వెబ్ స్కిమ్మింగ్ అటాక్ ప్రచారం
సైబర్ సెక్యూరిటీ పరిశోధకులు జనవరి 2022 నుండి యాక్టివ్గా ఉన్న ఒక పెద్ద ఎత్తున వెబ్ స్కిమ్మింగ్ ప్రచారాన్ని కనుగొన్నారు. ఈ ఆపరేషన్ అమెరికన్ ఎక్స్ప్రెస్, డైనర్స్ క్లబ్, డిస్కవర్, JCB కో., లిమిటెడ్, మాస్టర్ కార్డ్ మరియు యూనియన్పే వంటి ప్రధాన చెల్లింపు నెట్వర్క్లపై ఆధారపడే ఎంటర్ప్రైజ్ సంస్థలను లక్ష్యంగా చేసుకుంది. ఈ చెల్లింపు సేవలను వారి ఆన్లైన్ చెక్అవుట్ సిస్టమ్లలో అనుసంధానించే కంపెనీలు అత్యధిక ప్రమాదంలో ఉన్నాయని అంచనా వేయబడింది.
విషయ సూచిక
డిజిటల్ స్కిమ్మింగ్ మరియు మాగ్కార్ట్ పరిణామం
డిజిటల్ స్కిమ్మింగ్ దాడులు అనేది క్లయింట్ వైపు రాజీ యొక్క ఒక రూపం, దీనిలో బెదిరింపు నటులు హానికరమైన జావాస్క్రిప్ట్ను చట్టబద్ధమైన ఇ-కామర్స్ సైట్లు మరియు చెల్లింపు పోర్టల్లలోకి ఇంజెక్ట్ చేస్తారు. ఇంజెక్ట్ చేయబడిన కోడ్ కస్టమర్లు వారి చెల్లింపు వివరాలను నమోదు చేసినప్పుడు క్రెడిట్ కార్డ్ డేటా మరియు వ్యక్తిగత సమాచారాన్ని నిశ్శబ్దంగా సేకరిస్తుంది.
ఈ కార్యకలాపం సాధారణంగా Magecart అని పిలువబడే విస్తృత వర్గంలోకి వస్తుంది. ఈ పదం మొదట Magento-ఆధారిత ఇ-కామర్స్ సైట్లపై దృష్టి సారించిన సైబర్ నేరస్థుల సమూహాల సముదాయాన్ని వివరించింది, కానీ అప్పటి నుండి ఇది అనేక ప్లాట్ఫారమ్లు మరియు సాంకేతికతలలో స్కిమ్మింగ్ కార్యకలాపాలను కవర్ చేయడానికి విస్తరించింది.
ఆంక్షల ఎగవేతతో ముడిపడి ఉన్న మౌలిక సదుపాయాలు
బుల్లెట్ ప్రూఫ్ హోస్టింగ్ ప్రొవైడర్ అయిన స్టార్క్ ఇండస్ట్రీస్తో అనుబంధించబడిన అనుమానాస్పద డొమైన్పై దర్యాప్తులో ఈ ప్రచారం గుర్తించబడింది. దీని మాతృ సంస్థ, PQ.Hosting, తరువాత ఈ సేవను THE.Hosting గా రీబ్రాండ్ చేసింది, దీనిని ఇప్పుడు డచ్ సంస్థ వర్క్టైటాన్స్ BV నిర్వహిస్తోంది, ఇది ఆంక్షలను తప్పించుకునే మార్గంగా నివేదించబడింది.
cdn-cookie(dot)com డొమైన్ 'recorder.js' మరియు 'tab-gtm.js' వంటి భారీగా అస్పష్టమైన జావాస్క్రిప్ట్ ఫైల్లను హోస్ట్ చేస్తున్నట్లు కనుగొనబడింది. ఈ స్క్రిప్ట్లు రాజీపడిన ఆన్లైన్ షాపుల్లో పొందుపరచబడ్డాయి, అక్కడ అవి రహస్య క్రెడిట్ కార్డ్ స్కిమ్మింగ్ను ప్రారంభించాయి.
స్వీయ-విధ్వంసం మరియు పర్యావరణ అవగాహన ద్వారా స్టీల్త్
సైట్ నిర్వాహకులు గుర్తించకుండా చురుకుగా తప్పించుకునేలా స్కిమ్మర్ను రూపొందించారు. ఇది 'wpadminbar' ఉనికి కోసం డాక్యుమెంట్ ఆబ్జెక్ట్ మోడల్ను తనిఖీ చేస్తుంది, ఇది WordPress నిర్వాహకులు లేదా ప్రత్యేక వినియోగదారులు లాగిన్ అయినప్పుడు కనిపించే టూల్బార్ ఎలిమెంట్. ఈ ఎలిమెంట్ గుర్తించబడితే, మాల్వేర్ వెంటనే స్వీయ-తొలగింపు దినచర్యను ప్రేరేపిస్తుంది, పేజీ నుండి తనను తాను తొలగిస్తుంది.
సాధారణ బ్రౌజింగ్ సమయంలో నిలకడను కొనసాగించడానికి, స్కిమ్మర్ పేజీ యొక్క DOM మారిన ప్రతిసారీ అమలును ప్రయత్నిస్తుంది, ఇది ఆధునిక వెబ్సైట్లలో వినియోగదారు పరస్పర చర్య సమయంలో సాధారణ సంఘటన.
ఇంటర్ఫేస్ మానిప్యులేషన్తో స్ట్రైప్ను ఆయుధీకరించడం
ఈ హానికరమైన కోడ్ స్ట్రైప్-ఆధారిత చెక్అవుట్ ప్రవాహాలను దోపిడీ చేయడానికి రూపొందించబడిన నిర్దిష్ట లాజిక్ను కలిగి ఉంటుంది. స్ట్రైప్ ఎంచుకున్నప్పుడు, స్కిమ్మర్ 'wc_cart_hash' అనే లోకల్ స్టోరేజ్ ఎంట్రీ కోసం తనిఖీ చేస్తుంది. విలువ లేకపోతే, అది కీని సృష్టించి డేటాను సేకరించడానికి సిద్ధం చేస్తుంది.
ఆ సమయంలో, మాల్వేర్ డైనమిక్గా చట్టబద్ధమైన స్ట్రైప్ చెల్లింపు ఫారమ్ను నకిలీ దానితో భర్తీ చేస్తుంది. సూక్ష్మమైన ఇంటర్ఫేస్ మానిప్యులేషన్ ద్వారా, బాధితులు తమ కార్డ్ నంబర్, గడువు తేదీ మరియు CVCని నకిలీ ఫారమ్లోకి నమోదు చేసేలా మోసపోతారు.
సమర్పించిన తర్వాత, పేజీ ఒక దోష సందేశాన్ని అందిస్తుంది, దీని వలన చెల్లింపు తప్పు సమాచారం కారణంగా విఫలమైనట్లు కనిపిస్తుంది, హానికరమైన జోక్యం కారణంగా కాదు.
డేటా దొంగతనం, తొలగింపు మరియు శుభ్రపరచడం
దొంగిలించబడిన సమాచారం చెల్లింపు కార్డు వివరాలను మించిపోయింది మరియు పూర్తి పేర్లు, ఫోన్ నంబర్లు, ఇమెయిల్ చిరునామాలు మరియు షిప్పింగ్ చిరునామాలను కలిగి ఉంటుంది. స్కిమ్మర్ ఈ డేటాను HTTP POST అభ్యర్థన ద్వారా lasorie(dot)com కు ప్రసారం చేస్తుంది.
ఎక్స్ఫిల్ట్రేషన్ ప్రక్రియ పూర్తయిన తర్వాత, మాల్వేర్ నకిలీ ఫారమ్ను తీసివేస్తుంది, చట్టబద్ధమైన స్ట్రైప్ ఇంటర్ఫేస్ను పునరుద్ధరిస్తుంది మరియు చెక్అవుట్ పేజీ నుండి దాని కార్యాచరణ యొక్క జాడలను తొలగిస్తుంది. తరువాత ఇది 'wc_cart_hash' ను 'true' కు సెట్ చేస్తుంది, స్కిమ్మర్ మళ్ళీ అదే బాధితుడి కోసం అమలు కాకుండా చూస్తుంది.
లోతైన వేదిక జ్ఞానంపై నిర్మించిన దాడి గొలుసు
ముప్పు కలిగించే వ్యక్తి WordPress అంతర్గత అంశాల గురించి అధునాతన అవగాహనను ప్రదర్శిస్తాడని మరియు దాడి ప్రవాహంలో భాగంగా అంతగా తెలియని ప్లాట్ఫారమ్ లక్షణాలను కూడా ఉపయోగించుకుంటాడని పరిశోధకులు గమనించారు. అధునాతన ఎగవేత మరియు ఇంటర్ఫేస్ మానిప్యులేషన్ పద్ధతులతో కలిపిన ఈ జ్ఞానం యొక్క లోతు, ఆపరేషన్ యొక్క పరిపక్వత మరియు నిలకడను నొక్కి చెబుతుంది.
