idNSA.id - Penjahat cyber telah menemukan metode baru untuk menyembunyikan data kartu kredit yang diambil dari toko online yang disusupi, para ahli dari Sucuri mengamati peretas Magecart menyembunyikan data dalam file JPG untuk menghindari deteksi dan menyimpannya di situs yang terinfeksi.
Teknik eksfiltrasi baru ditemukan saat menyelidiki serangan Magecart terhadap e-store yang menjalankan e-commerce CMS Magento 2, dikutip dari postingan securityaffairs.
“Investigasi baru-baru ini untuk situs web Magento 2 yang disusupi mengungkapkan suntikan berbahaya yang menangkap data permintaan POST dari pengunjung situs. Terletak di halaman checkout , ditemukan untuk mengenkode data yang diambil sebelum menyimpannya ke file .JPG. ” membaca posting yang diterbitkan oleh Sucuri.
Para peneliti menemukan kode PHP yang ditemukan disuntikkan ke file ./vendor/magento/module-customer/Model/Session.php. Penyerang menggunakan fungsi getAuthenticates untuk memuat kode berbahaya lainnya ke environment yang disusupi.
Kode menyimpan data yang disedot dalam file gambar "pub / media / tmp / design / file / default_luma_logo.jpg", sehingga mudah untuk menyembunyikan, mengakses, dan mendownload informasi yang dicuri tanpa menimbulkan kecurigaan.
Kode PHP yang dimasukkan ke dalam situs memanfaatkan fungsi Magento getPostValue untuk menangkap data POST di dalam halaman checkout, kemudian data POST yang diambil dikodekan dengan base64 sebelum operator PHP ^ digunakan untuk XOR data yang dicuri.
“Untuk berhasil menangkap data POST , kode PHP perlu menggunakan kerangka kerja kode Magento. Ini bergantung pada fungsi Magento getPostValue untuk menangkap data halaman checkout dalam parameter Customer_ POST . ” melanjutkan posting.
“Menggunakan fungsi Magento isLoggedIn , kode PHP juga memeriksa apakah korban yang mengirim data permintaan POST masuk sebagai pengguna. Jika mereka kebetulan masuk, itu menangkap alamat email pengguna. ”
Parameter customer_ berisi hampir semua informasi yang dikirimkan oleh korban di halaman checkout, termasuk nama dan alamat lengkap, detail kartu pembayaran, nomor telepon, dan detail agen pengguna.
Pakar Sucuri menunjukkan bahwa data yang diambil dapat digunakan untuk penipuan kartu kredit, kampanye spam, atau serangan spear-phishing.
“Pelaku jahat selalu secara aktif mencari metode baru untuk mencegah deteksi perilaku jahat mereka di situs web yang disusupi.” mengakhiri posting tersebut. "Penggunaan .JPG palsu secara kreatif memungkinkan penyerang menyembunyikan dan menyimpan detail kartu kredit yang diambil untuk digunakan di masa mendatang tanpa mendapatkan terlalu banyak perhatian dari pemilik situs."
