Kempen Serangan Skimming Web
Penyelidik keselamatan siber telah menemui kempen peninjauan web berskala besar yang kekal aktif sejak Januari 2022. Operasi ini menyasarkan organisasi perusahaan yang bergantung pada rangkaian pembayaran utama, termasuk American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard dan UnionPay. Syarikat yang mengintegrasikan perkhidmatan pembayaran ini ke dalam sistem pembayaran dalam talian mereka dinilai berisiko tertinggi.
Isi kandungan
Peninjauan Digital dan Evolusi Magecart
Serangan skimming digital merupakan satu bentuk kompromi pihak klien di mana pelaku ancaman menyuntik JavaScript berniat jahat ke dalam laman e-dagang dan portal pembayaran yang sah. Kod yang disuntik tersebut mengumpul data kad kredit dan maklumat peribadi secara senyap semasa pelanggan memasukkan butiran pembayaran mereka.
Aktiviti ini termasuk dalam kategori yang lebih luas yang dikenali sebagai Magecart. Istilah ini pada asalnya menggambarkan koleksi kumpulan penjenayah siber yang tertumpu pada laman e-dagang berasaskan Magento, tetapi sejak itu ia telah berkembang untuk merangkumi operasi peninjauan merentasi banyak platform dan teknologi.
Infrastruktur Terkait dengan Pengelakan Sekatan
Kempen itu dikenal pasti semasa siasatan ke atas domain mencurigakan yang berkaitan dengan Stark Industries, penyedia hosting yang kalis peluru yang telah dikenakan sekatan. Syarikat induknya, PQ.Hosting, kemudian menjenamakan semula perkhidmatan tersebut sebagai THE.Hosting, yang kini dikendalikan oleh entiti Belanda WorkTitans BV, dilaporkan sebagai cara untuk mengelak sekatan.
Domain cdn-cookie(dot)com didapati mengehoskan fail JavaScript yang sangat dikaburkan seperti 'recorder.js' dan 'tab-gtm.js'. Skrip ini telah dibenamkan ke dalam kedai dalam talian yang diceroboh, di mana ia membolehkan penyamaran kad kredit secara rahsia.
Senyap Melalui Pemusnahan Diri dan Kesedaran Alam Sekitar
Skimmer direka bentuk untuk mengelak pengesanan secara aktif oleh pentadbir laman web. Ia memeriksa Model Objek Dokumen untuk kehadiran 'wpadminbar', elemen bar alat yang boleh dilihat apabila pentadbir WordPress atau pengguna istimewa log masuk. Jika elemen ini dikesan, perisian hasad akan segera mencetuskan rutin penyingkiran sendiri, memadamkan dirinya sendiri daripada halaman.
Untuk mengekalkan kegigihan semasa melayari laman web biasa, skimmer cuba melaksanakan setiap kali DOM halaman berubah, satu kejadian biasa semasa interaksi pengguna di laman web moden.
Jalur Senjata dengan Manipulasi Antara Muka
Kod berniat jahat mengandungi logik khusus yang direka untuk mengeksploitasi aliran pembayaran berasaskan Stripe. Apabila Stripe dipilih, skimmer akan menyemak entri localStorage bernama 'wc_cart_hash'. Jika nilai tersebut tidak wujud, ia akan mencipta kunci dan bersedia untuk menuai data.
Pada ketika itu, perisian hasad tersebut secara dinamik menggantikan borang pembayaran Stripe yang sah dengan borang palsu. Melalui manipulasi antara muka yang halus, mangsa ditipu untuk memasukkan nombor kad, tarikh luput dan CVC mereka ke dalam borang palsu tersebut.
Selepas penyerahan, halaman tersebut akan mengembalikan mesej ralat, yang kelihatan seolah-olah pembayaran gagal disebabkan oleh maklumat yang salah dan bukannya gangguan berniat jahat.
Kecurian Data, Pengekstrakan dan Pembersihan
Maklumat yang dicuri melangkaui butiran kad pembayaran dan merangkumi nama penuh, nombor telefon, alamat e-mel dan alamat penghantaran. Skimmer menghantar data ini melalui permintaan HTTP POST kepada lasorie(dot)com.
Sebaik sahaja proses penapisan keluar selesai, perisian hasad akan mengalih keluar borang palsu, memulihkan antara muka Stripe yang sah dan memadamkan jejak aktivitinya daripada halaman pembayaran. Ia kemudian menetapkan 'wc_cart_hash' kepada 'benar', memastikan skimmer tidak berjalan lagi untuk mangsa yang sama.
Rantaian Serangan Dibina di Atas Pengetahuan Platform Mendalam
Para penyelidik menyatakan bahawa pelaku ancaman menunjukkan pemahaman yang lebih maju tentang dalaman WordPress dan memanfaatkan ciri platform yang kurang dikenali sebagai sebahagian daripada aliran serangan. Kedalaman pengetahuan ini, digabungkan dengan teknik pengelakan dan manipulasi antara muka yang canggih, menggariskan kematangan dan kegigihan operasi tersebut.
