Sucuri cho biết rằng phần malware được tiêm vào các trang web thông qua các công cụ cho phép mã nguồn tùy chỉnh, như các plugin WordPress như Simple Custom CSS và JS hoặc phần "Miscellaneous Scripts" của bảng quản trị Magento.
"Trình chỉnh sửa mã tùy chỉnh được các kẻ xấu ưa chuộng bởi vì chúng cho phép sử dụng JavaScript bên ngoài của bên thứ ba (và độc hại) và dễ dàng giả vờ là vô hại bằng cách tận dụng quy ước đặt tên phù hợp với các kịch bản phổ biến như Google Analytics hoặc các thư viện như JQuery," nhà nghiên cứu an ninh Matt Morrow nói.
Kịch bản giả mạo của Meta Pixel tracker được phát hiện bởi công ty an ninh web chứa các yếu tố tương tự như phiên bản chính thống của nó, nhưng một cuộc kiểm tra kỹ lưỡng hơn đã phát hiện ra sự thêm vào của mã JavaScript thay thế các tham chiếu đến miền "connect.facebook[.]net" bằng "b-connected[.]com."
Trong khi miền trước đây là một miền chính thống liên kết với chức năng theo dõi Pixel, miền thay thế được sử dụng để tải một mã JavaScript độc hại bổ sung ("fbevents.js") mà theo dõi xem nếu một nạn nhân đang ở trên trang thanh toán, và nếu có, phục vụ một lớp phủ giả mạo để lấy thông tin thẻ tín dụng của họ.
Cần lưu ý rằng "b-connected[.]com" là một trang web thương mại điện tử chính thống đã bị xâm nhập tại một thời điểm nào đó để lưu trữ mã skimmer. Hơn nữa, thông tin nhập vào biểu mẫu giả mạo được chuyển đi tới một trang web bị xâm nhập khác ("www.donjuguetes[.]es").
Để giảm thiểu các rủi ro như vậy, nên giữ cho các trang web luôn được cập nhật, định kỳ kiểm tra tài khoản quản trị để xác định xem tất cả chúng có hợp lệ không, và thường xuyên cập nhật mật khẩu.
Điều này đặc biệt quan trọng vì các đối tượng đe dọa được biết đến sử dụng mật khẩu yếu và các lỗ hổng trong các plugin WordPress để có quyền truy cập cao hơn vào một trang web mục tiêu và thêm người dùng quản trị giả mạo, sau đó được sử dụng để thực hiện các hoạt động khác nhau, bao gồm thêm các plugin và lối vào sau.
"Vì những kẻ ăn cắp thông tin thẻ tín dụng thường chờ đợi các từ khóa như 'checkout' hoặc 'onepage', họ có thể không trở nên rõ ràng cho đến khi trang thanh toán đã được tải," Morrow nói.
"Vì hầu hết các trang thanh toán được tạo ra động dựa trên dữ liệu cookie và các biến khác được truyền vào trang, những đoạn mã này tránh được các công cụ quét công khai và cách duy nhất để xác định phần malware là kiểm tra mã nguồn trang hoặc theo dõi lưu lượng mạng. Những đoạn mã này chạy im lặng trong nền."
Sự phát triển này diễn ra khi Sucuri cũng tiết lộ rằng các trang web được xây dựng bằng WordPress và Magento là mục tiêu của một phần malware khác được gọi là Magento Shoplift. Các biến thể trước của Magento Shoplift đã được phát hiện trong tự nhiên từ tháng 9 năm 2023.
Chuỗi tấn công bắt đầu bằng việc tiêm một đoạn mã JavaScript được che giấu vào một tập tin JavaScript chính thống mà có trách nhiệm tải một tập tin script thứ hai từ jqueurystatics[.]com thông qua WebSocket Secure (WSS), tập tin này lại được thiết kế để tạo điều kiện cho việc lấy thông tin thẻ tín dụng và ăn cắp dữ liệu trong khi giả vờ là một đoạn mã Google Analytics.
"WordPress đã trở thành một người chơi quan trọng trong lĩnh vực thương mại điện tử, nhờ sự áp dụng của Woocommerce và các plugin khác có thể dễ dàng biến một trang web WordPress thành một cửa hàng trực tuyến đầy đủ tính năng," nhà nghiên cứu Puja Srivastava nói.
"Sự phổ biến này cũng làm cho các cửa hàng WordPress trở thành mục tiêu hàng đầu - và những kẻ tấn công đang sửa đổi phần malware thương mại điện tử MageCart của họ để nhắm vào một loạt các nền tảng CMS."
