Старший исследователь компании Sucuri описал две программы X-Cart для электронной коммерции, похищающие кредитные карты: одна была скрыта на сервере поддельным изображением, другая была обфусцирована и собирала информацию о кредитных картах на стороне клиента.
X-Cart Skimmer
Серверная часть
Серверный скиммер, найденный во взломанной среде, был очень прост.
В файл payment/payment_swoosh_cc.php хакеры добавили одну строку кода, которая сохраняла base64-кодированные POST-данные с деталями платежа в файл на диске.
Чтобы сделать его менее подозрительным, файл имел расширение .jpg и был помещен в каталог с файлами изображений. Чтобы получить украденную информацию, хакерам нужно было просто время от времени загружать поддельный JPG-файл.
Клиентская часть
Скиммер на стороне клиента оказался гораздо интереснее. Обфусцированный сценарий был найден в файле skin/common_files/check_cc_number_script.tpl.
Функциональность кражи кредитных карт
Скрипт содержал типичную функциональность скиммера. Он искал элементы формы ввода и выбора и отправлял их значения на сторонний сервер в виде слегка закодированных (encodeURIComponent) GET-параметров внедренного скрипта. Чтобы убедиться, что злоумышленнику отправляются только действительные платежные данные, вредоносная программа проверяла значения, чтобы убедиться, что хотя бы один из элементов "input" содержит действительный номер кредитной карты, используя общедоступный алгоритм проверки.
Indicators of Compromise
IPv4
- 162.241.222.226
Domains
- coupontwit.com
- metahtmlhead.com
- winsiott.com
URLs
- https://metahtmlhead.com/folder/ip/zxc.php
- https://winsiott.com/folder/ip/stt.php