Veebikopeerimise rünnakukampaania
Küberturvalisuse uurijad on paljastanud ulatusliku veebivaranduse kopeerimise kampaania, mis on olnud aktiivne alates 2022. aasta jaanuarist. Operatsioon on suunatud ettevõtetele, mis toetuvad suurtele maksevõrkudele, sealhulgas American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard ja UnionPay. Ettevõtted, kes integreerivad need makseteenused oma veebikassadesse, on hinnatud kõige suurema riskiga.
Sisukord
Digitaalne kopeerimine ja Magecart’i areng
Digitaalse kopeerimise rünnakud on kliendipoolsed rünnakud, mille puhul ründajad süstivad pahatahtlikku JavaScripti legitiimsetele e-kaubanduse saitidele ja makseportaalidele. Süstitud kood kogub märkamatult krediitkaardiandmeid ja isikuandmeid, kui kliendid sisestavad oma makseandmeid.
See tegevus kuulub laiemasse kategooriasse, mida tuntakse Magecartina. Algselt kirjeldas see termin Magento-põhistele e-kaubanduse saitidele keskendunud küberkurjategijate rühmitusi, kuid on sellest ajast alates laienenud hõlmama ka paljude platvormide ja tehnoloogiate kopeerimisoperatsioone.
Sanktsioonide vältimisega seotud infrastruktuur
Kampaania tuvastati kahtlase domeeni uurimise käigus, mis oli seotud sanktsioonidega kaitstud bulletproof-hostinguteenuse pakkujaga Stark Industries. Selle emaettevõte PQ.Hosting nimetas teenuse hiljem ümber THE.Hostinguks, mida nüüd haldab Hollandi ettevõte WorkTitans BV, väidetavalt sanktsioonide vältimiseks.
Domeenist cdn-cookie(dot)com leiti tugevalt hägustatud JavaScripti faile, näiteks „recorder.js” ja „tab-gtm.js”. Need skriptid olid manustatud ohustatud veebipoodidesse, kus need võimaldasid krediitkaartide varjatut kopeerimist.
Varjatus enesehävituse ja keskkonnateadlikkuse kaudu
Skimmer loodi nii, et see ei lase saidi administraatoritel seda tuvastada. See kontrollib dokumendiobjekti mudelit tööriistariba elemendi „wpadminbar” olemasolu suhtes, mis on nähtav, kui WordPressi administraatorid või privilegeeritud kasutajad on sisse logitud. Kui see element tuvastatakse, käivitab pahavara kohe enese eemaldamise rutiini, kustutades end lehelt.
Tavapärase sirvimise ajal püsivuse säilitamiseks proovib skimmer iga kord, kui lehe DOM muutub, käivituda, mis on tänapäevastel veebisaitidel kasutaja interaktsiooni ajal tavaline nähtus.
Relvastatud triip liidese manipuleerimisega
Pahatahtlik kood sisaldab spetsiifilist loogikat, mis on loodud Stripe'il põhinevate kassavoogude ärakasutamiseks. Kui Stripe on valitud, otsib kopeerimisvahend localStorage'i kirjet nimega 'wc_cart_hash'. Kui väärtust pole olemas, loob see võtme ja valmistub andmete kogumiseks.
Sel hetkel asendab pahavara dünaamiliselt legitiimse Stripe'i maksevormi võltsinguga. Peene liidese manipuleerimise abil petetakse ohvreid sisestama võltsitud vormile oma kaardi number, aegumiskuupäev ja CVC.
Pärast esitamist kuvatakse veateade, mistõttu tundub, et makse ebaõnnestus vale teabe, mitte pahatahtliku sekkumise tõttu.
Andmete vargus, väljafiltreerimine ja puhastamine
Varastatud teave ulatub maksekaardi andmetest kaugemale ja sisaldab täisnimesid, telefoninumbreid, e-posti aadresse ja saatmisaadresse. Skimmer edastab need andmed HTTP POST-päringu kaudu aadressile lasorie(dot)com.
Kui väljafiltreerimisprotsess on lõppenud, eemaldab pahavara võltsvormi, taastab legitiimse Stripe'i liidese ja kustutab oma tegevuse jäljed kassalehelt. Seejärel määrab see 'wc_cart_hash' väärtuseks 'true', tagades, et kopeerimisvahend sama ohvri puhul uuesti ei töötaks.
Sügavale platvormiteadmisele rajatud rünnakuahel
Teadlased märgivad, et rünnaku tegija demonstreerib WordPressi sisemiste funktsioonide põhjalikku tundmist ja kasutab rünnakuprotsessi osana ära isegi vähemtuntud platvormi funktsioone. See teadmiste sügavus koos keerukate rünnakute vältimise ja liidese manipuleerimise tehnikatega rõhutab operatsiooni küpsust ja järjepidevust.
