Webes lefölözési támadási kampány
Kiberbiztonsági kutatók lelepleztek egy nagyszabású webes lehallgatási kampányt, amely 2022 januárja óta aktív. A művelet olyan nagyvállalatokat céloz meg, amelyek olyan nagyobb fizetési hálózatokra támaszkodnak, mint az American Express, a Diners Club, a Discover, a JCB Co., Ltd., a Mastercard és az UnionPay. Azok a vállalatok vannak a legnagyobb kockázatnak kitéve, amelyek ezeket a fizetési szolgáltatásokat integrálják online fizetési rendszereikbe.
Tartalomjegyzék
Digitális lefölözés és a Magecart evolúciója
A digitális lefölözéses támadások a kliensoldali kompromittálások egy formája, amelyek során a támadók rosszindulatú JavaScript kódot juttatnak be legitim e-kereskedelmi oldalakra és fizetési portálokra. A befecskendezett kód csendben gyűjti be a hitelkártyaadatokat és a személyes információkat, miközben az ügyfelek megadják fizetési adataikat.
Ez a tevékenység a Magecart néven ismert tágabb kategóriába tartozik. A kifejezés eredetileg a Magento-alapú e-kereskedelmi oldalakra összpontosító kiberbűnözői csoportok laza csoportját írta le, de azóta kibővült, és számos platformon és technológián átívelő lefölözési műveleteket is magában foglal.
Az infrastruktúra a szankciók megkerüléséhez kapcsolódik
A kampányt egy gyanús domain utáni nyomozás során azonosították, amely a Stark Industries-szel, egy szankcionált, bulletproof tárhelyszolgáltatóval hozható összefüggésbe. A szolgáltató anyavállalata, a PQ.Hosting később THE.Hosting névre keresztelte át a szolgáltatást, amelyet most a holland WorkTitans BV üzemeltet, állítólag a szankciók elkerülése érdekében.
A cdn-cookie(dot)com domainről kiderült, hogy erősen obfuszkált JavaScript fájlokat, például „recorder.js” és „tab-gtm.js” fájlokat tárol. Ezeket a szkripteket beágyazták a feltört online áruházakba, ahol lehetővé tették a titkos hitelkártya-lefölözést.
Lopakodás önpusztítás és környezettudatosság révén
A skimmert úgy tervezték, hogy aktívan elkerülje a webhely adminisztrátorainak észlelését. A Document Object Model-ben ellenőrzi a 'wpadminbar' nevű eszköztárelem jelenlétét, amely akkor látható, ha a WordPress adminisztrátorok vagy jogosultsággal rendelkező felhasználók vannak bejelentkezve. Ha ezt az elemet észleli, a rosszindulatú program azonnal elindít egy öneltávolító rutint, és törli magát az oldalról.
A normál böngészés során a perzisztencia fenntartása érdekében a skimmer minden alkalommal megkísérli a végrehajtást, amikor az oldal DOM-ja megváltozik, ami gyakori előfordulás a felhasználói interakció során a modern weboldalakon.
Csík fegyverré tétele interfész manipulációval
A rosszindulatú kód speciális logikát tartalmaz, amely a Stripe-alapú fizetési folyamatok kihasználására szolgál. A Stripe kiválasztásakor a skimmer ellenőrzi a „wc_cart_hash” nevű localStorage bejegyzést. Ha az érték nem létezik, létrehozza a kulcsot, és felkészül az adatok begyűjtésére.
Ezen a ponton a rosszindulatú program dinamikusan lecseréli a legitim Stripe fizetési űrlapot egy hamisítottra. Finom felületmanipulációval az áldozatokat ráveszik, hogy adják meg kártyaszámukat, lejárati dátumukat és CVC-kódjukat a hamis űrlapon.
A beküldés után az oldal hibaüzenetet ad vissza, így úgy tűnik, mintha a fizetés helytelen információ, nem pedig rosszindulatú beavatkozás miatt hiúsult volna meg.
Adatlopás, adatszivárgás és adattisztítás
Az ellopott információk túlmutatnak a bankkártya-adatokon, és teljes neveket, telefonszámokat, e-mail címeket és szállítási címeket is tartalmaznak. A skimmer ezeket az adatokat HTTP POST kérésen keresztül továbbítja a lasorie(dot)com címre.
Miután a kiszűrési folyamat befejeződött, a rosszindulatú program eltávolítja a hamis űrlapot, visszaállítja a legitim Stripe felületet, és törli tevékenységének nyomait a fizetési oldalról. Ezután a „wc_cart_hash” értékét „true” értékre állítja, biztosítva, hogy a skimmer ne fusson újra ugyanannál az áldozatnál.
Mély platformtudásra épülő támadási lánc
A kutatók megjegyzik, hogy a fenyegetés elkövetője a WordPress belső működésének magas szintű ismeretéről tesz tanúbizonyságot, és a támadási folyamat részeként még kevésbé ismert platformfunkciókat is kihasznál. Ez a mélyreható tudás, a kifinomult kijátszási és interfészmanipulációs technikákkal kombinálva, kiemeli a művelet érettségét és kitartását.
