Кампања напада скимирањем веба
Истраживачи сајбер безбедности открили су велику кампању скимирања веба која је активна од јануара 2022. године. Операција је усмерена на пословне организације које се ослањају на главне платне мреже, укључујући American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard и UnionPay. Компаније које интегришу ове платне услуге у своје системе за онлајн плаћање процењују се као компаније које су у највећем ризику.
Преглед садржаја
Дигитално скимирање и еволуција Magecarta
Напади дигиталним скимингом су облик компромитовања на страни клијента у коме актери претње убризгавају злонамерни JavaScript у легитимне сајтове за електронску трговину и портале за плаћање. Убризгани код тихо прикупља податке о кредитним картицама и личне информације док купци уносе своје податке о плаћању.
Ова активност спада у ширу категорију познату као Magecart. Термин је првобитно описивао лабав скуп сајбер криминалних група фокусираних на сајтове за електронску трговину засноване на Magento платформи, али се од тада проширио и обухвата операције скимирања на многим платформама и технологијама.
Инфраструктура повезана са избегавањем санкција
Кампања је идентификована током истраге сумњивог домена повезаног са Stark Industries, провајдером хостинга који је неуништиво санкционисан. Његова матична компанија, PQ.Hosting, касније је ребрендирала услугу у THE.Hosting, којом сада управља холандски ентитет WorkTitans BV, наводно као начин да се избегну санкције.
Домен cdn-cookie(dot)com је садржао јако замагљене JavaScript датотеке као што су „recorder.js“ и „tab-gtm.js“. Ове скрипте су биле уграђене у компромитоване онлајн продавнице, где су омогућавале прикривено крађу података кредитних картица.
Прикривеност кроз самоуништење и еколошку свест
Скимер је пројектован да активно избегне откривање од стране администратора сајта. Он проверава објектни модел документа (Document Object Model) у потрази за присуством „wpadminbar“, елемента траке са алаткама који је видљив када су администратори WordPress-а или привилеговани корисници пријављени. Ако се овај елемент открије, злонамерни софтвер одмах покреће рутину самоуклањања, бришући се са странице.
Да би одржао постојаност током нормалног прегледања, скимер покушава извршење сваки пут када се промени DOM странице, што је уобичајена појава током интеракције корисника на модерним веб локацијама.
Наоружавање Stripe-а манипулацијом интерфејса
Злонамерни код садржи специфичну логику дизајнирану да искористи токове плаћања засноване на Stripe-у. Када је Stripe изабран, скимер проверава локални складишни запис под називом „wc_cart_hash“. Ако вредност не постоји, креира кључ и припрема се за прикупљање података.
У том тренутку, злонамерни софтвер динамички замењује легитимни Stripe образац за плаћање фалсификованим. Суптилном манипулацијом интерфејса, жртве се преваре да унесу број своје картице, датум истека и CVC у лажни образац.
Након слања, страница враћа поруку о грешци, што чини да плаћање није успело због нетачних информација, а не због злонамерног мешања.
Крађа података, извлачење и чишћење
Украдене информације превазилазе податке о платним картицама и укључују пуна имена, бројеве телефона, имејл адресе и адресе за испоруку. Скимер преноси ове податке путем HTTP POST захтева на lasorie(dot)com.
Када се процес крађе заврши, злонамерни софтвер уклања лажни образац, враћа легитимни Stripe интерфејс и брише трагове своје активности са странице за плаћање. Затим поставља „wc_cart_hash“ на „true“, осигуравајући да се скиммер неће поново покренути за исту жртву.
Ланац напада изграђен на дубоком знању о платформи
Истраживачи напомињу да претња показује напредно разумевање унутрашњости WordPress-а и користи чак и мање познате функције платформе као део тока напада. Ова дубина знања, у комбинацији са софистицираним техникама избегавања и манипулације интерфејсом, наглашава зрелост и упорност операције.
