Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Site-uri web necinstite Campanie de atac de tip „web skimming”

Campanie de atac de tip „web skimming”

Până în Mezo în Site-uri web necinstite
Tradu in:

Cercetătorii în domeniul securității cibernetice au descoperit o campanie de web skimming la scară largă, activă din ianuarie 2022. Operațiunea vizează organizațiile mari care se bazează pe rețele majore de plată, inclusiv American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard și UnionPay. Companiile care integrează aceste servicii de plată în sistemele lor de plată online sunt considerate a prezenta cel mai mare risc.

Skimming-ul digital și evoluția Magecart

Atacurile de tip „digital skimming” sunt o formă de compromitere a datelor din partea clientului, în care actorii amenințători injectează cod JavaScript malițios în site-uri de comerț electronic și portaluri de plată legitime. Codul injectat colectează în mod silențios date despre cardurile de credit și informații personale pe măsură ce clienții introduc detaliile de plată.

Această activitate se încadrează în categoria mai largă cunoscută sub numele de Magecart. Termenul descria inițial o colecție largă de grupuri de infractori cibernetici axate pe site-uri de comerț electronic bazate pe Magento, dar de atunci s-a extins pentru a acoperi operațiuni de skimming pe numeroase platforme și tehnologii.

Infrastructura legată de eludarea sancțiunilor

Campania a fost identificată în timpul unei investigații privind un domeniu suspect asociat cu Stark Industries, un furnizor de găzduire web rezistent care a fost sancționat. Compania-mamă, PQ.Hosting, a redenumit ulterior serviciul THE.Hosting, fiind acum operat de entitatea olandeză WorkTitans BV, se pare ca o modalitate de a evita sancțiunile.

Domeniul cdn-cookie(dot)com a fost descoperit găzduind fișiere JavaScript puternic ofuscate, cum ar fi „recorder.js” și „tab-gtm.js”. Aceste scripturi au fost încorporate în magazine online compromise, unde au permis skimming-ul ascuns al cardurilor de credit.

Ascuns prin autodistrugere și conștientizare a mediului

Skimmer-ul a fost conceput pentru a evita în mod activ detectarea de către administratorii site-ului. Acesta inspectează Modelul de Obiecte al Documentului pentru prezența „wpadminbar”, un element al barei de instrumente vizibil atunci când administratorii WordPress sau utilizatorii privilegiați sunt conectați. Dacă acest element este detectat, malware-ul declanșează imediat o rutină de auto-eliminare, ștergându-se de pe pagină.

Pentru a menține persistența în timpul navigării normale, skimmer-ul încearcă execuția de fiecare dată când DOM-ul paginii se modifică, o situație frecventă în timpul interacțiunii utilizatorului pe site-urile web moderne.

Armărea Stripe prin manipularea interfeței

Codul malițios conține o logică specifică concepută pentru a exploata fluxurile de checkout bazate pe Stripe. Când este selectat Stripe, skimmerul verifică o intrare localStorage numită „wc_cart_hash”. Dacă valoarea nu există, creează cheia și se pregătește să recolteze date.

În acel moment, malware-ul înlocuiește dinamic formularul de plată Stripe legitim cu unul contrafăcut. Prin manipularea subtilă a interfeței, victimele sunt păcălite să introducă numărul cardului, data expirării și codul CVC în formularul fals.

După trimitere, pagina returnează un mesaj de eroare, făcând ca plata să pară eșuată din cauza unor informații incorecte, mai degrabă decât a unei intervenții rău intenționate.

Furt de date, exfiltrare și curățare

Informațiile furate depășesc detaliile cardului de plată și includ nume complete, numere de telefon, adrese de e-mail și adrese de livrare. Skimmer-ul transmite aceste date printr-o solicitare HTTP POST către lasorie(punct)com.

Odată ce procesul de exfiltrare este complet, malware-ul elimină formularul fals, restaurează interfața Stripe legitimă și șterge urmele activității sale de pe pagina de finalizare a comenzii. Apoi setează „wc_cart_hash” la „true”, asigurându-se că skimmer-ul nu rulează din nou pentru aceeași victimă.

Un lanț de atac construit pe cunoștințe aprofundate despre platformă

Cercetătorii observă că atacatorul demonstrează o înțelegere avansată a componentelor interne ale WordPress și utilizează chiar și caracteristici mai puțin cunoscute ale platformei ca parte a fluxului de atac. Această profunzime a cunoștințelor, combinată cu tehnici sofisticate de evitare a atacului și manipulare a interfeței, subliniază maturitatea și persistența operațiunii.

Trending

Cele mai văzute

Se încarcă...