módulo One Page Checkout, Script inyectado en payment.tpl

[josecarlosgalvañ]

Nuestro análisis reveló cinco partes distintas de este ataque de desnatado.

Inyección inicial en el entorno comprometido.
El atacante inyecta el script obfuscateddfasdf3124sfcad2.js malicioso en el archivo payment.tpl.

JavaScript crea y superpone formularios.
El contenido de dfasdf3124sfcad2.js crea un formulario falso que se superpone encima del carrito de pago existente.

Segundo JavaScript desnata los datos.
Un skimmer de onepagecheckoutps.js supervisa los cambios en el formulario de pago y envía los detalles de pago a la parte del lado del servidor del malware.

El código inyectado comprueba el parámetro y activa la función.
Una sola línea de código malicioso inyectado en el archivo IndexController.php comprueba e intercepta las solicitudes POST que contienen detalles de pago y activa la función redirectErrorPage().

La función filtra los datos a un servidor de terceros.
La función redirectErrorPage() de tools.php cifra los datos recopilados y luego inicia una solicitud de rizo para enviar los datos de la tarjeta de crédito robada al hacker controlledhxxps://fastfixtuning[.]nl/cache/cache.php a través de la solicitud POST.

[gusman126]

Solo pasa en versiones viejas de PS 1.6 y en el modulo de Onepagechekcout viejos, por eso hay que actualizar siempre

Te lo he preguntado en el otro mensaje, se sabe por donde entra? si es PS 1.6 como supongo, lo he visto en varios ficheros como indicas.

EDITO:

Leyendo detenidamente, justo igual igual a un cliente, se le infecto , pero no no tenia el fichero de alias.php infectado.

 

Edited July 20, 2022 by gusman126 (see edit history)