Web skimming-aanvalscampagne
Onderzoekers op het gebied van cyberbeveiliging hebben een grootschalige webskimmingcampagne ontdekt die sinds januari 2022 actief is. De operatie richt zich op bedrijven die afhankelijk zijn van grote betaalnetwerken, waaronder American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard en UnionPay. Bedrijven die deze betaaldiensten in hun online betaalsystemen integreren, worden als het meest risicovol beschouwd.
Inhoudsopgave
Digitaal skimmen en de evolutie van Magecart
Digitale skimming-aanvallen zijn een vorm van client-side compromittering waarbij cybercriminelen kwaadaardige JavaScript-code injecteren in legitieme e-commercewebsites en betaalportalen. De geïnjecteerde code verzamelt ongemerkt creditcardgegevens en persoonlijke informatie wanneer klanten hun betaalgegevens invoeren.
Deze activiteit valt onder de bredere categorie die algemeen bekend staat als Magecart. De term beschreef oorspronkelijk een losse verzameling cybercriminele groepen die zich richtten op Magento-gebaseerde e-commercewebsites, maar is sindsdien uitgebreid naar skimming-operaties op vele platforms en met diverse technologieën.
Infrastructuur gekoppeld aan sanctieontduiking
De campagne werd ontdekt tijdens een onderzoek naar een verdacht domein dat gelinkt was aan Stark Industries, een zogenaamde 'bulletproof' hostingprovider die sancties heeft gekregen. Het moederbedrijf, PQ.Hosting, hernoemde de dienst later naar THE.Hosting, dat nu wordt beheerd door de Nederlandse entiteit WorkTitans BV, naar verluidt om sancties te omzeilen.
Het domein cdn-cookie(dot)com bleek zwaar versleutelde JavaScript-bestanden te hosten, zoals 'recorder.js' en 'tab-gtm.js'. Deze scripts waren ingebed in gehackte webwinkels, waar ze het heimelijk skimmen van creditcardgegevens mogelijk maakten.
Onopvallendheid door zelfvernietiging en milieubewustzijn
De skimmer was ontworpen om actief detectie door sitebeheerders te omzeilen. Het inspecteert het Document Object Model (DOM) op de aanwezigheid van 'wpadminbar', een toolbar-element dat zichtbaar is wanneer WordPress-beheerders of gebruikers met beheerdersrechten zijn ingelogd. Als dit element wordt gedetecteerd, activeert de malware onmiddellijk een zelfverwijderingsprocedure, waardoor het zichzelf van de pagina verwijdert.
Om persistentie te behouden tijdens normaal browsen, probeert de skimmer elke keer dat de DOM van de pagina verandert, een veelvoorkomend verschijnsel tijdens gebruikersinteractie op moderne websites, opnieuw te worden uitgevoerd.
Stripe inzetten als wapen door interfacemanipulatie
De kwaadaardige code bevat specifieke logica die is ontworpen om misbruik te maken van Stripe-betaalprocessen. Wanneer Stripe is geselecteerd, controleert de skimmer of er een localStorage-item met de naam 'wc_cart_hash' bestaat. Als de waarde niet bestaat, maakt de skimmer de sleutel aan en bereidt zich voor om gegevens te verzamelen.
Op dat moment vervangt de malware dynamisch het legitieme Stripe-betaalformulier door een vervalst formulier. Door subtiele manipulatie van de interface worden slachtoffers ertoe verleid hun kaartnummer, vervaldatum en CVC-code in het nepformulier in te voeren.
Na het verzenden van het document geeft de pagina een foutmelding weer, waardoor het lijkt alsof de betaling is mislukt vanwege onjuiste gegevens in plaats van opzettelijke manipulatie.
Datadiefstal, data-exfiltratie en dataopruiming
De gestolen informatie gaat verder dan alleen betaalkaartgegevens en omvat volledige namen, telefoonnummers, e-mailadressen en verzendadressen. De skimmer verzendt deze gegevens via een HTTP POST-verzoek naar lasorie(dot)com.
Zodra het data-exfiltratieproces is voltooid, verwijdert de malware het nepformulier, herstelt de legitieme Stripe-interface en wist alle sporen van zijn activiteit van de betaalpagina. Vervolgens stelt het 'wc_cart_hash' in op 'true', zodat de skimmer niet opnieuw voor hetzelfde slachtoffer wordt uitgevoerd.
Een aanvalsketen gebouwd op diepgaande platformkennis
Onderzoekers merken op dat de aanvaller een geavanceerd begrip heeft van de interne werking van WordPress en zelfs minder bekende platformfuncties benut als onderdeel van de aanvalsstrategie. Deze diepgang van kennis, gecombineerd met geavanceerde ontwijkings- en interface-manipulatietechnieken, onderstreept de volwassenheid en volharding van de operatie.
