Internetinės nuskaitymo atakos kampanija
Kibernetinio saugumo tyrėjai atskleidė didelio masto interneto duomenų nuskaitymo kampaniją, kuri tęsiasi nuo 2022 m. sausio mėn. Operacijos taikinys – didelės įmonės, kurios naudojasi pagrindiniais mokėjimo tinklais, įskaitant „American Express“, „Diners Club“, „Discover“, „JCB Co., Ltd.“, „Mastercard“ ir „UnionPay“. Įmonės, kurios integruoja šias mokėjimo paslaugas į savo internetines atsiskaitymo sistemas, laikomos didžiausios rizikos įmonėmis.
Turinys
Skaitmeninis nugriebimas ir „Magecart“ evoliucija
Skaitmeninio nuskaitymo atakos yra kliento pusės įsilaužimo forma, kai kenkėjiški „JavaScript“ kodai į teisėtas el. prekybos svetaines ir mokėjimo portalus įterpiami. Įterptas kodas tyliai renka kredito kortelių duomenis ir asmeninę informaciją, klientams įvedant mokėjimo informaciją.
Ši veikla patenka į platesnę kategoriją, paprastai žinomą kaip „Magecart“. Iš pradžių šis terminas apibūdino platų kibernetinių nusikaltėlių grupių, orientuotų į „Magento“ pagrindu veikiančias el. prekybos svetaines, rinkinį, tačiau vėliau jis išsiplėtė ir apima duomenų nuskaitymo operacijas įvairiose platformose ir technologijose.
Infrastruktūra, susijusi su sankcijų vengimu
Kampanija buvo nustatyta atliekant tyrimą dėl įtartino domeno, susijusio su „Stark Industries“ – sankcionuota prieglobos paslaugų teikėja. Jos patronuojanti bendrovė „PQ.Hosting“ vėliau pervadino paslaugą į „THE.Hosting“, kurią dabar valdo Nyderlandų įmonė „WorkTitans BV“, kaip pranešama, siekdama išvengti sankcijų.
Domene cdn-cookie(dot)com buvo aptikti labai užmaskuoti „JavaScript“ failai, tokie kaip „recorder.js“ ir „tab-gtm.js“. Šie scenarijai buvo įdiegti į pažeistas internetines parduotuves, kur jie leido slapta nuskaityti kreditinių kortelių duomenis.
Slaptas savęs naikinimas ir aplinkos sąmoningumas
Nuskaitymo įrankis buvo sukurtas taip, kad aktyviai išvengtų svetainės administratorių aptikimo. Jis tikrina dokumento objektų modelį, ar jame nėra „wpadminbar“ – įrankių juostos elemento, matomo prisijungus „WordPress“ administratoriams arba privilegijuotiems vartotojams. Jei šis elementas aptinkamas, kenkėjiška programa nedelsdama suaktyvina savaiminio pašalinimo procedūrą, ištrindama save iš puslapio.
Siekiant išlaikyti nuoseklumą įprasto naršymo metu, nuskaitymo įrankis bando vykdyti kiekvieną kartą, kai pasikeičia puslapio DOM – tai dažnas reiškinys, kai vartotojas sąveikauja šiuolaikinėse svetainėse.
Ginklinis juostelės pavertimas sąsajos manipuliavimu
Kenkėjiškas kodas turi specifinę logiką, skirtą išnaudoti „Stripe“ pagrindu veikiančius atsiskaitymo srautus. Pasirinkus „Stripe“, nuskaitymo įrankis ieško „localStorage“ įrašo pavadinimu „wc_cart_hash“. Jei reikšmės nėra, jis sukuria raktą ir ruošiasi rinkti duomenis.
Tuo metu kenkėjiška programa dinamiškai pakeičia teisėtą „Stripe“ mokėjimo formą padirbta. Subtiliai manipuliuojant sąsaja, aukos apgaunamos ir priverčiamos įvesti savo kortelės numerį, galiojimo datą ir CVC kodą į padirbtą formą.
Pateikus mokėjimą, puslapyje rodomas klaidos pranešimas, todėl atrodo, kad mokėjimas nepavyko dėl neteisingos informacijos, o ne dėl kenkėjiško įsikišimo.
Duomenų vagystė, išgavimas ir valymas
Pavogta informacija apima ne tik mokėjimo kortelės duomenis, bet ir vardus bei pavardes, telefono numerius, el. pašto adresus ir pristatymo adresus. Nuskaitymo programa perduoda šiuos duomenis HTTP POST užklausa adresu lasorie(dot)com.
Kai išfiltracijos procesas baigtas, kenkėjiška programa pašalina suklastotą formą, atkuria teisėtą „Stripe“ sąsają ir ištrina savo veiklos pėdsakus iš atsiskaitymo puslapio. Tada ji nustato „wc_cart_hash“ į „true“, užtikrindama, kad nuskaitymo įrankis neveiktų dar kartą tai pačiai aukai.
Atakų grandinė, sukurta remiantis giliomis platformos žiniomis
Tyrėjai pastebi, kad grėsmės vykdytojas demonstruoja puikų „WordPress“ vidaus sistemos išmanymą ir atakų sraute naudoja dar mažiau žinomas platformos funkcijas. Šios žinios kartu su sudėtingais apėjimo ir sąsajos manipuliavimo metodais pabrėžia operacijos brandą ir nuoseklumą.
