Kampanje for skimmingangrep på nettet
Forskere innen nettsikkerhet har avdekket en storstilt skimming-kampanje som har vært aktiv siden januar 2022. Operasjonen retter seg mot bedrifter som er avhengige av store betalingsnettverk, inkludert American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard og UnionPay. Selskaper som integrerer disse betalingstjenestene i sine nettbaserte betalingssystemer vurderes å ha den høyeste risikoen.
Innholdsfortegnelse
Digital skimming og utviklingen av Magecart
Digitale skimming-angrep er en form for klientsideangrep der trusselaktører injiserer ondsinnet JavaScript i legitime e-handelsnettsteder og betalingsportaler. Den injiserte koden samler i stillhet kredittkortdata og personlig informasjon når kunder oppgir betalingsdetaljene sine.
Denne aktiviteten faller inn under den bredere kategorien som vanligvis kalles Magecart. Begrepet beskrev opprinnelig en løs samling av nettkriminelle grupper fokusert på Magento-baserte e-handelsnettsteder, men det har siden utvidet seg til å dekke skimming-operasjoner på tvers av mange plattformer og teknologier.
Infrastruktur knyttet til sanksjonsundgåelse
Kampanjen ble identifisert under en etterforskning av et mistenkelig domene tilknyttet Stark Industries, en skuddsikker hostingleverandør som har blitt sanksjonert. Morselskapet, PQ.Hosting, omdøpte senere tjenesten til THE.Hosting, nå drevet av den nederlandske enheten WorkTitans BV, angivelig som en måte å omgå sanksjoner på.
Domenet cdn-cookie(dot)com ble funnet med sterkt forvirrede JavaScript-filer som «recorder.js» og «tab-gtm.js». Disse skriptene ble innebygd i kompromitterte nettbutikker, hvor de muliggjorde skjult skimming av kredittkort.
Sniking gjennom selvdestruksjon og miljøbevissthet
Skimmeren ble utviklet for aktivt å unngå å bli oppdaget av nettstedadministratorer. Den inspiserer dokumentobjektmodellen for tilstedeværelsen av «wpadminbar», et verktøylinjeelement som er synlig når WordPress-administratorer eller privilegerte brukere er logget inn. Hvis dette elementet oppdages, utløser skadevaren umiddelbart en selvfjerningsrutine, og sletter seg selv fra siden.
For å opprettholde utholdenhet under normal surfing, forsøker skimmeren å kjøre hver gang sidens DOM endres, noe som er vanlig under brukerinteraksjon på moderne nettsteder.
Våpengjøring av Stripe med grensesnittmanipulering
Den ondsinnede koden inneholder spesifikk logikk som er utviklet for å utnytte Stripe-baserte utsjekkingsflyter. Når Stripe er valgt, sjekker skimmeren etter en localStorage-oppføring med navnet «wc_cart_hash». Hvis verdien ikke finnes, oppretter den nøkkelen og forbereder innsamling av data.
På det tidspunktet erstatter skadevaren dynamisk det legitime Stripe-betalingsskjemaet med et forfalsket. Gjennom subtil manipulasjon av grensesnittet blir ofrene lurt til å oppgi kortnummer, utløpsdato og CVC-kode i det falske skjemaet.
Etter innsending returnerer siden en feilmelding, som får det til å se ut som om betalingen mislyktes på grunn av feil informasjon snarere enn ondsinnet innblanding.
Datatyveri, eksfiltrering og opprydding
Den stjålne informasjonen går utover betalingskortdetaljer og inkluderer fulle navn, telefonnumre, e-postadresser og leveringsadresser. Skimmeren overfører disse dataene via en HTTP POST-forespørsel til lasorie(dot)com.
Når eksfiltreringsprosessen er fullført, fjerner skadevaren det falske skjemaet, gjenoppretter det legitime Stripe-grensesnittet og sletter spor av aktiviteten fra betalingssiden. Deretter setter den «wc_cart_hash» til «true», noe som sikrer at skimmeren ikke kjører igjen for det samme offeret.
En angrepskjede bygget på dyp plattformkunnskap
Forskere bemerker at trusselaktøren demonstrerer en avansert forståelse av WordPress interne funksjoner og utnytter enda mindre kjente plattformfunksjoner som en del av angrepsflyten. Denne dybdekunnskapen, kombinert med sofistikerte unnvikelses- og grensesnittmanipulasjonsteknikker, understreker operasjonens modenhet og utholdenhet.
