Kampania ataku Web Skimming
Badacze cyberbezpieczeństwa odkryli zakrojoną na szeroką skalę kampanię web skimmingu, która jest aktywna od stycznia 2022 roku. Operacja jest wymierzona w przedsiębiorstwa korzystające z głównych sieci płatniczych, takich jak American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard i UnionPay. Firmy integrujące te usługi płatnicze ze swoimi systemami płatności online są oceniane jako najbardziej narażone na ryzyko.
Spis treści
Cyfrowe skimming i ewolucja Magecart
Ataki typu „digital skimming” to forma naruszenia bezpieczeństwa po stronie klienta, w której cyberprzestępcy wstrzykują złośliwy kod JavaScript do legalnych witryn e-commerce i portali płatniczych. Wstrzyknięty kod po cichu gromadzi dane kart kredytowych i dane osobowe, gdy klienci wprowadzają swoje dane płatnicze.
Działalność ta mieści się w szerszej kategorii, powszechnie znanej jako Magecart. Termin ten pierwotnie odnosił się do luźnej grupy cyberprzestępców, koncentrujących się na witrynach e-commerce opartych na Magento, ale od tego czasu rozszerzył się i obejmuje operacje skimmingu na wielu platformach i technologiach.
Infrastruktura powiązana z unikaniem sankcji
Kampania została zidentyfikowana podczas dochodzenia w sprawie podejrzanej domeny powiązanej ze Stark Industries, niezawodnym dostawcą usług hostingowych, który został objęty sankcjami. Jego spółka macierzysta, PQ.Hosting, później zmieniła nazwę usługi na THE.Hosting, obecnie obsługiwanej przez holenderski podmiot WorkTitans BV, podobno w celu uniknięcia sankcji.
W domenie cdn-cookie(dot)com znajdowały się mocno zaciemnione pliki JavaScript, takie jak „recorder.js” i „tab-gtm.js”. Skrypty te były osadzane w zainfekowanych sklepach internetowych, gdzie umożliwiały ukryte skanowanie kart kredytowych.
Ukrycie poprzez samozniszczenie i świadomość ekologiczną
Skimmer został zaprojektowany tak, aby aktywnie unikać wykrycia przez administratorów witryny. Sprawdza on model obiektów dokumentu (DOM) pod kątem obecności elementu „wpadminbar”, widocznego na pasku narzędzi po zalogowaniu administratorów WordPressa lub użytkowników z uprawnieniami. Po wykryciu tego elementu złośliwe oprogramowanie natychmiast uruchamia procedurę samousuwania, usuwając się ze strony.
Aby zachować trwałość podczas normalnego przeglądania, skimmer próbuje wykonać się za każdym razem, gdy zmienia się DOM strony. Jest to częste zjawisko podczas interakcji użytkownika na nowoczesnych stronach internetowych.
Uzbrojenie Stripe’a za pomocą manipulacji interfejsem
Złośliwy kod zawiera specyficzną logikę, której celem jest wykorzystanie przepływów płatności opartych na Stripe. Po wybraniu Stripe, skimmer sprawdza wpis w pamięci lokalnej o nazwie „wc_cart_hash”. Jeśli wartość nie istnieje, tworzy klucz i przygotowuje się do gromadzenia danych.
W tym momencie złośliwe oprogramowanie dynamicznie zastępuje legalny formularz płatności Stripe fałszywym. Poprzez subtelną manipulację interfejsem, ofiary są oszukiwane i podszywają się pod numer swojej karty, datę ważności i kod CVC w fałszywym formularzu.
Po przesłaniu formularza strona zwraca komunikat o błędzie, co sugeruje, że płatność nie powiodła się z powodu nieprawidłowych informacji, a nie w wyniku złośliwej ingerencji.
Kradzież, eksfiltracja i czyszczenie danych
Skradzione informacje wykraczają poza dane kart płatniczych i obejmują imiona i nazwiska, numery telefonów, adresy e-mail oraz adresy wysyłki. Skimmer przesyła te dane za pomocą żądania HTTP POST do serwisu lasorie(dot)com.
Po zakończeniu procesu eksfiltracji złośliwe oprogramowanie usuwa fałszywy formularz, przywraca legalny interfejs Stripe i usuwa ślady swojej aktywności ze strony płatności. Następnie ustawia parametr „wc_cart_hash” na „true”, aby upewnić się, że skimmer nie uruchomi się ponownie dla tej samej ofiary.
Łańcuch ataków oparty na głębokiej wiedzy o platformie
Badacze zauważają, że sprawca ataku wykazuje się zaawansowaną wiedzą na temat mechanizmów wewnętrznych WordPressa i wykorzystuje nawet mniej znane funkcje platformy w ramach procesu ataku. Ta dogłębna wiedza, w połączeniu z zaawansowanymi technikami unikania i manipulacji interfejsem, podkreśla dojrzałość i trwałość tej operacji.
