Útočná kampaň zaměřená na skimming webu
Výzkumníci v oblasti kybernetické bezpečnosti odhalili rozsáhlou kampaň zaměřenou na skimming webu, která probíhá od ledna 2022. Operace je zaměřena na podniky, které se spoléhají na velké platební sítě, včetně American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard a UnionPay. Společnosti, které tyto platební služby integrují do svých online platebních systémů, jsou považovány za nejvíce ohrožené.
Obsah
Digitální skimming a vývoj Magecartu
Útoky digitálního skimmingu jsou formou kompromitace na straně klienta, při které útočníci vkládají škodlivý JavaScript do legitimních e-commerce stránek a platebních portálů. Vložený kód tiše shromažďuje údaje o kreditních kartách a osobní údaje, když zákazníci zadávají své platební údaje.
Tato aktivita spadá do širší kategorie běžně známé jako Magecart. Termín původně popisoval volný soubor kyberzločinných skupin zaměřených na e-commerce stránky založené na platformě Magento, ale od té doby se rozšířil a zahrnuje operace skimmingu napříč mnoha platformami a technologiemi.
Infrastruktura spojená s obcházením sankcí
Kampaň byla odhalena během vyšetřování podezřelé domény spojené se společností Stark Industries, poskytovatelem neprůstřelného hostingu, na kterého byly uvaleny sankce. Její mateřská společnost PQ.Hosting později službu přejmenovala na THE.Hosting, nyní provozovaný nizozemskou společností WorkTitans BV, údajně jako způsob, jak se sankcím vyhnout.
Doména cdn-cookie(tečka)com obsahovala silně obfuskované soubory JavaScriptu, jako například „recorder.js“ a „tab-gtm.js“. Tyto skripty byly vkládány do napadených internetových obchodů, kde umožňovaly skryté skimming platebních karet.
Nenápadnost skrze sebezničení a povědomí o životním prostředí
Skimmer byl navržen tak, aby se aktivně vyhýbal detekci ze strany administrátorů webu. Kontroluje objektový model dokumentu (DOM) a hledá v něm „wpadminbar“, což je prvek panelu nástrojů, který je viditelný, když jsou přihlášeni administrátoři WordPressu nebo privilegovaní uživatelé. Pokud je tento prvek detekován, malware okamžitě spustí rutinu samoodstranění a smaže se ze stránky.
Aby se zachovala perzistence během běžného prohlížení, skimmer se pokouší o spuštění pokaždé, když se změní DOM stránky, což je běžný jev během interakce uživatele na moderních webových stránkách.
Zbraňovací Stripe s manipulací rozhraní
Škodlivý kód obsahuje specifickou logiku navrženou tak, aby zneužila platební procesy založené na technologii Stripe. Pokud je vybrána možnost Stripe, skimmer kontroluje položku localStorage s názvem „wc_cart_hash“. Pokud hodnota neexistuje, vytvoří klíč a připraví se na sběr dat.
V tomto okamžiku malware dynamicky nahradí legitimní platební formulář Stripe padělaným. Prostřednictvím nenápadné manipulace s rozhraním jsou oběti oklamány k zadání čísla karty, data platnosti a CVC kódu do falešného formuláře.
Po odeslání stránka vrátí chybovou zprávu, která vypadá, jako by platba selhala kvůli nesprávným informacím, nikoli kvůli úmyslnému zásahu.
Krádež dat, exfiltrace a čištění
Ukradené informace sahají nad rámec údajů o platební kartě a zahrnují celá jména, telefonní čísla, e-mailové adresy a dodací adresy. Skimmer tyto údaje odesílá prostřednictvím HTTP POST požadavku na lasorie(tečka)com.
Jakmile je proces exfiltrace dokončen, malware odstraní falešný formulář, obnoví legitimní rozhraní Stripe a smaže stopy své aktivity z pokladní stránky. Poté nastaví „wc_cart_hash“ na hodnotu „true“, čímž zajistí, že se skimmer pro stejnou oběť znovu nespustí.
Útočný řetězec postavený na hlubokých znalostech platformy
Výzkumníci poznamenávají, že útočník prokazuje pokročilé znalosti vnitřních mechanismů WordPressu a v rámci útoku využívá i méně známé funkce platformy. Tato hloubka znalostí v kombinaci se sofistikovanými technikami obcházení a manipulace s rozhraním podtrhuje vyspělost a vytrvalost operace.
