Domanda Malware Spiegazione codice JS malevolo

[ThunderOne]

Salve,

navigando su un sito web italiano di e-commerce, il mio antivirus Kaspersky mi segnala la presenza di un virus.
Analizzo la pagina e riscontro uno script che nel campo src ha un file .js presente di un sito indiano.

Ho visitato la pagina con una macchina virtuale e vpn, e il codice che ho trovato è questo:

• Malicious Code (inserisco un link perchè il forum non mi permette di inserirlo)

Qualcuno potrebbe spiegarmi cosa sono i parametri e le variabili dell tipo: "_0x3667"
Cosa fa il codice in generale? Se non erro invia a questo sito indiano i dati dei cookies e tutti i dati immessi sul sito tra cui indirizzo, dati della carta di credito & co.

Grazie in anticipo!

 

[JunkCoder]

Il codice è parziale, mancano parecchie funzioni chiamate dal codice che hai postato. I nomi delle variabili sono così semplicemente per confondere chi legge il codice, normalmente si usa un offuscamento più completo, in questo caso il codice è comunque leggibile. In poche parole quello che sembra di capire da questo pezzo è: intercettare i dati che l'utente immette nel form di pagamento e di anagrafica, impacchettarli in JSON(BASE64(JSON(BASE64(HEX(dati_form))))), per poi inviarli a /, il che significa che hanno il pieno controllo del sito, e che oltre ad aver iniettato il JS possono anche ricevere i dati sul backend del sito stesso e reindirizzarli da qualche altra parte. Questo tipo di attacco viene spesso chiamato "Magecart".

 

[ThunderOne]

Grazie per la risposta, non sapevo che questo attacco si chiamasse così.

All'indirizzo che ho visitato il codice purtroppo si interrompe in quel modo, è possibile che altro codice risieda in altre locazioni.
Non vorrei divulgare troppe informazioni sul sito violato e su quello violante ma il campo src dello script era di questo tipo:
nomesitoindiano[.]in/image/jQuery_v14v.js
Grazie ancora.