Deze week hebben we een gespecialiseerde crawler ingezet voor onderzoeksdoeleinden. Binnen slechts 24 uur identificeerde deze met succes nieuwe Magecart-aanvalspatronen. Magecart is een geavanceerde, financieel gemotiveerde dreiging die kwaadaardige JavaScript injecteert om persoonlijke betalingsinformatie te stelen. Hier is een overzicht van de grootste Magecart-aanvallen tot nu toe.
Eerste detectie: Geobfusceerde JavaScript op Artifyau[.]com
Gedetecteerde URL: https://artifyau[.]com/T1M0dVluVnBiR1J6YVhSbGNISnZMbU52YlE9PQ/jqwery.js.
De URL imiteert een legitiem JavaScript-bestand dat mogelijk op jQuery lijkt, maar bij nader inzien valt een typefout op ("jqwery" in plaats van "jquery") — een veelgebruikte tactiek om aanvallen te maskeren. Bij inspectie bleek het bestand sterk geobfusceerde JavaScript te bevatten, waarschijnlijk opgesteld om detectie te omzeilen. Hier is een momentopname van de codestructuur:
En hier gedeobfusceerd en genormaliseerd:
Dit type obfuscatie komt veel voor in Magecart-scripts die erop gericht zijn creditcardinformatie te stelen door kwaadaardige code te injecteren in de afrekenpagina's van gecompromitteerde websites.
Het verdachte domein: een nadere blik
Een snelle zoekopdracht onthulde dat artifyau[.]com op 15 oktober 2024 werd geregistreerd en over een jaar verloopt. Hier zijn de basismetagegevens die we hebben verzameld:
Het domein was verborgen achter Cloudflare, en een snelle zoekopdracht liet zien dat het te koop stond — een vreemde situatie voor een site die verondersteld wordt legitieme scripts te hosten.
Via URL-scan vonden we meerdere geïnfecteerde websites: https://urlscan.io/search/#artifyau.com
Analyse van de HTML-pagina en het secundaire domein
De geïnjecteerde script-tag:
Dit laadt vervolgens een polyglot-document. In een beveiligingscontext zijn polyglots bestanden die tegelijkertijd geldig zijn als meerdere bestandstypen. In dit geval geldig als zowel HTML als JavaScript, tegelijkertijd:
Dit is uitgecommentarieerde HTML-code waarbij de kwaadaardige JS zich onderaan het uitgecommentarieerde HTML-bestand bevindt, waarschijnlijk om detectie te omzeilen:
Als iemand deze website rechtstreeks via de browser bezoekt, wordt de onderstaande pagina weergegeven:
Als dit in de website wordt geïnjecteerd, wordt het geladen als JavaScript. Dit laadt vervolgens de laatste fase van de kwaadaardige JavaScript, die op zijn beurt het bestand jqwery.js laadt. Gedecodeerd ziet het er als volgt uit:
Het onthult meerdere anti-debuggingtrucs en timeout-code, net als andere bekende Magecart JS-bestanden. Waaronder:
- setTimeout(_0x3481cd, 1000);
Dit wordt vervolgens gebruikt om de PII en creditcardgegevens te stelen van bezoekers van deze sites.
Bij gedetailleerde analyse vonden we het nieuwe domein dat door de dreigingsactor wordt gebruikt: quantifymy[.]com.
Beide domeinen zijn verborgen achter Cloudflare om hun oorspronkelijke IP te verbergen.
We vonden nog een lijst van websites die via deze URL zijn geïnfecteerd: https://urlscan.io/search/#quantifymy.com
Alleen het domein verschilt; alle andere TTPs blijven hetzelfde als hierboven beschreven.
Bescherm uw website
Op het moment van publicatie had slechts één leverancier van dreigingsfeeds deze domeinen als kwaadaardig gerapporteerd op VirusTotal:
- https://www.virustotal.com/gui/domain/quantifymy.com
- https://www.virustotal.com/gui/domain/artifyau.com
Onze proxy controleert elk third-party script dat door de browser wordt opgehaald. Tijdens onze tests onderschepte en blokkeerde deze met succes het laden van scripts van deze domeinen, waardoor de bezoeker werd beschermd. U kunt zich hier aanmelden.
