Кампания по атакам с использованием веб-скимминга
Исследователи в области кибербезопасности обнаружили масштабную кампанию по скиммингу веб-платежей, которая продолжается с января 2022 года. Операция нацелена на корпоративные организации, использующие основные платежные сети, включая American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard и UnionPay. Компании, интегрирующие эти платежные сервисы в свои системы онлайн-оформления заказов, считаются подверженными наибольшему риску.
Оглавление
Цифровое скимминг-мошенничество и эволюция Magecart
Атаки с использованием цифрового скимминга — это форма компрометации на стороне клиента, при которой злоумышленники внедряют вредоносный JavaScript в легитимные сайты электронной коммерции и платежные порталы. Внедренный код незаметно собирает данные кредитных карт и личную информацию, когда клиенты вводят свои платежные данные.
Эта деятельность относится к более широкой категории, обычно известной как Magecart. Первоначально этот термин описывал разрозненную группу киберпреступников, сосредоточенных на сайтах электронной коммерции на базе Magento, но с тех пор он расширился и охватывает операции по скиммингу на многих платформах и технологиях.
Инфраструктура, связанная с обходом санкций.
Кампания была выявлена в ходе расследования подозрительного домена, связанного со Stark Industries, поставщиком защищенного хостинга, который попал под санкции. Его материнская компания, PQ.Hosting, позже переименовала сервис в THE.Hosting, который теперь управляется голландской компанией WorkTitans BV, предположительно, чтобы обойти санкции.
Было обнаружено, что домен cdn-cookie(dot)com содержит сильно обфусцированные файлы JavaScript, такие как 'recorder.js' и 'tab-gtm.js'. Эти скрипты были внедрены в взломанные интернет-магазины, где они позволяли осуществлять скрытое скимминг кредитных карт.
Скрытность через саморазрушение и экологическую осведомленность
Скиммер был разработан таким образом, чтобы активно избегать обнаружения администраторами сайта. Он проверяет объектную модель документа на наличие элемента «wpadminbar» — панели инструментов, видимой, когда администраторы WordPress или пользователи с привилегиями авторизованы. Если этот элемент обнаружен, вредоносная программа немедленно запускает процедуру самоудаления, удаляя себя со страницы.
Для обеспечения стабильной работы во время обычного просмотра веб-страниц, скиммер пытается выполнить операцию каждый раз, когда изменяется DOM-структура страницы, что является распространенным явлением при взаимодействии пользователя с современными веб-сайтами.
Использование Stripe в качестве оружия с помощью манипуляций с интерфейсом.
Вредоносный код содержит специальную логику, предназначенную для использования уязвимостей в процессах оформления заказа через Stripe. При выборе Stripe скиммер проверяет наличие записи в localStorage с именем 'wc_cart_hash'. Если такое значение отсутствует, он создает ключ и готовится к сбору данных.
На этом этапе вредоносная программа динамически заменяет легитимную форму оплаты Stripe поддельной. Путем тонких манипуляций с интерфейсом жертв обманом заставляют ввести номер карты, срок действия и CVC-код в поддельную форму.
После отправки данных страница выдает сообщение об ошибке, создавая впечатление, что платеж не прошел из-за неверной информации, а не из-за злонамеренного вмешательства.
Кража данных, утечка информации и очистка данных.
Украденная информация выходит за рамки данных платежных карт и включает в себя полные имена, номера телефонов, адреса электронной почты и адреса доставки. Скиммер передает эти данные посредством HTTP POST-запроса на адрес lasorie(dot)com.
После завершения процесса эксфильтрации вредоносная программа удаляет поддельную форму, восстанавливает легитимный интерфейс Stripe и стирает следы своей активности со страницы оформления заказа. Затем она устанавливает параметр 'wc_cart_hash' в значение 'true', гарантируя, что скиммер не запустится снова для той же жертвы.
Цепочка атак, построенная на глубоком знании платформы.
Исследователи отмечают, что злоумышленник демонстрирует глубокое понимание внутренней структуры WordPress и использует даже малоизвестные функции платформы в рамках своей атаки. Такая глубина знаний в сочетании со сложными методами обхода защиты и манипулирования интерфейсом подчеркивает зрелость и устойчивость этой операции.
