Os atacantes digitais criaram uma página de phishing Magento que usava JavaScript para exfiltrar as credenciais de login de suas vítimas.
A Sucuri encontrou um site comprometido usando o nome de arquivo “wp-order.php” durante uma investigação.
Esta página de phishing hospedou o que parecia ser um portal de login Magento 1.x legítimo no momento da descoberta. Em apoio a este ardil, ele carregou seu código CSS e imagens da linha de ordem de domínio malicioso[.] Clube.
Em sua análise do site, a Sucuri descobriu que a página de phishing magento não era um pouco convencional no método pelo qual exfiltrava os dados roubados de suas vítimas. Como citado em sua pesquisa:
… [T]he phishing page usa uma técnica que não requer um arquivo PHP separado ou depende de funções PHP para enviar um e-mail para o invasor, que é o que muitas vezes encontramos para exfiltração em páginas de phishing como esta.
Em vez disso, este ataque de phishing usa um método JavaScript EventListener(addEventListener) com o evento de alteração para os campos de nome de usuário e login (senha).
A página de phishing enviou especificamente uma solicitação GET para orderline[.] clube/fget.php, a fim de passar os dados de suas vítimas para os atacantes.
Fornecido abaixo está uma ilustração deste mecanismo de entrega no trabalho e sua aplicação de codificação base64 para as informações exfiltradas.
Ao longo de sua análise, a Sucuri encontrou evidências de que a página de phishing ainda estava em desenvolvimento. Seus pesquisadores concluíram que a comunidade de segurança poderia, portanto, ver campanhas adicionais de phishing incorporar esse tipo de técnica de exfiltração baseada em JavaScript no futuro.
As notícias deste ataque destacam a necessidade de as organizações se defenderem contra ataques de phishing. Eles podem fazê-lo educando seus funcionários sobre alguns dos tipos mais comuns de ataques de phishing que estão em circulação hoje. Este recurso é um bom lugar para começar.
FONTE: TRIPWIRE