वेब स्किमिंग हमला अभियान
साइबर सुरक्षा शोधकर्ताओं ने एक बड़े पैमाने पर वेब स्किमिंग अभियान का खुलासा किया है जो जनवरी 2022 से सक्रिय है। यह अभियान उन उद्यमों को निशाना बनाता है जो अमेरिकन एक्सप्रेस, डाइनर्स क्लब, डिस्कवर, जेसीबी कंपनी लिमिटेड, मास्टरकार्ड और यूनियनपे जैसे प्रमुख भुगतान नेटवर्क पर निर्भर हैं। जिन कंपनियों ने इन भुगतान सेवाओं को अपने ऑनलाइन चेकआउट सिस्टम में एकीकृत किया है, उन्हें सबसे अधिक जोखिम में माना जा रहा है।
विषयसूची
डिजिटल स्किमिंग और मेजकार्ट का विकास
डिजिटल स्किमिंग हमले क्लाइंट-साइड कॉम्प्रोमाइज़ का एक रूप हैं, जिसमें हमलावर वैध ई-कॉमर्स साइटों और भुगतान पोर्टलों में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करते हैं। इंजेक्ट किया गया कोड चुपचाप क्रेडिट कार्ड डेटा और व्यक्तिगत जानकारी एकत्र करता है, जैसे ही ग्राहक अपने भुगतान विवरण दर्ज करते हैं।
यह गतिविधि मैजकार्ट के नाम से जानी जाने वाली व्यापक श्रेणी के अंतर्गत आती है। मूल रूप से यह शब्द मैजेंटो-आधारित ई-कॉमर्स साइटों पर केंद्रित साइबर आपराधिक समूहों के एक ढीले-ढाले संग्रह का वर्णन करता था, लेकिन तब से इसका दायरा कई प्लेटफार्मों और प्रौद्योगिकियों में स्किमिंग (अवैध धन की चोरी) के संचालन को शामिल करने के लिए विस्तारित हो गया है।
प्रतिबंधों से बचने के लिए बुनियादी ढांचा जिम्मेदार है
यह अभियान स्टार्क इंडस्ट्रीज से जुड़े एक संदिग्ध डोमेन की जांच के दौरान सामने आया, जो एक विश्वसनीय होस्टिंग प्रदाता कंपनी है और जिस पर प्रतिबंध लगाए गए हैं। इसकी मूल कंपनी, PQ.Hosting ने बाद में सेवा का नाम बदलकर THE.Hosting कर दिया, जिसे अब डच कंपनी WorkTitans BV संचालित करती है, कथित तौर पर प्रतिबंधों से बचने के लिए।
डोमेन cdn-cookie(dot)com पर 'recorder.js' और 'tab-gtm.js' जैसी अत्यधिक अस्पष्टीकृत जावास्क्रिप्ट फाइलें पाई गईं। इन स्क्रिप्टों को हैक किए गए ऑनलाइन स्टोरों में एम्बेड किया गया था, जहां इनका उपयोग गुप्त रूप से क्रेडिट कार्ड स्किमिंग को सक्षम बनाने के लिए किया गया था।
आत्म-विनाश और पर्यावरणीय जागरूकता के माध्यम से गुप्त रूप से आगे बढ़ना
यह मैलवेयर साइट प्रशासकों की नज़र से बचने के लिए बनाया गया था। यह डॉक्यूमेंट ऑब्जेक्ट मॉडल में 'wpadminbar' नामक टूलबार एलिमेंट की जाँच करता है, जो वर्डप्रेस प्रशासकों या विशेषाधिकार प्राप्त उपयोगकर्ताओं के लॉग इन होने पर दिखाई देता है। यदि यह एलिमेंट पाया जाता है, तो मैलवेयर तुरंत स्वयं को हटाने की प्रक्रिया शुरू कर देता है और पेज से खुद को डिलीट कर देता है।
सामान्य ब्राउज़िंग के दौरान निरंतरता बनाए रखने के लिए, स्किमर हर बार पेज के DOM में बदलाव होने पर निष्पादन का प्रयास करता है, जो आधुनिक वेबसाइटों पर उपयोगकर्ता की बातचीत के दौरान एक सामान्य घटना है।
इंटरफ़ेस में हेरफेर करके स्ट्राइप का दुरुपयोग करना
इस दुर्भावनापूर्ण कोड में Stripe-आधारित चेकआउट प्रक्रियाओं का फायदा उठाने के लिए विशेष लॉजिक मौजूद है। Stripe का चयन करने पर, स्किमर 'wc_cart_hash' नामक localStorage प्रविष्टि की जाँच करता है। यदि यह मान मौजूद नहीं है, तो यह कुंजी बनाता है और डेटा एकत्र करने की तैयारी करता है।
उस समय, मैलवेयर असली स्ट्राइप भुगतान फॉर्म को नकली फॉर्म से बदल देता है। चालाकी से इंटरफेस में हेरफेर करके, पीड़ितों को धोखा दिया जाता है और वे नकली फॉर्म में अपना कार्ड नंबर, समाप्ति तिथि और सीवीसी दर्ज कर देते हैं।
सबमिशन के बाद, पेज एक त्रुटि संदेश दिखाता है, जिससे ऐसा प्रतीत होता है कि भुगतान दुर्भावनापूर्ण हस्तक्षेप के बजाय गलत जानकारी के कारण विफल हुआ है।
डेटा चोरी, डेटा चोरी और डेटा सफाई
चोरी की गई जानकारी में भुगतान कार्ड विवरण के अलावा पूरे नाम, फोन नंबर, ईमेल पते और शिपिंग पते भी शामिल हैं। स्किमर इस डेटा को HTTP POST अनुरोध के माध्यम से lasorie(dot)com पर भेजता है।
डेटा लीक होने की प्रक्रिया पूरी होने के बाद, मैलवेयर नकली फॉर्म को हटा देता है, असली स्ट्राइप इंटरफ़ेस को बहाल कर देता है और चेकआउट पेज से अपनी गतिविधि के सभी निशान मिटा देता है। इसके बाद, यह 'wc_cart_hash' को 'true' पर सेट कर देता है, जिससे यह सुनिश्चित हो जाता है कि स्किमर उसी पीड़ित के लिए दोबारा न चले।
प्लेटफ़ॉर्म के गहन ज्ञान पर आधारित आक्रमण श्रृंखला
शोधकर्ताओं का कहना है कि हमलावर वर्डप्रेस की आंतरिक कार्यप्रणाली की उन्नत समझ रखता है और हमले की प्रक्रिया में कम ज्ञात प्लेटफॉर्म सुविधाओं का भी उपयोग करता है। ज्ञान की यह गहराई, परिष्कृत बचाव और इंटरफ़ेस हेरफेर तकनीकों के साथ मिलकर, इस ऑपरेशन की परिपक्वता और निरंतरता को दर्शाती है।
