Kampanj för skimmingattacker på webben
Cybersäkerhetsforskare har avslöjat en storskalig skimmingkampanj som har varit aktiv sedan januari 2022. Verksamheten riktar sig mot företag som är beroende av stora betalningsnätverk, inklusive American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard och UnionPay. Företag som integrerar dessa betaltjänster i sina onlinekassasystem bedöms löpa störst risk.
Innehållsförteckning
Digital skimming och Magecarts utveckling
Digitala skimmingattacker är en form av klientsidesattacker där hotaktörer injicerar skadlig JavaScript-kod i legitima e-handelswebbplatser och betalningsportaler. Den injicerade koden samlar i tysthet in kreditkortsuppgifter och personlig information när kunderna anger sina betalningsuppgifter.
Denna aktivitet faller under den bredare kategorin som allmänt kallas Magecart. Termen beskrev ursprungligen en lös samling cyberkriminella grupper fokuserade på Magento-baserade e-handelssajter, men den har sedan dess utvidgats till att omfatta skimming-verksamhet över många plattformar och tekniker.
Infrastruktur kopplad till sanktionsundangripande
Kampanjen identifierades under en utredning av en misstänkt domän kopplad till Stark Industries, en osäker webbhotellsleverantör som har sanktionerats. Dess moderbolag, PQ.Hosting, döpte senare om tjänsten till THE.Hosting, som nu drivs av den holländska enheten WorkTitans BV, enligt uppgift som ett sätt att kringgå sanktioner.
Domänen cdn-cookie(dot)com upptäcktes innehålla kraftigt förvrängda JavaScript-filer som 'recorder.js' och 'tab-gtm.js'. Dessa skript bäddades in i komprometterade webbutiker, där de möjliggjorde hemlig skimning av kreditkort.
Smygande genom självförstörelse och miljömedvetenhet
Skimmern konstruerades för att aktivt undvika upptäckt av webbplatsadministratörer. Den inspekterar Document Object Model för förekomst av "wpadminbar", ett verktygsfältselement som är synligt när WordPress-administratörer eller privilegierade användare är inloggade. Om detta element upptäcks utlöser skadlig kod omedelbart en självborttagningsrutin och tar bort sig själv från sidan.
För att bibehålla beständighet under normal surfning försöker skimmern köra varje gång sidans DOM ändras, vilket är vanligt förekommande vid användarinteraktion på moderna webbplatser.
Vapenförvandling av Stripe med gränssnittsmanipulation
Den skadliga koden innehåller specifik logik utformad för att utnyttja Stripe-baserade utcheckningsflöden. När Stripe väljs söker skimmern efter en localStorage-post med namnet 'wc_cart_hash'. Om värdet inte finns skapas nyckeln och data förbereds.
Vid den tidpunkten ersätter den skadliga programvaran dynamiskt det legitima Stripe-betalningsformuläret med ett förfalskat. Genom subtil manipulation av gränssnittet luras offren att ange sitt kortnummer, utgångsdatum och CVC-kod i det falska formuläret.
Efter inskickning returnerar sidan ett felmeddelande, vilket gör att det ser ut som om betalningen misslyckades på grund av felaktig information snarare än skadlig inblandning.
Datastöld, exfiltrering och sanering
Den stulna informationen går utöver betalkortsuppgifter och inkluderar fullständiga namn, telefonnummer, e-postadresser och leveransadresser. Skimmern överför dessa data via en HTTP POST-begäran till lasorie(dot)com.
När exfiltreringsprocessen är klar tar skadlig programvara bort det falska formuläret, återställer det legitima Stripe-gränssnittet och raderar spår av sin aktivitet från kassasidan. Den ställer sedan in 'wc_cart_hash' till 'true', vilket säkerställer att skimmern inte körs igen för samma offer.
En attackkedja byggd på djupgående plattformskunskap
Forskarna noterar att hotaktören uppvisar en avancerad förståelse för WordPress interna funktioner och utnyttjar även mindre kända plattformsfunktioner som en del av attackflödet. Denna djupa kunskap, i kombination med sofistikerade tekniker för undvikande och gränssnittsmanipulation, understryker operationens mognad och uthållighet.
