वेब स्किमिङ आक्रमण अभियान
साइबर सुरक्षा अनुसन्धानकर्ताहरूले जनवरी २०२२ देखि सक्रिय रहेको ठूलो स्तरको वेब स्किमिङ अभियान पत्ता लगाएका छन्। यो अभियानले अमेरिकन एक्सप्रेस, डाइनर्स क्लब, डिस्कभर, जेसीबी कं, लिमिटेड, मास्टरकार्ड र युनियनपे लगायत प्रमुख भुक्तानी नेटवर्कहरूमा भर पर्ने उद्यम संस्थाहरूलाई लक्षित गर्दछ। यी भुक्तानी सेवाहरूलाई आफ्नो अनलाइन चेकआउट प्रणालीमा एकीकृत गर्ने कम्पनीहरूलाई उच्चतम जोखिममा रहेको मूल्याङ्कन गरिएको छ।
सामग्रीको तालिका
डिजिटल स्किमिङ र म्याजकार्टको विकास
डिजिटल स्किमिङ आक्रमणहरू ग्राहक-पक्ष सम्झौताको एक रूप हो जसमा धम्की दिने व्यक्तिहरूले वैध ई-वाणिज्य साइटहरू र भुक्तानी पोर्टलहरूमा दुर्भावनापूर्ण जाभास्क्रिप्ट इन्जेक्ट गर्छन्। इन्जेक्ट गरिएको कोडले ग्राहकहरूले आफ्नो भुक्तानी विवरणहरू प्रविष्ट गर्दा मौन रूपमा क्रेडिट कार्ड डेटा र व्यक्तिगत जानकारी सङ्कलन गर्दछ।
यो गतिविधि सामान्यतया म्याजकार्ट भनेर चिनिने फराकिलो वर्ग अन्तर्गत पर्दछ। यो शब्दले मूल रूपमा म्याजेन्टो-आधारित ई-कमर्स साइटहरूमा केन्द्रित साइबर अपराध समूहहरूको खुकुलो संग्रहलाई वर्णन गरेको थियो, तर त्यसपछि यो धेरै प्लेटफर्महरू र प्रविधिहरूमा स्किमिङ अपरेशनहरू समेट्न विस्तार भएको छ।
पूर्वाधार प्रतिबन्ध छलीसँग जोडिएको छ
बुलेटप्रुफ होस्टिङ प्रदायक स्टार्क इन्डस्ट्रिजसँग सम्बन्धित शंकास्पद डोमेनको अनुसन्धानको क्रममा यो अभियान पहिचान गरिएको थियो। यसको मूल कम्पनी, PQ.Hosting ले पछि सेवालाई THE.Hosting को रूपमा पुन: ब्रान्ड गर्यो, जुन अहिले डच संस्था WorkTitans BV द्वारा सञ्चालित छ, प्रतिबन्धहरूबाट बच्ने तरिकाको रूपमा रिपोर्ट गरिएको छ।
cdn-cookie(dot)com डोमेनले 'recorder.js' र 'tab-gtm.js' जस्ता धेरै अस्पष्ट जाभास्क्रिप्ट फाइलहरू होस्ट गरेको पाइयो। यी स्क्रिप्टहरू सम्झौता गरिएका अनलाइन पसलहरूमा एम्बेड गरिएका थिए, जहाँ तिनीहरूले गोप्य क्रेडिट कार्ड स्किमिङ सक्षम पारे।
आत्म-विनाश र वातावरणीय जागरूकता मार्फत चोरी
स्किमरलाई साइट प्रशासकहरूद्वारा सक्रिय रूपमा पत्ता लगाउनबाट बच्नको लागि इन्जिनियर गरिएको थियो। यसले 'wpadminbar' को उपस्थितिको लागि कागजात वस्तु मोडेलको निरीक्षण गर्दछ, जुन WordPress प्रशासकहरू वा विशेषाधिकार प्राप्त प्रयोगकर्ताहरू लग इन हुँदा देखिने उपकरणपट्टी तत्व हो। यदि यो तत्व पत्ता लाग्यो भने, मालवेयरले तुरुन्तै स्व-हटाउने दिनचर्या ट्रिगर गर्दछ, पृष्ठबाट आफैलाई मेटाउँछ।
सामान्य ब्राउजिङको समयमा स्थिरता कायम राख्न, स्किमरले पृष्ठको DOM परिवर्तन हुँदा प्रत्येक पटक कार्यान्वयन गर्ने प्रयास गर्छ, जुन आधुनिक वेबसाइटहरूमा प्रयोगकर्ता अन्तरक्रियाको समयमा सामान्य घटना हो।
इन्टरफेस हेरफेरको साथ हतियार बनाउने स्ट्राइप
मालिसियस कोडमा स्ट्राइप-आधारित चेकआउट फ्लोहरू शोषण गर्न डिजाइन गरिएको विशिष्ट तर्क हुन्छ। स्ट्राइप चयन गर्दा, स्किमरले 'wc_cart_hash' नामक स्थानीय भण्डारण प्रविष्टिको लागि जाँच गर्दछ। यदि मान अवस्थित छैन भने, यसले कुञ्जी सिर्जना गर्दछ र डेटा सङ्कलन गर्न तयार गर्दछ।
त्यस बिन्दुमा, मालवेयरले गतिशील रूपमा वैध स्ट्राइप भुक्तानी फारमलाई नक्कली फारमले प्रतिस्थापन गर्दछ। सूक्ष्म इन्टरफेस हेरफेर मार्फत, पीडितहरूलाई उनीहरूको कार्ड नम्बर, म्याद सकिने मिति, र CVC नक्कली फारममा प्रविष्ट गर्न धोका दिइन्छ।
पेस गरेपछि, पृष्ठले त्रुटि सन्देश फर्काउँछ, जसले गर्दा भुक्तानी दुर्भावनापूर्ण हस्तक्षेपको कारणले नभई गलत जानकारीको कारणले असफल भएको देखिन्छ।
डेटा चोरी, एक्सफिल्ट्रेसन, र सफाई
चोरी भएको जानकारी भुक्तानी कार्ड विवरणभन्दा बाहिर जान्छ र यसमा पूरा नाम, फोन नम्बर, इमेल ठेगाना र ढुवानी ठेगानाहरू समावेश छन्। स्किमरले यो डेटा HTTP POST अनुरोध मार्फत lasorie(dot)com मा पठाउँछ।
एकपटक एक्सफिल्ट्रेसन प्रक्रिया पूरा भएपछि, मालवेयरले नक्कली फारम हटाउँछ, वैध स्ट्राइप इन्टरफेस पुनर्स्थापित गर्छ, र चेकआउट पृष्ठबाट यसको गतिविधिको ट्रेसहरू मेटाउँछ। त्यसपछि यसले 'wc_cart_hash' लाई 'true' मा सेट गर्छ, जसले स्किमर फेरि उही पीडितको लागि नचल्ने कुरा सुनिश्चित गर्दछ।
गहिरो प्लेटफर्म ज्ञानमा निर्मित आक्रमण श्रृंखला
अनुसन्धानकर्ताहरूले नोट गर्छन् कि धम्की दिने व्यक्तिले वर्डप्रेस आन्तरिकहरूको उन्नत बुझाइ प्रदर्शन गर्दछ र आक्रमण प्रवाहको भागको रूपमा कम ज्ञात प्लेटफर्म सुविधाहरूलाई पनि प्रयोग गर्दछ। परिष्कृत चोरी र इन्टरफेस हेरफेर प्रविधिहरूसँग मिलेर ज्ञानको यो गहिराइले सञ्चालनको परिपक्वता र दृढतालाई जोड दिन्छ।
