Kampanja napada skimmingom weba
Istraživači kibernetičke sigurnosti otkrili su veliku kampanju skimminga weba koja je aktivna od siječnja 2022. Operacija je usmjerena na poslovne organizacije koje se oslanjaju na glavne platne mreže, uključujući American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard i UnionPay. Tvrtke koje integriraju ove platne usluge u svoje online sustave plaćanja procjenjuju se kao tvrtke s najvećim rizikom.
Sadržaj
Digitalno skimming i evolucija Magecarta
Napadi digitalnim skimmingom oblik su kompromitiranja na strani klijenta u kojem akteri prijetnji ubrizgavaju zlonamjerni JavaScript u legitimne web-lokacije za e-trgovinu i portale za plaćanje. Ubrizgani kod tiho prikuplja podatke o kreditnim karticama i osobne podatke dok kupci unose svoje podatke za plaćanje.
Ova aktivnost spada u širu kategoriju poznatu kao Magecart. Pojam je izvorno opisivao labavu skupinu kibernetičkih kriminalnih skupina usmjerenih na web-mjesta za e-trgovinu temeljena na Magentu, ali se od tada proširio i obuhvatio operacije skimminga na mnogim platformama i tehnologijama.
Infrastruktura povezana s izbjegavanjem sankcija
Kampanja je identificirana tijekom istrage sumnjive domene povezane sa Stark Industries, neprobojnim pružateljem hostinga koji je sankcioniran. Njegova matična tvrtka, PQ.Hosting, kasnije je preimenovala uslugu u THE.Hosting, kojom sada upravlja nizozemski subjekt WorkTitans BV, navodno kao način izbjegavanja sankcija.
Domena cdn-cookie(dot)com sadržavala je jako zamaskirane JavaScript datoteke kao što su 'recorder.js' i 'tab-gtm.js'. Ove skripte bile su ugrađene u kompromitirane internetske trgovine, gdje su omogućavale prikriveno skimming kreditnih kartica.
Prikrivenost kroz samouništenje i ekološku osviještenost
Skimmer je dizajniran kako bi aktivno izbjegavao otkrivanje od strane administratora web-mjesta. Provjerava model objekta dokumenta (Document Object Model) za prisutnost 'wpadminbara', elementa alatne trake vidljivog kada su administratori WordPressa ili privilegirani korisnici prijavljeni. Ako se otkrije ovaj element, zlonamjerni softver odmah pokreće rutinu samouklanjanja, brišući se sa stranice.
Kako bi se održala postojanost tijekom normalnog pregledavanja, skimmer pokušava izvršiti svaki put kada se promijeni DOM stranice, što je uobičajena pojava tijekom interakcije korisnika na modernim web stranicama.
Oružavanje Stripea manipulacijom sučelja
Zlonamjerni kod sadrži specifičnu logiku osmišljenu za iskorištavanje tokova naplate temeljenih na Stripeu. Kada je odabran Stripe, skimmer provjerava unos u localStorageu pod nazivom 'wc_cart_hash'. Ako vrijednost ne postoji, stvara ključ i priprema se za prikupljanje podataka.
U tom trenutku, zlonamjerni softver dinamički zamjenjuje legitimni Stripe obrazac za plaćanje krivotvorenim. Suptilnom manipulacijom sučelja, žrtve se prevarom unose broj kartice, datum isteka i CVC u lažni obrazac.
Nakon slanja, stranica vraća poruku o pogrešci, što izgleda kao da plaćanje nije uspjelo zbog netočnih podataka, a ne zbog zlonamjerne intervencije.
Krađa podataka, eksfiltracija i čišćenje
Ukradeni podaci nadilaze podatke o platnoj kartici i uključuju puna imena, telefonske brojeve, adrese e-pošte i adrese za dostavu. Skimmer prenosi ove podatke putem HTTP POST zahtjeva na lasorie(dot)com.
Nakon što je proces eksfiltracije završen, zlonamjerni softver uklanja lažni obrazac, vraća legitimno Stripe sučelje i briše tragove svoje aktivnosti sa stranice za naplatu. Zatim postavlja 'wc_cart_hash' na 'true', osiguravajući da se skimmer ne pokrene ponovno za istu žrtvu.
Lanac napada izgrađen na dubokom poznavanju platforme
Istraživači primjećuju da napadač pokazuje napredno razumijevanje WordPressovih unutarnjih funkcija i koristi čak i manje poznate značajke platforme kao dio tijeka napada. Ova dubina znanja, u kombinaciji sa sofisticiranim tehnikama izbjegavanja i manipulacije sučeljem, naglašava zrelost i upornost operacije.
