JavaScript usado por página de phishing para roubar credenciais de Magento

Views: 426
0 0
Read Time:1 Minute, 45 Second

Os atacantes digitais criaram uma página de phishing Magento que usava JavaScript para exfiltrar as credenciais de login de suas vítimas.

A Sucuri encontrou um site comprometido usando o nome de arquivo “wp-order.php” durante uma investigação.

Esta página de phishing hospedou o que parecia ser um portal de login Magento 1.x legítimo no momento da descoberta. Em apoio a este ardil, ele carregou seu código CSS e imagens da linha de ordem de domínio malicioso[.] Clube.

Em sua análise do site, a Sucuri descobriu que a página de phishing magento não era um pouco convencional no método pelo qual exfiltrava os dados roubados de suas vítimas. Como citado em sua pesquisa:

… [T]he phishing page usa uma técnica que não requer um arquivo PHP separado ou depende de funções PHP para enviar um e-mail para o invasor, que é o que muitas vezes encontramos para exfiltração em páginas de phishing como esta.

Em vez disso, este ataque de phishing usa um método JavaScript EventListener(addEventListener) com o evento de alteração para os campos de nome de usuário e login (senha).

A página de phishing enviou especificamente uma solicitação GET para orderline[.] clube/fget.php, a fim de passar os dados de suas vítimas para os atacantes.

Fornecido abaixo está uma ilustração deste mecanismo de entrega no trabalho e sua aplicação de codificação base64 para as informações exfiltradas.

Um GIF ilustrando a solicitação GET depois que alguém digita seu nome de usuário e senha. (Fonte: Sucuri)

Ao longo de sua análise, a Sucuri encontrou evidências de que a página de phishing ainda estava em desenvolvimento. Seus pesquisadores concluíram que a comunidade de segurança poderia, portanto, ver campanhas adicionais de phishing incorporar esse tipo de técnica de exfiltração baseada em JavaScript no futuro.

As notícias deste ataque destacam a necessidade de as organizações se defenderem contra ataques de phishing. Eles podem fazê-lo educando seus funcionários sobre alguns dos tipos mais comuns de ataques de phishing que estão em circulação hoje. Este recurso é um bom lugar para começar.

FONTE: TRIPWIRE

POSTS RELACIONADOS