Verkkosivujen salakuunteluhyökkäyskampanja
Kyberturvallisuustutkijat ovat paljastaneet laajamittaisen verkkovarkauskampanjan, joka on ollut käynnissä tammikuusta 2022 lähtien. Operaatio kohdistuu yrityksiin, jotka ovat riippuvaisia suurista maksuverkostoista, kuten American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard ja UnionPay. Yritykset, jotka integroivat nämä maksupalvelut verkkomaksujärjestelmiinsä, arvioidaan olevan suurimmassa riskissä.
Sisällysluettelo
Digitaalinen kuorinta ja Magecartin kehitys
Digitaaliset skimming-hyökkäykset ovat asiakaspuolen tietomurtoja, joissa hyökkääjät lisäävät haitallista JavaScript-koodia laillisille verkkokauppasivustoille ja maksuportaaleille. Lisäämä koodi kerää hiljaa luottokorttitietoja ja henkilötietoja asiakkaiden syöttäessä maksutietojaan.
Tämä toiminta kuuluu laajempaan kategoriaan, joka tunnetaan yleisesti nimellä Magecart. Termi kuvasi alun perin löyhää joukkoa kyberrikollisryhmiä, jotka keskittyivät Magento-pohjaisiin verkkokauppasivustoihin, mutta se on sittemmin laajentunut kattamaan myös useiden alustojen ja teknologioiden skimming-operaatioita.
Infrastruktuuri sidottu pakotteiden kiertämiseen
Kampanja tunnistettiin tutkinnan aikana, joka koski epäilyttävää verkkotunnusta, joka liittyi pakotteiden kohteeksi joutuneeseen luodinkestävään hosting-palveluntarjoajaan Stark Industries. Sen emoyhtiö PQ.Hosting nimesi palvelun myöhemmin uudelleen THE.Hostingiksi, jota nykyään ylläpitää hollantilainen yritys WorkTitans BV, kertoman mukaan keinona välttää pakotteita.
Verkkotunnuksesta cdn-cookie(dot)com löydettiin pahasti hämärrettyjä JavaScript-tiedostoja, kuten 'recorder.js' ja 'tab-gtm.js'. Nämä skriptit oli upotettu vaarantuneisiin verkkokauppoihin, joissa ne mahdollistivat luottokorttitietojen peitellyn varastamisen.
Hiiviskelyä itsetuhon ja ympäristötietoisuuden kautta
Skimmeri suunniteltiin aktiivisesti välttämään sivuston ylläpitäjien havaitsemista. Se tarkistaa Document Object Model -ohjelmasta 'wpadminbar'-työkalurivielementin, joka näkyy, kun WordPress-ylläpitäjät tai käyttöoikeutetut käyttäjät ovat kirjautuneet sisään. Jos tämä elementti havaitaan, haittaohjelma käynnistää välittömästi itsensä poistavan rutiinin ja poistaa itsensä sivulta.
Jotta pysyvyys normaalin selaamisen aikana säilyisi, silmäilijä yrittää suoritusta joka kerta, kun sivun DOM muuttuu, mikä on yleinen ilmiö käyttäjän vuorovaikutuksessa nykyaikaisilla verkkosivustoilla.
Raidan aseistaminen käyttöliittymämanipulaatiolla
Haitallinen koodi sisältää erityistä logiikkaa, joka on suunniteltu hyödyntämään Stripe-pohjaisia maksuprosesseja. Kun Stripe on valittu, silmäilijä tarkistaa localStorage-merkintää nimeltä 'wc_cart_hash'. Jos arvoa ei ole olemassa, se luo avaimen ja valmistautuu tiedon keräämiseen.
Tässä vaiheessa haittaohjelma korvaa dynaamisesti laillisen Stripe-maksulomakkeen väärennetyllä. Hienovaraisen käyttöliittymämanipulaation avulla uhrit huijataan syöttämään korttinsa numero, voimassaolopäivä ja CVC-koodi väärennettyyn lomakkeeseen.
Lähetyksen jälkeen sivu palauttaa virheilmoituksen, jolloin näyttää siltä kuin maksu epäonnistuisi virheellisten tietojen eikä ilkivaltaisen puuttumisen vuoksi.
Tietojen varkaus, vuotaminen ja siivous
Varastetut tiedot ulottuvat maksukorttitietojen lisäksi myös koko nimiin, puhelinnumeroihin, sähköpostiosoitteisiin ja toimitusosoitteisiin. Skimmeri lähettää nämä tiedot HTTP POST -pyynnön kautta osoitteeseen lasorie(dot)com.
Kun vuotoprosessi on valmis, haittaohjelma poistaa väärennetyn lomakkeen, palauttaa laillisen Stripe-käyttöliittymän ja poistaa toimintansa jäljet kassasivulta. Sitten se asettaa 'wc_cart_hash'-arvoksi 'true', mikä varmistaa, ettei skimmeriä suoriteta uudelleen samalle uhrille.
Syvällisen alustatietämyksen varaan rakennettu hyökkäysketju
Tutkijat huomauttavat, että uhkatoimija osoittaa edistynyttä ymmärrystä WordPressin sisäisistä ominaisuuksista ja hyödyntää hyökkäysprosessissa jopa vähemmän tunnettuja alustan ominaisuuksia. Tämä syvällinen tietämys yhdistettynä hienostuneisiin väistö- ja käyttöliittymämanipulaatiotekniikoihin korostaa operaation kypsyyttä ja pysyvyyttä.
