Campanya d'atac de web skimming
Investigadors de ciberseguretat han descobert una campanya de "web skimming" a gran escala que ha estat activa des del gener del 2022. L'operació té com a objectiu organitzacions empresarials que depenen de les principals xarxes de pagament, com ara American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard i UnionPay. Es considera que les empreses que integren aquests serveis de pagament als seus sistemes de pagament en línia tenen el risc més alt.
Taula de continguts
Skimming digital i l’evolució de Magecart
Els atacs de skimming digital són una forma de compromís del costat del client en què els actors amenaçadors injecten JavaScript maliciós en llocs web de comerç electrònic i portals de pagament legítims. El codi injectat recopila silenciosament dades de targetes de crèdit i informació personal a mesura que els clients introdueixen les seves dades de pagament.
Aquesta activitat s'emmarca dins de la categoria més àmplia coneguda comunament com a Magecart. El terme descrivia originalment un conjunt general de grups de ciberdelinqüents centrats en llocs de comerç electrònic basats en Magento, però des de llavors s'ha ampliat per cobrir operacions de skimming en moltes plataformes i tecnologies.
Infraestructures vinculades a l’evasió de sancions
La campanya va ser identificada durant una investigació sobre un domini sospitós associat amb Stark Industries, un proveïdor d'allotjament web a prova de bales que ha estat sancionat. La seva empresa matriu, PQ.Hosting, va canviar posteriorment el nom del servei a THE.Hosting, ara operat per l'entitat neerlandesa WorkTitans BV, suposadament com una manera d'evadir sancions.
Es va descobrir que el domini cdn-cookie(dot)com allotjava fitxers JavaScript molt ofuscats, com ara "recorder.js" i "tab-gtm.js". Aquests scripts estaven integrats en botigues en línia compromeses, on permetien el skimming encobert de targetes de crèdit.
Furt a través de l’autodestrucció i la consciència ambiental
El skimmer va ser dissenyat per evadir activament la detecció dels administradors del lloc. Inspecciona el model d'objectes del document per detectar la presència de "wpadminbar", un element de la barra d'eines visible quan els administradors de WordPress o els usuaris privilegiats inicien la sessió. Si es detecta aquest element, el programari maliciós activa immediatament una rutina d'autoeliminació, eliminant-se de la pàgina.
Per mantenir la persistència durant la navegació normal, el skimmer intenta l'execució cada vegada que el DOM de la pàgina canvia, una cosa habitual durant la interacció de l'usuari en llocs web moderns.
Armament de Stripe amb manipulació d’interfícies
El codi maliciós conté una lògica específica dissenyada per explotar els fluxos de checkout basats en Stripe. Quan se selecciona Stripe, el skimmer comprova si hi ha una entrada de localStorage anomenada "wc_cart_hash". Si el valor no existeix, crea la clau i es prepara per recopilar dades.
En aquest punt, el programari maliciós substitueix dinàmicament el formulari de pagament legítim de Stripe per un de fals. Mitjançant una manipulació subtil de la interfície, les víctimes són enganyades perquè introdueixin el número de la seva targeta, la data de caducitat i el CVC al formulari fals.
Després de l'enviament, la pàgina retorna un missatge d'error, fent que sembli que el pagament ha fallat a causa d'informació incorrecta en lloc d'una interferència maliciosa.
Robatori, exfiltració i neteja de dades
La informació robada va més enllà de les dades de la targeta de pagament i inclou noms complets, números de telèfon, adreces de correu electrònic i adreces d'enviament. El skimmer transmet aquestes dades mitjançant una sol·licitud HTTP POST a lasorie(punt)com.
Un cop finalitzat el procés d'exfiltració, el programari maliciós elimina el formulari fals, restaura la interfície legítima de Stripe i elimina els rastres de la seva activitat de la pàgina de pagament. A continuació, estableix 'wc_cart_hash' a 'true', garantint que el skimmer no es torni a executar per a la mateixa víctima.
Una cadena d’atac basada en un coneixement profund de la plataforma
Els investigadors assenyalen que l'actor de l'atac demostra una comprensió avançada dels components interns de WordPress i aprofita fins i tot les funcions de la plataforma menys conegudes com a part del flux d'atac. Aquesta profunditat de coneixement, combinada amb tècniques sofisticades d'evasió i manipulació d'interfícies, subratlla la maduresa i la persistència de l'operació.
