Kampanja napada s spletnim skimmingom
Raziskovalci kibernetske varnosti so odkrili obsežno kampanjo spletnega skimminga, ki je aktivna od januarja 2022. Operacija je usmerjena v poslovne organizacije, ki se zanašajo na velika plačilna omrežja, vključno z American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard in UnionPay. Podjetja, ki te plačilne storitve integrirajo v svoje spletne sisteme za plačila, so ocenjena kot najbolj ogrožena.
Kazalo
Digitalno posnemanje in razvoj Magecarta
Napadi digitalnega skimminga so oblika kompromitacije na strani odjemalca, pri kateri akterji vbrizgajo zlonamerni JavaScript v legitimna spletna mesta za e-trgovino in plačilne portale. Vbrizgana koda tiho zbira podatke o kreditnih karticah in osebne podatke, ko stranke vnašajo svoje plačilne podatke.
Ta dejavnost spada v širšo kategorijo, splošno znano kot Magecart. Izraz je prvotno opisoval ohlapno skupino kibernetskih kriminalnih skupin, osredotočenih na spletna mesta za e-trgovino, ki temeljijo na Magentu, vendar se je od takrat razširil na operacije skimminga na številnih platformah in tehnologijah.
Infrastruktura, povezana z izogibanjem sankcijam
Kampanja je bila odkrita med preiskavo sumljive domene, povezane s Stark Industries, ponudnikom gostovanja z neprebojnim nadzorom, ki je bil sankcioniran. Njegovo matično podjetje, PQ.Hosting, je storitev kasneje preimenovalo v THE.Hosting, ki ga zdaj upravlja nizozemski subjekt WorkTitans BV, domnevno kot način za izogibanje sankcijam.
Domena cdn-cookie(dot)com je gostila močno zakrite datoteke JavaScript, kot sta »recorder.js« in »tab-gtm.js«. Te skripte so bile vdelane v ogrožene spletne trgovine, kjer so omogočale prikrito skimming kreditnih kartic.
Prikritost skozi samouničenje in okoljsko ozaveščenost
Skimmer je bil zasnovan tako, da se aktivno izogne zaznavanju s strani skrbnikov spletnega mesta. Pregleduje objektni model dokumenta (Document Object Model) za prisotnost elementa »wpadminbar«, ki je viden, ko so prijavljeni skrbniki WordPressa ali privilegirani uporabniki. Če je ta element zaznan, zlonamerna programska oprema takoj sproži rutino samoodstranjevanja in se izbriše s strani.
Da bi ohranil obstojnost med običajnim brskanjem, skimmer poskuša izvesti vsakič, ko se spremeni DOM strani, kar je pogost pojav med interakcijo uporabnika na sodobnih spletnih mestih.
Orožje Stripe z manipulacijo vmesnika
Zlonamerna koda vsebuje specifično logiko, zasnovano za izkoriščanje postopkov plačila, ki temeljijo na Stripe. Ko je izbran Stripe, skimmer preveri vnos v localStorage z imenom »wc_cart_hash«. Če vrednost ne obstaja, ustvari ključ in se pripravi na zbiranje podatkov.
Na tej točki zlonamerna programska oprema dinamično nadomesti legitimni plačilni obrazec Stripe s ponarejenim. Z zahrbtno manipulacijo vmesnika žrtve prevarajo, da v ponarejeni obrazec vnesejo številko kartice, datum poteka veljavnosti in kodo CVC.
Po oddaji stran vrne sporočilo o napaki, zaradi česar je videti, kot da plačilo ni uspelo zaradi napačnih podatkov in ne zaradi zlonamernega vmešavanja.
Kraja podatkov, izbruh in čiščenje
Ukradeni podatki presegajo podatke o plačilnih karticah in vključujejo polna imena, telefonske številke, e-poštne naslove in naslove za dostavo. Skimmer te podatke prek zahteve HTTP POST posreduje lasorie(dot)com.
Ko je postopek izkopavanja končan, zlonamerna programska oprema odstrani lažni obrazec, obnovi legitimni vmesnik Stripe in izbriše sledi svoje dejavnosti s strani za plačilo. Nato nastavi »wc_cart_hash« na »true«, s čimer zagotovi, da se skimmer ne bo več zagnal za isto žrtev.
Napadalna veriga, zgrajena na poglobljenem poznavanju platforme
Raziskovalci ugotavljajo, da napadalec kaže napredno razumevanje notranjega delovanja WordPressa in kot del napada izkorišča celo manj znane funkcije platforme. Ta globina znanja, skupaj s prefinjenimi tehnikami izogibanja in manipulacije vmesnika, poudarja zrelost in vztrajnost operacije.
