Fushata e Sulmit të Skimming Web
Studiuesit e sigurisë kibernetike kanë zbuluar një fushatë në shkallë të gjerë të vjedhjes së të dhënave në internet që ka mbetur aktive që nga janari i vitit 2022. Operacioni synon organizatat e ndërmarrjeve që mbështeten në rrjetet kryesore të pagesave, duke përfshirë American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard dhe UnionPay. Kompanitë që integrojnë këto shërbime pagesash në sistemet e tyre të arkëtimit online vlerësohen të jenë në rrezikun më të lartë.
Tabela e Përmbajtjes
Skimming Dixhital dhe Evolucioni i Magecart
Sulmet dixhitale të skimming janë një formë komprometimi nga ana e klientit, në të cilën aktorët kërcënues injektojnë JavaScript të dëmshëm në faqet legjitime të tregtisë elektronike dhe portale pagesash. Kodi i injektuar mbledh në heshtje të dhënat e kartave të kreditit dhe informacionin personal ndërsa klientët futin detajet e tyre të pagesës.
Ky aktivitet bie nën kategorinë më të gjerë të njohur zakonisht si Magecart. Termi fillimisht përshkruante një koleksion të lirshëm të grupeve kiberkriminale të përqendruara në faqet e tregtisë elektronike me bazë Magento, por që atëherë është zgjeruar për të mbuluar operacionet e vjedhjes së të dhënave në shumë platforma dhe teknologji.
Infrastruktura e lidhur me shmangien e sanksioneve
Fushata u identifikua gjatë një hetimi mbi një domen të dyshimtë të lidhur me Stark Industries, një ofrues hosting-u i paprekshëm që është sanksionuar. Kompania e saj mëmë, PQ.Hosting, më vonë e riemërtoi shërbimin si THE.Hosting, tani i operuar nga entiteti holandez WorkTitans BV, thuhet se si një mënyrë për të shmangur sanksionet.
Domeni cdn-cookie(dot)com u gjet duke mbajtur skedarë JavaScript shumë të turbullt, të tillë si 'recorder.js' dhe 'tab-gtm.js'. Këto skripte ishin të integruara në dyqane online të kompromentuara, ku ato mundësonin përgjimin e fshehtë të të dhënave të kartave të kreditit.
Fshehtësia përmes vetëshkatërrimit dhe ndërgjegjësimit mjedisor
Skimmeri është projektuar për të shmangur në mënyrë aktive zbulimin nga administratorët e faqes. Ai inspekton Modelin e Objektit të Dokumentit për praninë e 'wpadminbar', një element i shiritit të veglave i dukshëm kur administratorët e WordPress ose përdoruesit e privilegjuar janë të kyçur. Nëse zbulohet ky element, malware-i menjëherë aktivizon një rutinë vetë-heqjeje, duke u fshirë nga faqja.
Për të ruajtur qëndrueshmërinë gjatë shfletimit normal, skimmer-i përpiqet të ekzekutojë çdo herë që ndryshon DOM-i i faqes, një dukuri e zakonshme gjatë ndërveprimit të përdoruesit në faqet e internetit moderne.
Armatosja e Stripe me Manipulimin e Ndërfaqes
Kodi keqdashës përmban logjikë specifike të projektuar për të shfrytëzuar rrjedhat e arkëtimit të bazuara në Stripe. Kur zgjidhet Stripe, skimmer-i kontrollon për një hyrje localStorage të quajtur 'wc_cart_hash'. Nëse vlera nuk ekziston, ai krijon çelësin dhe përgatitet për të mbledhur të dhëna.
Në atë pikë, programi keqdashës zëvendëson në mënyrë dinamike formularin legjitim të pagesës Stripe me një të falsifikuar. Nëpërmjet manipulimit delikat të ndërfaqes, viktimat mashtrohen duke futur numrin e kartës së tyre, datën e skadimit dhe kodin CVC në formularin e falsifikuar.
Pas dërgimit, faqja kthen një mesazh gabimi, duke e bërë të duket sikur pagesa dështoi për shkak të informacionit të pasaktë dhe jo për shkak të ndërhyrjes keqdashëse.
Vjedhja, nxjerrja dhe pastrimi i të dhënave
Informacioni i vjedhur shkon përtej detajeve të kartës së pagesës dhe përfshin emrat e plotë, numrat e telefonit, adresat e email-it dhe adresat e dërgesës. Skimmeri i transmeton këto të dhëna nëpërmjet një kërkese HTTP POST te lasorie(dot)com.
Pasi të përfundojë procesi i nxjerrjes, malware heq formularin e rremë, rikthen ndërfaqen legjitime të Stripe dhe fshin gjurmët e aktivitetit të tij nga faqja e arkëtimit. Pastaj e vendos 'wc_cart_hash' në 'true', duke siguruar që skimmer-i të mos ekzekutohet përsëri për të njëjtën viktimë.
Një Zinxhir Sulmesh i Ndërtuar mbi Njohuri të Thella Platforme
Studiuesit vërejnë se aktori kërcënues demonstron një kuptim të avancuar të brendësisë së WordPress dhe shfrytëzon edhe veçoritë më pak të njohura të platformës si pjesë të rrjedhës së sulmit. Kjo thellësi njohurish, e kombinuar me teknika të sofistikuara të shmangies dhe manipulimit të ndërfaqes, nënvizon pjekurinë dhe qëndrueshmërinë e operacionit.
