Útoková kampaň na webskimming
Výskumníci v oblasti kybernetickej bezpečnosti odhalili rozsiahlu kampaň zameranú na skimming webu, ktorá prebieha od januára 2022. Operácia je zameraná na podnikové organizácie, ktoré sa spoliehajú na hlavné platobné siete vrátane spoločností American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard a UnionPay. Spoločnosti, ktoré integrujú tieto platobné služby do svojich online platobných systémov, sú považované za najviac ohrozené.
Obsah
Digitálne skimming a evolúcia Magecartu
Útoky digitálneho skimmingu sú formou kompromitácie na strane klienta, pri ktorej útočníci vkladajú škodlivý kód JavaScript do legitímnych stránok elektronického obchodu a platobných portálov. Vložený kód potichu zhromažďuje údaje o kreditných kartách a osobné informácie, keď zákazníci zadávajú svoje platobné údaje.
Táto aktivita spadá do širšej kategórie bežne známej ako Magecart. Termín pôvodne označoval voľný súbor kyberzločinných skupín zameraných na e-commerce stránky založené na platforme Magento, ale odvtedy sa rozšíril a zahŕňa operácie skimmingu na mnohých platformách a technológiách.
Infraštruktúra spojená s obchádzaním sankcií
Kampaň bola identifikovaná počas vyšetrovania podozrivej domény spojenej so spoločnosťou Stark Industries, poskytovateľom hostingu s nepriestrelným účinkom, na ktorého boli uvalené sankcie. Jeho materská spoločnosť PQ.Hosting neskôr premenovala službu na THE.Hosting, ktorú teraz prevádzkuje holandský subjekt WorkTitans BV, údajne ako spôsob, ako sa vyhnúť sankciám.
Doména cdn-cookie(bodka)com obsahovala silne zahalené súbory JavaScript, ako napríklad „recorder.js“ a „tab-gtm.js“. Tieto skripty boli vložené do napadnutých internetových obchodov, kde umožňovali skryté odhaľovanie údajov z kreditných kariet.
Nenápadnosť prostredníctvom sebazničenia a environmentálneho povedomia
Skimmer bol navrhnutý tak, aby sa aktívne vyhýbal detekcii správcom stránok. Kontroluje objektový model dokumentu (Document Object Model) na prítomnosť prvku „wpadminbar“, ktorý je viditeľný, keď sú prihlásení správcovia WordPressu alebo privilegovaní používatelia. Ak sa tento prvok zistí, malvér okamžite spustí rutinu samoodstránenia a odstráni sa zo stránky.
Aby sa zachovala perzistencia počas bežného prehliadania, skimmer sa pokúša o vykonanie vždy, keď sa zmení DOM stránky, čo je bežný jav počas interakcie používateľa na moderných webových stránkach.
Zbraňovanie Stripe s manipuláciou rozhrania
Škodlivý kód obsahuje špecifickú logiku navrhnutú na zneužitie platobných tokov založených na protokole Stripe. Keď je vybratý protokol Stripe, skimmer skontroluje položku localStorage s názvom „wc_cart_hash“. Ak hodnota neexistuje, vytvorí kľúč a pripraví sa na zber údajov.
V tomto bode malvér dynamicky nahradí legitímny platobný formulár Stripe falošným. Prostredníctvom jemnej manipulácie s rozhraním sú obete oklamané a do falošného formulára zadajú číslo karty, dátum expirácie a CVC kód.
Po odoslaní stránka vráti chybové hlásenie, ktoré vyzerá, akoby platba zlyhala z dôvodu nesprávnych informácií a nie z dôvodu úmyselného zásahu.
Krádež údajov, exfiltrácia a čistenie
Ukradnuté informácie presahujú rámec údajov o platobných kartách a zahŕňajú celé mená, telefónne čísla, e-mailové adresy a dodacie adresy. Skimmer tieto údaje odosiela prostredníctvom HTTP POST požiadavky na lasorie(bodka)com.
Po dokončení procesu exfiltrácie malvér odstráni falošný formulár, obnoví legitímne rozhranie Stripe a vymaže stopy svojej aktivity zo stránky platby. Potom nastaví „wc_cart_hash“ na hodnotu „true“, čím zabezpečí, že skimmer sa pre tú istú obeť znova nespustí.
Útočný reťazec postavený na hlbokých znalostiach platformy
Výskumníci poznamenávajú, že útočník preukazuje pokročilé znalosti vnútorných funkcií WordPressu a ako súčasť útočného postupu využíva aj menej známe funkcie platformy. Táto hĺbka znalostí v kombinácii so sofistikovanými technikami obchádzania a manipulácie s rozhraním podčiarkuje zrelosť a vytrvalosť operácie.
