Кампания за атака с уеб скиминг
Изследователи по киберсигурност разкриха мащабна кампания за уеб скиминг, която е активна от януари 2022 г. Операцията е насочена към корпоративни организации, които разчитат на големи платежни мрежи, включително American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard и UnionPay. Компаниите, които интегрират тези платежни услуги в своите онлайн системи за плащане, се оценяват като изложени на най-висок риск.
Съдържание
Дигитално скимиране и еволюцията на Magecart
Атаките за дигитално скимиране са форма на компрометиране от страна на клиента, при която злонамерени лица инжектират злонамерен JavaScript в легитимни сайтове за електронна търговия и портали за плащане. Инжектираният код тихомълком събира данни за кредитни карти и лична информация, докато клиентите въвеждат своите платежни данни.
Тази дейност попада в по-широката категория, известна като Magecart. Терминът първоначално описваше свободна съвкупност от киберпрестъпни групи, фокусирани върху сайтове за електронна търговия, базирани на Magento, но оттогава се разшири, за да обхване операции по скимиране в много платформи и технологии.
Инфраструктура, обвързана с избягването на санкции
Кампанията беше идентифицирана по време на разследване на подозрителен домейн, свързан със Stark Industries, доставчик на надежден хостинг, който беше санкциониран. Компанията майка, PQ.Hosting, по-късно преименува услугата на THE.Hosting, сега управлявана от холандската компания WorkTitans BV, според съобщенията като начин за избягване на санкции.
Домейнът cdn-cookie(dot)com съдържа силно обфускирани JavaScript файлове, като например „recorder.js“ и „tab-gtm.js“. Тези скриптове са били вградени в компрометирани онлайн магазини, където са позволявали скрито скимиране на кредитни карти.
Стелт чрез самоунищожение и екологична осведоменост
Скимерът е проектиран активно да избягва откриването от администраторите на сайта. Той проверява обектния модел на документа (Document Object Model) за наличие на „wpadminbar“ – елемент от лентата с инструменти, видим, когато администратори на WordPress или привилегировани потребители са влезли в системата. Ако този елемент бъде открит, зловредният софтуер незабавно задейства рутина за самопремахване, изтривайки се от страницата.
За да поддържа постоянство по време на нормално сърфиране, скимерът се опитва да изпълни всеки път, когато DOM на страницата се промени, което е често срещано явление по време на взаимодействие с потребителя в съвременните уебсайтове.
Въоръжаване на Stripe с манипулиране на интерфейса
Злонамереният код съдържа специфична логика, предназначена да използва потоци за плащане, базирани на Stripe. Когато е избран Stripe, скимърът проверява за запис в localStorage с име „wc_cart_hash“. Ако стойността не съществува, той създава ключа и се подготвя за събиране на данни.
В този момент зловредният софтуер динамично замества легитимния формуляр за плащане в Stripe с фалшив. Чрез фина манипулация на интерфейса, жертвите биват подвеждани да въведат номера на картата си, датата на валидност и CVC кода във фалшивия формуляр.
След изпращане, страницата връща съобщение за грешка, което създава впечатление, че плащането е неуспешно поради невярна информация, а не поради злонамерена намеса.
Кражба на данни, изтичане и почистване
Открадната информация надхвърля данните за платежната карта и включва пълни имена, телефонни номера, имейл адреси и адреси за доставка. Скимерът предава тези данни чрез HTTP POST заявка до lasorie(dot)com.
След като процесът на извличане приключи, зловредният софтуер премахва фалшивия формуляр, възстановява легитимния интерфейс на Stripe и изтрива следи от дейността си от страницата за плащане. След това задава „wc_cart_hash“ на „true“, като гарантира, че скимърът няма да се стартира отново за същата жертва.
Верига за атаки, изградена върху задълбочени познания за платформата
Изследователите отбелязват, че злонамереният персонаж демонстрира задълбочено разбиране на вътрешните функции на WordPress и използва дори по-малко известни функции на платформата като част от атаката. Тази дълбочина на познанията, съчетана със сложни техники за избягване на атаки и манипулиране на интерфейса, подчертава зрялостта и устойчивостта на операцията.
