Εκστρατεία επίθεσης Web Skimming
Ερευνητές κυβερνοασφάλειας αποκάλυψαν μια μεγάλης κλίμακας εκστρατεία web skimming που παραμένει ενεργή από τον Ιανουάριο του 2022. Η επιχείρηση στοχεύει σε εταιρικούς οργανισμούς που βασίζονται σε μεγάλα δίκτυα πληρωμών, όπως οι American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard και UnionPay. Οι εταιρείες που ενσωματώνουν αυτές τις υπηρεσίες πληρωμών στα συστήματα online checkout τους αξιολογούνται ως εταιρείες που διατρέχουν τον υψηλότερο κίνδυνο.
Πίνακας περιεχομένων
Ψηφιακή αποκρυπτογράφηση και η εξέλιξη του Magecart
Οι επιθέσεις ψηφιακής υποκλοπής δεδομένων (digital skimming) είναι μια μορφή παραβίασης από την πλευρά του πελάτη (client-side disruption), κατά την οποία οι απειλητικοί παράγοντες εισάγουν κακόβουλο JavaScript σε νόμιμους ιστότοπους ηλεκτρονικού εμπορίου και πύλες πληρωμών. Ο εγχυόμενος κώδικας συλλέγει σιωπηλά δεδομένα πιστωτικών καρτών και προσωπικά στοιχεία καθώς οι πελάτες εισάγουν τα στοιχεία πληρωμής τους.
Αυτή η δραστηριότητα εμπίπτει στην ευρύτερη κατηγορία που είναι κοινώς γνωστή ως Magecart. Ο όρος αρχικά περιέγραφε μια χαλαρή συλλογή ομάδων κυβερνοεγκληματιών που επικεντρώνονταν σε ιστότοπους ηλεκτρονικού εμπορίου με βάση το Magento, αλλά έκτοτε έχει επεκταθεί ώστε να καλύπτει δραστηριότητες skimming σε πολλές πλατφόρμες και τεχνολογίες.
Υποδομές που συνδέονται με την αποφυγή κυρώσεων
Η καμπάνια εντοπίστηκε κατά τη διάρκεια έρευνας για ένα ύποπτο domain που σχετίζεται με την Stark Industries, έναν αλεξίσφαιρο πάροχο φιλοξενίας που έχει υποστεί κυρώσεις. Η μητρική της εταιρεία, PQ.Hosting, αργότερα μετονόμασε την υπηρεσία σε THE.Hosting, η οποία πλέον λειτουργεί από την ολλανδική οντότητα WorkTitans BV, σύμφωνα με πληροφορίες, ως τρόπο αποφυγής των κυρώσεων.
Ο τομέας cdn-cookie(dot)com βρέθηκε να φιλοξενεί σε μεγάλο βαθμό ασαφή αρχεία JavaScript, όπως 'recorder.js' και 'tab-gtm.js'. Αυτά τα σενάρια ενσωματώθηκαν σε παραβιασμένα ηλεκτρονικά καταστήματα, όπου επέτρεπαν την μυστική υποκλοπή δεδομένων πιστωτικών καρτών.
Μυστικότητα μέσω αυτοκαταστροφής και περιβαλλοντικής ευαισθητοποίησης
Το skimmer σχεδιάστηκε για να αποφεύγει ενεργά τον εντοπισμό από τους διαχειριστές ιστότοπων. Ελέγχει το Μοντέλο Αντικειμένου Εγγράφου για την παρουσία του 'wpadminbar', ενός στοιχείου γραμμής εργαλείων που είναι ορατό όταν είναι συνδεδεμένοι διαχειριστές WordPress ή προνομιούχοι χρήστες. Εάν εντοπιστεί αυτό το στοιχείο, το κακόβουλο λογισμικό ενεργοποιεί αμέσως μια ρουτίνα αυτοαφαίρεσης, διαγράφοντας τον εαυτό του από τη σελίδα.
Για να διατηρηθεί η επιμονή κατά την κανονική περιήγηση, το skimmer επιχειρεί εκτέλεση κάθε φορά που αλλάζει το DOM της σελίδας, κάτι που συμβαίνει συχνά κατά την αλληλεπίδραση του χρήστη σε σύγχρονους ιστότοπους.
Οπλοποίηση Stripe με Χειρισμό Διεπαφής
Ο κακόβουλος κώδικας περιέχει συγκεκριμένη λογική που έχει σχεδιαστεί για να εκμεταλλεύεται τις ροές ολοκλήρωσης αγοράς που βασίζονται στο Stripe. Όταν επιλεγεί το Stripe, το skimmer ελέγχει για μια καταχώρηση localStorage με το όνομα 'wc_cart_hash'. Εάν η τιμή δεν υπάρχει, δημιουργεί το κλειδί και προετοιμάζεται για τη συλλογή δεδομένων.
Σε αυτό το σημείο, το κακόβουλο λογισμικό αντικαθιστά δυναμικά την νόμιμη φόρμα πληρωμής Stripe με μια πλαστή. Μέσω ανεπαίσθητης χειραγώγησης της διεπαφής, τα θύματα εξαπατώνται ώστε να εισάγουν τον αριθμό της κάρτας τους, την ημερομηνία λήξης και τον κωδικό CVC στην πλαστή φόρμα.
Μετά την υποβολή, η σελίδα επιστρέφει ένα μήνυμα σφάλματος, με αποτέλεσμα να φαίνεται ότι η πληρωμή απέτυχε λόγω εσφαλμένων πληροφοριών και όχι κακόβουλης παρέμβασης.
Κλοπή, Απομάκρυνση και Εκκαθάριση Δεδομένων
Οι κλεμμένες πληροφορίες ξεπερνούν τα στοιχεία της κάρτας πληρωμής και περιλαμβάνουν πλήρη ονόματα, αριθμούς τηλεφώνου, διευθύνσεις email και διευθύνσεις αποστολής. Το skimmer μεταδίδει αυτά τα δεδομένα μέσω ενός αιτήματος HTTP POST στο lasorie(dot)com.
Μόλις ολοκληρωθεί η διαδικασία αφαίρεσης, το κακόβουλο λογισμικό αφαιρεί την ψεύτικη φόρμα, επαναφέρει την νόμιμη διεπαφή Stripe και διαγράφει ίχνη της δραστηριότητάς του από τη σελίδα ολοκλήρωσης αγοράς. Στη συνέχεια, ορίζει την τιμή 'wc_cart_hash' σε 'true', διασφαλίζοντας ότι το skimmer δεν θα εκτελεστεί ξανά για το ίδιο θύμα.
Μια αλυσίδα επιθέσεων βασισμένη σε βαθιά γνώση πλατφόρμας
Οι ερευνητές σημειώνουν ότι ο απειλητικός παράγοντας επιδεικνύει προηγμένη κατανόηση των εσωτερικών λειτουργιών του WordPress και αξιοποιεί ακόμη και λιγότερο γνωστά χαρακτηριστικά της πλατφόρμας ως μέρος της ροής επίθεσης. Αυτό το βάθος γνώσης, σε συνδυασμό με εξελιγμένες τεχνικές αποφυγής και χειραγώγησης διεπαφών, υπογραμμίζει την ωριμότητα και την επιμονή της επιχείρησης.
