Web Skimming-angrebskampagne
Cybersikkerhedsforskere har afdækket en storstilet skimmingkampagne, der har været aktiv siden januar 2022. Operationen er rettet mod store virksomheder, der er afhængige af store betalingsnetværk, herunder American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard og UnionPay. Virksomheder, der integrerer disse betalingstjenester i deres online betalingssystemer, vurderes at have den højeste risiko.
Indholdsfortegnelse
Digital skimming og udviklingen af Magecart
Digitale skimming-angreb er en form for klientside-kompromittering, hvor trusselsaktører injicerer ondsindet JavaScript i legitime e-handelswebsteder og betalingsportaler. Den injicerede kode indsamler i stilhed kreditkortdata og personlige oplysninger, når kunder indtaster deres betalingsoplysninger.
Denne aktivitet falder ind under den bredere kategori, der almindeligvis er kendt som Magecart. Udtrykket beskrev oprindeligt en løs samling af cyberkriminelle grupper med fokus på Magento-baserede e-handelssider, men det er siden blevet udvidet til at dække skimming-operationer på tværs af mange platforme og teknologier.
Infrastruktur knyttet til sanktionsunddragelse
Kampagnen blev identificeret under en undersøgelse af et mistænkeligt domæne forbundet med Stark Industries, en skudsikker hostingudbyder, der er blevet sanktioneret. Moderselskabet, PQ.Hosting, omdøbte senere tjenesten til THE.Hosting, der nu drives af den hollandske enhed WorkTitans BV, angiveligt som en måde at omgå sanktioner på.
Domænet cdn-cookie(dot)com blev fundet med stærkt forvirrede JavaScript-filer såsom 'recorder.js' og 'tab-gtm.js'. Disse scripts blev integreret i kompromitterede onlinebutikker, hvor de muliggjorde skjult skimming af kreditkort.
Stealth gennem selvdestruktion og miljøbevidsthed
Skimmeren blev udviklet til aktivt at undgå at blive opdaget af webstedsadministratorer. Den inspicerer Document Object Model for tilstedeværelsen af 'wpadminbar', et værktøjslinjeelement, der er synligt, når WordPress-administratorer eller privilegerede brugere er logget ind. Hvis dette element registreres, udløser malwaren straks en selvfjernelsesrutine, der sletter sig selv fra siden.
For at opretholde persistens under normal browsing forsøger skimmeren at udføre funktionen hver gang sidens DOM ændres, hvilket er almindeligt under brugerinteraktion på moderne websteder.
Våbenbevæbning af Stripe med grænseflademanipulation
Den skadelige kode indeholder specifik logik, der er designet til at udnytte Stripe-baserede checkout-flows. Når Stripe er valgt, tjekker skimmeren efter en localStorage-post med navnet 'wc_cart_hash'. Hvis værdien ikke findes, opretter den nøglen og forbereder indsamling af data.
På det tidspunkt erstatter malwaren dynamisk den legitime Stripe-betalingsformular med en forfalsket formular. Gennem subtil manipulation af brugerfladen bliver ofrene narret til at indtaste deres kortnummer, udløbsdato og CVC-kode i den falske formular.
Efter indsendelsen returnerer siden en fejlmeddelelse, der får det til at se ud som om betalingen mislykkedes på grund af forkerte oplysninger snarere end ondsindet indblanding.
Datatyveri, eksfiltrering og oprydning
De stjålne oplysninger går ud over betalingskortoplysninger og omfatter fulde navne, telefonnumre, e-mailadresser og leveringsadresser. Skimmeren sender disse data via en HTTP POST-anmodning til lasorie(dot)com.
Når udrensningsprocessen er fuldført, fjerner malwaren den falske formular, gendanner den legitime Stripe-grænseflade og sletter spor af sin aktivitet fra betalingssiden. Den sætter derefter 'wc_cart_hash' til 'true', hvilket sikrer, at skimmeren ikke kører igen for det samme offer.
En angrebskæde bygget på dyb platformviden
Forskere bemærker, at trusselsaktøren udviser en avanceret forståelse af WordPress' interne funktioner og udnytter selv mindre kendte platformfunktioner som en del af angrebsflowet. Denne dybdegående viden, kombineret med sofistikerede undvigelses- og grænseflademanipulationsteknikker, understreger operationens modenhed og vedholdenhed.
