ਵੈੱਬ ਸਕਿਮਿੰਗ ਹਮਲਾ ਮੁਹਿੰਮ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਵੈੱਬ ਸਕਿਮਿੰਗ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜੋ ਜਨਵਰੀ 2022 ਤੋਂ ਸਰਗਰਮ ਹੈ। ਇਹ ਕਾਰਵਾਈ ਉਨ੍ਹਾਂ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀ ਹੈ ਜੋ ਅਮਰੀਕਨ ਐਕਸਪ੍ਰੈਸ, ਡਾਇਨਰਜ਼ ਕਲੱਬ, ਡਿਸਕਵਰ, ਜੇਸੀਬੀ ਕੰਪਨੀ, ਲਿਮਟਿਡ, ਮਾਸਟਰਕਾਰਡ ਅਤੇ ਯੂਨੀਅਨਪੇ ਸਮੇਤ ਪ੍ਰਮੁੱਖ ਭੁਗਤਾਨ ਨੈੱਟਵਰਕਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ। ਉਹ ਕੰਪਨੀਆਂ ਜੋ ਇਹਨਾਂ ਭੁਗਤਾਨ ਸੇਵਾਵਾਂ ਨੂੰ ਆਪਣੇ ਔਨਲਾਈਨ ਚੈੱਕਆਉਟ ਪ੍ਰਣਾਲੀਆਂ ਵਿੱਚ ਜੋੜਦੀਆਂ ਹਨ, ਉਨ੍ਹਾਂ ਨੂੰ ਸਭ ਤੋਂ ਵੱਧ ਜੋਖਮ ਵਿੱਚ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਡਿਜੀਟਲ ਸਕਿਮਿੰਗ ਅਤੇ ਮੈਜਕਾਰਟ ਦਾ ਵਿਕਾਸ
ਡਿਜੀਟਲ ਸਕਿਮਿੰਗ ਹਮਲੇ ਕਲਾਇੰਟ-ਸਾਈਡ ਸਮਝੌਤਾ ਦਾ ਇੱਕ ਰੂਪ ਹਨ ਜਿਸ ਵਿੱਚ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਲੋਕ ਜਾਇਜ਼ ਈ-ਕਾਮਰਸ ਸਾਈਟਾਂ ਅਤੇ ਭੁਗਤਾਨ ਪੋਰਟਲਾਂ ਵਿੱਚ ਖਤਰਨਾਕ JavaScript ਇੰਜੈਕਟ ਕਰਦੇ ਹਨ। ਇੰਜੈਕਟ ਕੀਤਾ ਕੋਡ ਚੁੱਪਚਾਪ ਕ੍ਰੈਡਿਟ ਕਾਰਡ ਡੇਟਾ ਅਤੇ ਨਿੱਜੀ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦਾ ਹੈ ਕਿਉਂਕਿ ਗਾਹਕ ਆਪਣੇ ਭੁਗਤਾਨ ਵੇਰਵੇ ਦਰਜ ਕਰਦੇ ਹਨ।
ਇਹ ਗਤੀਵਿਧੀ ਆਮ ਤੌਰ 'ਤੇ ਮੈਜਕਾਰਟ ਵਜੋਂ ਜਾਣੀ ਜਾਂਦੀ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਦੇ ਅਧੀਨ ਆਉਂਦੀ ਹੈ। ਇਹ ਸ਼ਬਦ ਅਸਲ ਵਿੱਚ ਮੈਜੈਂਟੋ-ਅਧਾਰਤ ਈ-ਕਾਮਰਸ ਸਾਈਟਾਂ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਮੂਹਾਂ ਦੇ ਇੱਕ ਢਿੱਲੇ ਸੰਗ੍ਰਹਿ ਦਾ ਵਰਣਨ ਕਰਦਾ ਸੀ, ਪਰ ਬਾਅਦ ਵਿੱਚ ਇਹ ਕਈ ਪਲੇਟਫਾਰਮਾਂ ਅਤੇ ਤਕਨਾਲੋਜੀਆਂ ਵਿੱਚ ਸਕਿਮਿੰਗ ਓਪਰੇਸ਼ਨਾਂ ਨੂੰ ਕਵਰ ਕਰਨ ਲਈ ਫੈਲ ਗਿਆ ਹੈ।
ਪਾਬੰਦੀਆਂ ਦੀ ਚੋਰੀ ਨਾਲ ਜੁੜਿਆ ਬੁਨਿਆਦੀ ਢਾਂਚਾ
ਇਸ ਮੁਹਿੰਮ ਦੀ ਪਛਾਣ ਸਟਾਰਕ ਇੰਡਸਟਰੀਜ਼ ਨਾਲ ਜੁੜੇ ਇੱਕ ਸ਼ੱਕੀ ਡੋਮੇਨ ਦੀ ਜਾਂਚ ਦੌਰਾਨ ਕੀਤੀ ਗਈ ਸੀ, ਜੋ ਕਿ ਇੱਕ ਬੁਲੇਟਪਰੂਫ ਹੋਸਟਿੰਗ ਪ੍ਰਦਾਤਾ ਹੈ ਜਿਸ ਨੂੰ ਮਨਜ਼ੂਰੀ ਦਿੱਤੀ ਗਈ ਹੈ। ਇਸਦੀ ਮੂਲ ਕੰਪਨੀ, PQ.Hosting ਨੇ ਬਾਅਦ ਵਿੱਚ ਸੇਵਾ ਨੂੰ THE.Hosting ਦੇ ਰੂਪ ਵਿੱਚ ਦੁਬਾਰਾ ਬ੍ਰਾਂਡ ਕੀਤਾ, ਜੋ ਹੁਣ ਡੱਚ ਇਕਾਈ WorkTitans BV ਦੁਆਰਾ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ, ਕਥਿਤ ਤੌਰ 'ਤੇ ਪਾਬੰਦੀਆਂ ਤੋਂ ਬਚਣ ਦੇ ਤਰੀਕੇ ਵਜੋਂ।
ਡੋਮੇਨ cdn-cookie(dot)com ਨੂੰ 'recorder.js' ਅਤੇ 'tab-gtm.js' ਵਰਗੀਆਂ ਬਹੁਤ ਜ਼ਿਆਦਾ ਗੁੰਝਲਦਾਰ JavaScript ਫਾਈਲਾਂ ਦੀ ਮੇਜ਼ਬਾਨੀ ਕਰਦੇ ਪਾਇਆ ਗਿਆ। ਇਹ ਸਕ੍ਰਿਪਟਾਂ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਔਨਲਾਈਨ ਦੁਕਾਨਾਂ ਵਿੱਚ ਏਮਬੇਡ ਕੀਤੀਆਂ ਗਈਆਂ ਸਨ, ਜਿੱਥੇ ਉਹਨਾਂ ਨੇ ਗੁਪਤ ਕ੍ਰੈਡਿਟ ਕਾਰਡ ਸਕਿਮਿੰਗ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ।
ਸਵੈ-ਵਿਨਾਸ਼ ਅਤੇ ਵਾਤਾਵਰਣ ਜਾਗਰੂਕਤਾ ਰਾਹੀਂ ਚੋਰੀ-ਛਿਪੇ
ਸਕਿਮਰ ਨੂੰ ਸਾਈਟ ਪ੍ਰਸ਼ਾਸਕਾਂ ਦੁਆਰਾ ਸਰਗਰਮੀ ਨਾਲ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਹ 'wpadminbar' ਦੀ ਮੌਜੂਦਗੀ ਲਈ ਦਸਤਾਵੇਜ਼ ਆਬਜੈਕਟ ਮਾਡਲ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ, ਇੱਕ ਟੂਲਬਾਰ ਤੱਤ ਜੋ ਵਰਡਪ੍ਰੈਸ ਪ੍ਰਸ਼ਾਸਕਾਂ ਜਾਂ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਲੌਗਇਨ ਹੋਣ 'ਤੇ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ। ਜੇਕਰ ਇਹ ਤੱਤ ਖੋਜਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਤੁਰੰਤ ਇੱਕ ਸਵੈ-ਹਟਾਉਣ ਦੀ ਰੁਟੀਨ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ, ਆਪਣੇ ਆਪ ਨੂੰ ਪੰਨੇ ਤੋਂ ਮਿਟਾ ਦਿੰਦਾ ਹੈ।
ਆਮ ਬ੍ਰਾਊਜ਼ਿੰਗ ਦੌਰਾਨ ਸਥਿਰਤਾ ਬਣਾਈ ਰੱਖਣ ਲਈ, ਸਕਿਮਰ ਹਰ ਵਾਰ ਜਦੋਂ ਪੰਨੇ ਦਾ DOM ਬਦਲਦਾ ਹੈ, ਤਾਂ ਇਸਨੂੰ ਚਲਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਆਧੁਨਿਕ ਵੈੱਬਸਾਈਟਾਂ 'ਤੇ ਉਪਭੋਗਤਾ ਇੰਟਰੈਕਸ਼ਨ ਦੌਰਾਨ ਇੱਕ ਆਮ ਘਟਨਾ ਹੈ।
ਇੰਟਰਫੇਸ ਹੇਰਾਫੇਰੀ ਨਾਲ ਹਥਿਆਰ ਬਣਾਉਣ ਵਾਲੀ ਸਟ੍ਰਾਈਪ
ਖਤਰਨਾਕ ਕੋਡ ਵਿੱਚ ਖਾਸ ਤਰਕ ਹੁੰਦਾ ਹੈ ਜੋ ਸਟ੍ਰਾਈਪ-ਅਧਾਰਿਤ ਚੈੱਕਆਉਟ ਫਲੋ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਜਦੋਂ ਸਟ੍ਰਾਈਪ ਚੁਣਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਸਕਿਮਰ 'wc_cart_hash' ਨਾਮਕ ਇੱਕ ਲੋਕਲ ਸਟੋਰੇਜ ਐਂਟਰੀ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਮੁੱਲ ਮੌਜੂਦ ਨਹੀਂ ਹੈ, ਤਾਂ ਇਹ ਕੁੰਜੀ ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਲਈ ਤਿਆਰ ਕਰਦਾ ਹੈ।
ਉਸ ਸਮੇਂ, ਮਾਲਵੇਅਰ ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਜਾਇਜ਼ ਸਟ੍ਰਾਈਪ ਭੁਗਤਾਨ ਫਾਰਮ ਨੂੰ ਨਕਲੀ ਨਾਲ ਬਦਲ ਦਿੰਦਾ ਹੈ। ਸੂਖਮ ਇੰਟਰਫੇਸ ਹੇਰਾਫੇਰੀ ਦੁਆਰਾ, ਪੀੜਤਾਂ ਨੂੰ ਉਨ੍ਹਾਂ ਦੇ ਕਾਰਡ ਨੰਬਰ, ਮਿਆਦ ਪੁੱਗਣ ਦੀ ਮਿਤੀ, ਅਤੇ ਸੀਵੀਸੀ ਨੂੰ ਨਕਲੀ ਫਾਰਮ ਵਿੱਚ ਦਰਜ ਕਰਨ ਲਈ ਧੋਖਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ।
ਸਬਮਿਸ਼ਨ ਤੋਂ ਬਾਅਦ, ਪੰਨਾ ਇੱਕ ਗਲਤੀ ਸੁਨੇਹਾ ਵਾਪਸ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇਹ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ ਕਿ ਭੁਗਤਾਨ ਗਲਤ ਜਾਣਕਾਰੀ ਕਾਰਨ ਅਸਫਲ ਹੋਇਆ ਹੈ, ਨਾ ਕਿ ਦੁਰਵਿਵਹਾਰਕ ਦਖਲਅੰਦਾਜ਼ੀ ਕਰਕੇ।
ਡਾਟਾ ਚੋਰੀ, ਐਕਸਫਿਲਟਰੇਸ਼ਨ, ਅਤੇ ਸਫਾਈ
ਚੋਰੀ ਹੋਈ ਜਾਣਕਾਰੀ ਭੁਗਤਾਨ ਕਾਰਡ ਦੇ ਵੇਰਵਿਆਂ ਤੋਂ ਪਰੇ ਹੈ ਅਤੇ ਇਸ ਵਿੱਚ ਪੂਰੇ ਨਾਮ, ਫ਼ੋਨ ਨੰਬਰ, ਈਮੇਲ ਪਤੇ ਅਤੇ ਸ਼ਿਪਿੰਗ ਪਤੇ ਸ਼ਾਮਲ ਹਨ। ਸਕਿਮਰ ਇਸ ਡੇਟਾ ਨੂੰ HTTP POST ਬੇਨਤੀ ਰਾਹੀਂ lasorie(dot)com ਨੂੰ ਭੇਜਦਾ ਹੈ।
ਇੱਕ ਵਾਰ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਪੂਰੀ ਹੋ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਨਕਲੀ ਫਾਰਮ ਨੂੰ ਹਟਾ ਦਿੰਦਾ ਹੈ, ਜਾਇਜ਼ ਸਟ੍ਰਾਈਪ ਇੰਟਰਫੇਸ ਨੂੰ ਬਹਾਲ ਕਰਦਾ ਹੈ, ਅਤੇ ਚੈੱਕਆਉਟ ਪੰਨੇ ਤੋਂ ਆਪਣੀ ਗਤੀਵਿਧੀ ਦੇ ਨਿਸ਼ਾਨ ਮਿਟਾ ਦਿੰਦਾ ਹੈ। ਇਹ ਫਿਰ 'wc_cart_hash' ਨੂੰ 'true' ਤੇ ਸੈੱਟ ਕਰਦਾ ਹੈ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਸਕਿਮਰ ਦੁਬਾਰਾ ਉਸੇ ਪੀੜਤ ਲਈ ਨਾ ਚੱਲੇ।
ਡੂੰਘੇ ਪਲੇਟਫਾਰਮ ਗਿਆਨ 'ਤੇ ਬਣੀ ਇੱਕ ਹਮਲੇ ਦੀ ਲੜੀ
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਨੋਟ ਕੀਤਾ ਹੈ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਦਾਕਾਰ ਵਰਡਪ੍ਰੈਸ ਇੰਟਰਨਲ ਦੀ ਇੱਕ ਉੱਨਤ ਸਮਝ ਦਰਸਾਉਂਦਾ ਹੈ ਅਤੇ ਹਮਲੇ ਦੇ ਪ੍ਰਵਾਹ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਘੱਟ ਜਾਣੀਆਂ ਜਾਂਦੀਆਂ ਪਲੇਟਫਾਰਮ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦਾ ਵੀ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ। ਗਿਆਨ ਦੀ ਇਹ ਡੂੰਘਾਈ, ਸੂਝਵਾਨ ਚੋਰੀ ਅਤੇ ਇੰਟਰਫੇਸ ਹੇਰਾਫੇਰੀ ਤਕਨੀਕਾਂ ਦੇ ਨਾਲ, ਕਾਰਜ ਦੀ ਪਰਿਪੱਕਤਾ ਅਤੇ ਸਥਿਰਤਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।
