.com/wp-includes/fonts/conversion.js https://n***n.com/plugins/system/t3/base-bs3/fonts/font-awesome/css/magento_analytics.js
Tous ces fichiers n'existent pas encore - certains ont été supprimés. Certains des domaines de ces sites Web compromis ont expiré depuis l'été dernier. Dans les fichiers qui sont toujours là, nous voyons du code fortement obscurci avec très peu de mots-clés lisibles par l'homme. Les mots-clés reconnaissables donnent la fausse impression que le script est associé à un service d'analyse (par ex. Analytique, AnalyticsId). Cependant, l'analyse révèle un code qui envoie les données du formulaire de paiement à un script PHP dans un répertoire différent sur le même site compromis.
Conclusion
Dans l'ensemble, cette attaque montre un degré considérable de personnalisation, les attaquants choisissant une approche individuelle mais très cohérente pour chaque compromis.
Chaque site a son propre ensemble de scripts injectés, de sites compromis, de variables et de noms de fichiers trompeurs et de variations uniques d'obscurcissement. Dans le même temps, ils essaient systématiquement à tous les niveaux de donner l'impression qu'ils font quelque chose d'utile, lié à Google Analytics ou au suivi des conversions Magento, ou qu'ils ont été créés avec des frameworks JS réputés.
Une analyse des sites Web compromis montre qu'à un moment donné, ils ont été infectés par plusieurs scripts malveillants différents. Finalement, leurs webmasters ont découvert et supprimé des logiciels malveillants, mais ils n'ont pas été en mesure de supprimer les logiciels malveillants décrits dans cet article.
Les scripts de ce malware sont commentés sur certains sites Web. Cela nous porte à croire que les administrateurs du site les ont remarqués, mais ne savaient pas s'ils faisaient partie d'un code légitime et ont plutôt décidé de simplement le commenter. Cela montre que cette approche réussit très bien à allonger le délai entre l'infection du site Web et la suppression des logiciels malveillants.
Cette campagne malveillante montre l'importance du contrôle de l'intégrité à la fois pour les fichiers du serveur et les enregistrements de base de données, en particulier ceux qui contiennent du code utilisé pour la génération de pages Web et le traitement des paiements.
Nous encourageons vivement les propriétaires de sites Web à examiner tout changement ou ajout de nouveau code à leur site Web. Même si vous ne comprenez pas ce que fait le code, vous pouvez assumer sa nature malveillante s'il n'a pas été ajouté par une personne responsable de la maintenance du site Web.
Ce n'est pas la seule fois où cette approche pourrait aider à identifier Compromis sur les sites de commerce électronique. Si vous pensez que votre site Web est utilisé pour des campagnes de phishing et que vous avez besoin d'un coup de main pour éliminer l'infection, nous le sommes aussi Heureux d'aider.