קמפיין התקפת רפרוף אינטרנט
חוקרי אבטחת סייבר חשפו קמפיין רחב היקף של סקימינג באינטרנט, שנותר פעיל מאז ינואר 2022. המבצע מכוון לארגונים גדולים המסתמכים על רשתות תשלום גדולות, כולל אמריקן אקספרס, דיינרס קלאב, דיסקבר, JCB בע"מ, מאסטרקארד ו-UnionPay. חברות המשלבות שירותי תשלום אלה במערכות התשלום המקוונות שלהן מוערכות כנמצאות בסיכון הגבוה ביותר.
תוכן העניינים
רפרוף דיגיטלי והאבולוציה של מג’קארט
התקפות רפרוף דיגיטלי הן סוג של פגיעה בצד הלקוח שבה גורמי איום מזריקים קוד JavaScript זדוני לאתרי מסחר אלקטרוני לגיטימיים ופורטלי תשלום. הקוד המוזרק אוסף בשקט נתוני כרטיסי אשראי ומידע אישי כאשר לקוחות מזינים את פרטי התשלום שלהם.
פעילות זו נופלת תחת הקטגוריה הרחבה יותר המכונה Magecart. המונח תיאר במקור אוסף רופף של קבוצות פושעי סייבר המתמקדות באתרי מסחר אלקטרוני מבוססי Magento, אך מאז הוא התרחב לכלול פעולות skimming על פני פלטפורמות וטכנולוגיות רבות.
תשתית הקשורה להתחמקות מסנקציות
הקמפיין זוהה במהלך חקירה של דומיין חשוד הקשור ל-Stark Industries, ספקית אירוח חסינת כדורים שהוטלו עליה סנקציות. חברת האם שלה, PQ.Hosting, שינתה מאוחר יותר את השם של השירות ל-THE.Hosting, המופעל כיום על ידי הישות ההולנדית WorkTitans BV, על פי הדיווחים כדרך להתחמק מסנקציות.
הדומיין cdn-cookie(dot)com נמצא כמארח קבצי JavaScript מעורפלים מאוד כגון 'recorder.js' ו-'tab-gtm.js'. סקריפטים אלה הוטמעו בחנויות מקוונות שנפרצו, שם הם אפשרו גניבת כרטיסי אשראי חשאית.
התגנבות באמצעות הרס עצמי ומודעות סביבתית
הסקימר תוכנן כדי להתחמק באופן פעיל מגילוי על ידי מנהלי האתר. הוא בודק את מודל אובייקט המסמך לאיתור נוכחות של 'wpadminbar', רכיב סרגל כלים הנראה כאשר מנהלי וורדפרס או משתמשים בעלי זכויות יוצרים מחוברים. אם רכיב זה מזוהה, התוכנה הזדונית מפעילה מיד שגרת הסרה עצמית, ומוחקת את עצמה מהדף.
כדי לשמור על עקביות במהלך גלישה רגילה, הסקימר מנסה לבצע את הפעולה בכל פעם ש-DOM של הדף משתנה, תופעה שכיחה במהלך אינטראקציה של משתמשים באתרים מודרניים.
מניפולציה של ממשק באמצעות נשק פס
הקוד הזדוני מכיל לוגיקה ספציפית שנועדה לנצל זרימות קופה מבוססות Stripe. כאשר Stripe נבחר, הסקימר בודק ערך localStorage בשם 'wc_cart_hash'. אם הערך אינו קיים, הוא יוצר את המפתח ומתכונן לאיסוף נתונים.
בנקודה זו, הנוזקה מחליפה באופן דינמי את טופס התשלום הלגיטימי של Stripe בטופס מזויף. באמצעות מניפולציה עדינה של הממשק, הקורבנות מרומים ומכניסים את מספר הכרטיס, תאריך התפוגה וקוד האימות שלהם לטופס המזויף.
לאחר השליחה, הדף מחזיר הודעת שגיאה, הגורמת להיראות כאילו התשלום נכשל עקב מידע שגוי ולא עקב התערבות זדונית.
גניבת נתונים, חדירה וניקוי
המידע הגנוב חורג מפרטי כרטיסי התשלום וכולל שמות מלאים, מספרי טלפון, כתובות דוא"ל וכתובות משלוח. הסקימר משדר נתונים אלה באמצעות בקשת HTTP POST אל lasorie(dot)com.
לאחר השלמת תהליך החילוץ, הנוזקה מסירה את הטופס המזויף, משחזרת את ממשק Stripe הלגיטימי ומוחקת עקבות של פעילותה מדף התשלום. לאחר מכן היא מגדירה את 'wc_cart_hash' ל-'true', מה שמבטיח שהסקימר לא יפעל שוב עבור אותו קורבן.
שרשרת תקיפה הבנויה על ידע עמוק בפלטפורמה
חוקרים מציינים כי גורם האיום מפגין הבנה מתקדמת של המערכות הפנימיות של וורדפרס וממנף אפילו תכונות פחות מוכרות של הפלטפורמה כחלק מזרימת ההתקפה. עומק הידע הזה, בשילוב עם טכניקות התחמקות ומניפולציה מתוחכמות של ממשק, מדגיש את הבגרות וההתמדה של המבצע.
