کمپین حمله وب اسکیمینگ

محققان امنیت سایبری یک کمپین بزرگ وب اسکیمینگ را کشف کرده‌اند که از ژانویه ۲۰۲۲ فعال بوده است. این عملیات سازمان‌های سازمانی را که به شبکه‌های پرداخت اصلی از جمله American Express، Diners Club، Discover، JCB Co., Ltd.، Mastercard و UnionPay متکی هستند، هدف قرار می‌دهد. شرکت‌هایی که این خدمات پرداخت را در سیستم‌های پرداخت آنلاین خود ادغام می‌کنند، در معرض بالاترین خطر ارزیابی می‌شوند.

اسکیمینگ دیجیتال و تکامل مگ‌کارت

حملات اسکیمینگ دیجیتال نوعی از حملات نفوذ به سمت کلاینت هستند که در آن مهاجمان کدهای جاوا اسکریپت مخرب را به سایت‌های تجارت الکترونیک و پورتال‌های پرداخت قانونی تزریق می‌کنند. کد تزریق شده به طور مخفیانه اطلاعات کارت اعتباری و اطلاعات شخصی مشتریان را هنگام وارد کردن جزئیات پرداختشان جمع‌آوری می‌کند.

این فعالیت زیرمجموعه‌ی دسته‌بندی وسیع‌تری قرار می‌گیرد که معمولاً با نام Magecart شناخته می‌شود. این اصطلاح در ابتدا مجموعه‌ای از گروه‌های مجرمان سایبری را توصیف می‌کرد که بر سایت‌های تجارت الکترونیک مبتنی بر Magento متمرکز بودند، اما از آن زمان تاکنون گسترش یافته و عملیات اسکیمینگ را در بسیاری از پلتفرم‌ها و فناوری‌ها پوشش می‌دهد.

زیرساخت‌های مرتبط با دور زدن تحریم‌ها

این کمپین در جریان تحقیقات در مورد یک دامنه مشکوک مرتبط با Stark Industries، یک ارائه‌دهنده خدمات میزبانی وب که تحریم شده است، شناسایی شد. شرکت مادر آن، PQ.Hosting، بعداً این سرویس را به THE.Hosting تغییر نام داد که اکنون توسط نهاد هلندی WorkTitans BV اداره می‌شود، که گفته می‌شود راهی برای فرار از تحریم‌ها بوده است.

دامنه cdn-cookie(dot)com میزبان فایل‌های جاوا اسکریپت به شدت مبهم مانند 'recorder.js' و 'tab-gtm.js' بود. این اسکریپت‌ها در فروشگاه‌های آنلاین آسیب‌دیده جاسازی شده بودند، جایی که امکان کلاهبرداری مخفیانه از کارت اعتباری را فراهم می‌کردند.

مخفی‌کاری از طریق خودویرانگری و آگاهی محیطی

این اسکیمر طوری طراحی شده بود که به طور فعال از شناسایی توسط مدیران سایت جلوگیری کند. این اسکیمر مدل شیء سند را برای وجود «wpadminbar»، یک عنصر نوار ابزار که هنگام ورود مدیران وردپرس یا کاربران دارای امتیاز قابل مشاهده است، بررسی می‌کند. اگر این عنصر شناسایی شود، بدافزار بلافاصله یک روال خود-حذفی را آغاز می‌کند و خود را از صفحه حذف می‌کند.

برای حفظ پایداری در طول مرور عادی، اسکیمر هر بار که DOM صفحه تغییر می‌کند، تلاش می‌کند تا اجرا شود، که یک اتفاق رایج در طول تعامل کاربر در وب‌سایت‌های مدرن است.

مسلح کردن Stripe با دستکاری رابط کاربری

کد مخرب حاوی منطق خاصی است که برای سوءاستفاده از جریان‌های پرداخت مبتنی بر Stripe طراحی شده است. هنگامی که Stripe انتخاب می‌شود، اسکیمر یک ورودی localStorage با نام 'wc_cart_hash' را بررسی می‌کند. اگر مقدار وجود نداشته باشد، کلید را ایجاد کرده و آماده برداشت داده‌ها می‌شود.

در آن مرحله، بدافزار به صورت پویا فرم پرداخت قانونی Stripe را با یک فرم جعلی جایگزین می‌کند. از طریق دستکاری ظریف رابط، قربانیان فریب می‌خورند تا شماره کارت، تاریخ انقضا و CVC خود را در فرم جعلی وارد کنند.

پس از ارسال، صفحه یک پیام خطا برمی‌گرداند که به نظر می‌رسد پرداخت به دلیل اطلاعات نادرست و نه دخالت مخرب، ناموفق بوده است.

سرقت، استخراج و پاکسازی داده‌ها

اطلاعات سرقت شده فراتر از جزئیات کارت پرداخت است و شامل نام کامل، شماره تلفن، آدرس ایمیل و آدرس محل تحویل می‌شود. اسکیمر این داده‌ها را از طریق درخواست HTTP POST به lasorie(dot)com ارسال می‌کند.

پس از اتمام فرآیند استخراج، بدافزار فرم جعلی را حذف می‌کند، رابط کاربری Stripe قانونی را بازیابی می‌کند و ردپای فعالیت خود را از صفحه پرداخت حذف می‌کند. سپس 'wc_cart_hash' را روی 'true' تنظیم می‌کند تا اطمینان حاصل شود که اسکیمر دوباره برای همان قربانی اجرا نمی‌شود.

یک زنجیره حمله مبتنی بر دانش عمیق پلتفرم

محققان خاطرنشان می‌کنند که عامل تهدید، درک پیشرفته‌ای از سازوکار داخلی وردپرس نشان می‌دهد و حتی از ویژگی‌های کمتر شناخته‌شده‌ی پلتفرم نیز به عنوان بخشی از جریان حمله بهره می‌برد. این عمق دانش، همراه با تکنیک‌های پیچیده‌ی گریز و دستکاری رابط کاربری، بلوغ و پایداری این عملیات را برجسته می‌کند.