Autor: Puja Srivastava
Frequentemente escrevemos sobre malware que rouba informações de pagamento de sites criados com Magento e outros tipos de CMS de comércio eletrônico. No entanto, o WordPress também se tornou um grande player no comércio eletrônico, graças à adoção do Woocommerce e outros plug-ins que podem facilmente transformar um site WordPress em uma loja online completa. Essa popularidade também torna as lojas WordPress um alvo principal – e os invasores estão modificando seu malware de comércio eletrônico MageCart para atingir uma gama mais ampla de plataformas CMS.
Vamos olhar mais de perto!
O proprietário de um site estava reclamando de redirecionamentos suspeitos em seu site, então iniciamos nossa investigação para descobrir o que estava acontecendo.
A inspeção dos arquivos do site revelou o seguinte código em ./wp-content/uploads/custom-css-js/134019.js que estava sendo injetado na parte inferior da página da web:
Quando decodificado, o verdadeiro comportamento foi revelado:
O objetivo deste snippet, que contém código JavaScript ofuscado e codificação base64 para evitar a detecção, é carregar um script malicioso de: wss://jqueurystatics[.]com:8001
Quando carregado na página da web, ele busca e executa o script malicioso, o que pode levar a diversas atividades maliciosas, como fraude de cartão de crédito e roubo de dados, acesso não autorizado ou implantação adicional de malware. Para enganar ainda mais qualquer desenvolvedor curioso e evitar a detecção, o snippet usa nomes de funções e arquivos como GoogleAnalyticsObjects e Analytics.js . Embora claramente finja ser um script do Google Analytics, isso é apenas uma distração da verdadeira natureza do JavaScript de skimming de cartão de crédito – e uma tática muito comum usada por invasores.
Em setembro de 2023, encontramos o seguinte código injetado na tabela core_config_data de um site Magento que recebeu reclamações de clientes sobre comportamento suspeito e transações fraudulentas em seu site:
Aqui, o valor dentro do primeiro atob() é um dado codificado em Base64 que é decodificado para “ checkout ” enquanto o segundo atob() decodifica para um domínio malicioso: sanzsec[.]net/generator/
Este código JavaScript verifica se o URL atual contém a string decodificada “checkout”. Nesse caso, ele cria dinamicamente um novo elemento de script e define seu atributo de origem como “ hxxps://sanzsec[.]net/generator/ “. Por fim, ele anexa esse novo elemento de script ao cabeçalho do documento, que carrega e executa o script dessa URL.
Este malware tem diversas variantes que afetaram sites WordPress e Magento no ano passado, incluindo esta variação proeminente que infectou 89 sites até o momento em que este artigo foi escrito. Esta outra versão infectou 10 sites.
Os domínios usados para buscar dados maliciosos em 2023 foram:
No entanto, as variantes mais recentes do Magento Shoplift que afetam o WordPress começaram a buscar scripts em jqueurystatics[.]com .
O SiteCheck detecta este malware como malware.magento_shoplift?71.5 :
Para manter seu site protegido contra Magento Shoplift e outros malwares de comércio eletrônico MageCart , é importante proteger seu site com tantas camadas de segurança quanto possível:
Também é uma boa ideia verificar se há problemas de segurança em seu site e manter-se atualizado sobre as novidades de segurança.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…