Tīmekļa apkrāpšanas uzbrukuma kampaņa
Kiberdrošības pētnieki ir atklājuši plaša mēroga tīmekļa datu nozagšanas kampaņu, kas turpinās kopš 2022. gada janvāra. Operācija ir vērsta pret lieliem uzņēmumiem, kas izmanto tādus lielus maksājumu tīklus kā American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard un UnionPay. Uzņēmumi, kas integrē šos maksājumu pakalpojumus savās tiešsaistes norēķinu sistēmās, tiek uzskatīti par visaugstākā riska uzņēmumiem.
Satura rādītājs
Digitālā datu nokasīšana un Magecart evolūcija
Digitālās datu nozagšanas uzbrukumi ir klienta puses kompromitēšanas veids, kurā apdraudējumu izraisītāji ievieto ļaunprātīgu JavaScript kodu likumīgās e-komercijas vietnēs un maksājumu portālos. Ievadītais kods nemanāmi ievāc kredītkaršu datus un personisko informāciju, kad klienti ievada savus maksājuma datus.
Šī darbība ietilpst plašākā kategorijā, kas parasti pazīstama kā Magecart. Sākotnēji šis termins aprakstīja plašu kibernoziedznieku grupējumu kopumu, kas koncentrējās uz Magento e-komercijas vietnēm, taču kopš tā laika tas ir paplašinājies, aptverot datu nozagšanas operācijas daudzās platformās un tehnoloģijās.
Infrastruktūra, kas saistīta ar sankciju apiešanu
Kampaņa tika identificēta aizdomīga domēna izmeklēšanas laikā, kas saistīts ar Stark Industries, bulletproof hostinga pakalpojumu sniedzēju, kam ir piemērotas sankcijas. Tā mātesuzņēmums PQ.Hosting vēlāk pārdēvēja pakalpojumu par THE.Hosting, ko tagad pārvalda Nīderlandes uzņēmums WorkTitans BV, kā ziņots, lai izvairītos no sankcijām.
Domēnā cdn-cookie(dot)com tika mitināti stipri maskēti JavaScript faili, piemēram, “recorder.js” un “tab-gtm.js”. Šie skripti bija iegulti apdraudētos tiešsaistes veikalos, kur tie ļāva slepeni nozagt kredītkaršu datus.
Slepenība caur pašiznīcināšanos un vides apziņu
Skimmeris tika izstrādāts, lai aktīvi izvairītos no vietnes administratoru atklāšanas. Tas pārbauda dokumenta objekta modeli, lai atrastu “wpadminbar” — rīkjoslas elementu, kas ir redzams, kad ir pieteikušies WordPress administratori vai priviliģēti lietotāji. Ja šis elements tiek atklāts, ļaunprogrammatūra nekavējoties aktivizē pašiznīcināšanās rutīnu, dzēšot sevi no lapas.
Lai saglabātu noturību normālas pārlūkošanas laikā, pārsūtīšanas rīks mēģina izpildīt darbību katru reizi, kad mainās lapas DOM, kas ir bieži sastopama parādība lietotāja mijiedarbības laikā mūsdienu tīmekļa vietnēs.
Ieroču veidošanas svītra ar saskarnes manipulāciju
Ļaunprātīgais kods satur īpašu loģiku, kas paredzēta, lai izmantotu uz Stripe balstītas norēķinu plūsmas. Kad ir atlasīta Stripe, datu nolasītājs pārbauda lokālās krātuves ierakstu ar nosaukumu “wc_cart_hash”. Ja vērtība neeksistē, tas izveido atslēgu un gatavojas datu vākšanai.
Šajā brīdī ļaunprogrammatūra dinamiski aizvieto likumīgo Stripe maksājuma veidlapu ar viltotu. Ar smalku saskarnes manipulāciju palīdzību upuri tiek maldināti, lai tie viltotajā veidlapā ievadītu savas kartes numuru, derīguma termiņu un CVC kodu.
Pēc iesniegšanas lapa atgriež kļūdas ziņojumu, radot iespaidu, ka maksājums neizdevās nepareizas informācijas, nevis ļaunprātīgas iejaukšanās dēļ.
Datu zādzība, eksfiltrācija un tīrīšana
Nozagtā informācija ietver ne tikai maksājumu karšu datus, bet arī pilnus vārdus, tālruņu numurus, e-pasta adreses un piegādes adreses. Skimmeris pārsūta šos datus, izmantojot HTTP POST pieprasījumu, uz lasorie(dot)com.
Kad eksfiltrācijas process ir pabeigts, ļaunprogrammatūra noņem viltoto veidlapu, atjauno likumīgo Stripe saskarni un izdzēš savas darbības pēdas no norēķinu lapas. Pēc tam tā iestata 'wc_cart_hash' uz 'true', nodrošinot, ka datu nolasīšanas rīks nedarbojas vēlreiz tam pašam upurim.
Uzbrukuma ķēde, kas balstīta uz dziļām platformas zināšanām
Pētnieki norāda, ka apdraudējuma izpildītājs demonstrē padziļinātu izpratni par WordPress iekšējo darbību un uzbrukuma plūsmā izmanto pat mazāk zināmas platformas funkcijas. Šīs padziļinātās zināšanas apvienojumā ar izsmalcinātām apiešanas un saskarnes manipulācijas metodēm uzsver operācijas briedumu un noturību.
