แคมเปญโจมตีการขโมยข้อมูลเว็บไซต์
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญการขโมยข้อมูลบัตรเครดิตขนาดใหญ่ที่ยังคงดำเนินอยู่ตั้งแต่เดือนมกราคม 2022 โดยมุ่งเป้าไปที่องค์กรธุรกิจขนาดใหญ่ที่ใช้เครือข่ายการชำระเงินหลักๆ เช่น American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard และ UnionPay บริษัทที่ผสานรวมบริการชำระเงินเหล่านี้เข้ากับระบบชำระเงินออนไลน์ของตนมีความเสี่ยงสูงสุด
สารบัญ
การสแกนลายนิ้วมือแบบดิจิทัลและวิวัฒนาการของ Magecart
การโจมตีแบบขโมยข้อมูลบัตรเครดิต (Digital skimming attacks) เป็นรูปแบบหนึ่งของการโจมตีฝั่งไคลเอ็นต์ (client-side compromise) โดยผู้โจมตีจะแทรกโค้ด JavaScript ที่เป็นอันตรายเข้าไปในเว็บไซต์อีคอมเมิร์ซและระบบชำระเงินที่ถูกต้องตามกฎหมาย โค้ดที่ถูกแทรกเข้าไปจะขโมยข้อมูลบัตรเครดิตและข้อมูลส่วนบุคคลโดยไม่ให้ลูกค้ารู้ตัวขณะที่ลูกค้ากรอกรายละเอียดการชำระเงิน
กิจกรรมนี้จัดอยู่ในหมวดหมู่ที่กว้างกว่าซึ่งโดยทั่วไปเรียกว่า Magecart คำนี้เดิมทีใช้เรียกกลุ่มอาชญากรไซเบอร์ที่รวมตัวกันอย่างหลวมๆ โดยมุ่งเป้าไปที่เว็บไซต์อีคอมเมิร์ซที่ใช้ Magento แต่ต่อมาได้ขยายขอบเขตไปครอบคลุมการโจรกรรมข้อมูลบัตรเครดิตในหลายแพลตฟอร์มและเทคโนโลยี
โครงสร้างพื้นฐานที่เชื่อมโยงกับการหลีกเลี่ยงมาตรการคว่ำบาตร
แคมเปญดังกล่าวถูกตรวจพบระหว่างการสืบสวนโดเมนที่น่าสงสัยซึ่งเกี่ยวข้องกับ Stark Industries ผู้ให้บริการโฮสติ้งที่มีความปลอดภัยสูงและถูกคว่ำบาตร บริษัทแม่ของ Stark Industries คือ PQ.Hosting ได้เปลี่ยนชื่อบริการเป็น THE.Hosting ในภายหลัง โดยปัจจุบันดำเนินการโดย WorkTitans BV ซึ่งเป็นนิติบุคคลสัญชาติเนเธอร์แลนด์ มีรายงานว่าเป็นการกระทำเพื่อหลีกเลี่ยงการคว่ำบาตร
พบว่าโดเมน cdn-cookie(dot)com เป็นที่เก็บไฟล์ JavaScript ที่ถูกเข้ารหัสอย่างซับซ้อน เช่น 'recorder.js' และ 'tab-gtm.js' สคริปต์เหล่านี้ถูกฝังอยู่ในร้านค้าออนไลน์ที่ถูกโจมตี ซึ่งทำให้สามารถขโมยข้อมูลบัตรเครดิตได้อย่างลับๆ
การลอบเร้นผ่านการทำลายตนเองและการตระหนักรู้ด้านสิ่งแวดล้อม
มัลแวร์ตัวนี้ถูกออกแบบมาเพื่อหลบเลี่ยงการตรวจจับจากผู้ดูแลระบบเว็บไซต์ โดยจะตรวจสอบ Document Object Model (DMO) เพื่อหาองค์ประกอบของ 'wpadminbar' ซึ่งเป็นแถบเครื่องมือที่จะปรากฏให้เห็นเมื่อผู้ดูแลระบบ WordPress หรือผู้ใช้ที่มีสิทธิ์พิเศษเข้าสู่ระบบ หากตรวจพบองค์ประกอบนี้ มัลแวร์จะเริ่มกระบวนการลบตัวเองทันที โดยลบตัวเองออกจากหน้าเว็บ
เพื่อให้สามารถทำงานได้อย่างต่อเนื่องในระหว่างการเรียกดูเว็บไซต์ตามปกติ โปรแกรมสแกนข้อมูลจะพยายามเรียกใช้งานทุกครั้งที่ DOM ของหน้าเว็บเปลี่ยนแปลง ซึ่งเป็นสิ่งที่เกิดขึ้นบ่อยครั้งในระหว่างการใช้งานเว็บไซต์สมัยใหม่
การใช้ Stripe เป็นอาวุธด้วยการจัดการอินเทอร์เฟซ
โค้ดที่เป็นอันตรายนี้มีตรรกะเฉพาะที่ออกแบบมาเพื่อโจมตีขั้นตอนการชำระเงินผ่าน Stripe เมื่อเลือก Stripe แล้ว โปรแกรมดักข้อมูลจะตรวจสอบหาข้อมูลใน localStorage ที่ชื่อ 'wc_cart_hash' หากไม่มีค่าดังกล่าว โปรแกรมจะสร้างคีย์ขึ้นมาและเตรียมที่จะขโมยข้อมูล
ในขั้นตอนนี้ มัลแวร์จะทำการแทนที่แบบฟอร์มการชำระเงิน Stripe ที่ถูกต้องด้วยแบบฟอร์มปลอมโดยอัตโนมัติ ด้วยการเปลี่ยนแปลงหน้าตาของแบบฟอร์มอย่างแนบเนียน เหยื่อจะถูกหลอกให้กรอกหมายเลขบัตร วันหมดอายุ และรหัส CVC ลงในแบบฟอร์มปลอมนั้น
หลังจากส่งข้อมูลแล้ว หน้าเว็บจะแสดงข้อความแสดงข้อผิดพลาด ทำให้ดูเหมือนว่าการชำระเงินล้มเหลวเนื่องจากข้อมูลไม่ถูกต้อง แทนที่จะเป็นการแทรกแซงจากผู้ไม่ประสงค์ดี
การโจรกรรมข้อมูล การรั่วไหลของข้อมูล และการทำความสะอาดข้อมูล
ข้อมูลที่ถูกขโมยไปนั้นไม่ได้จำกัดอยู่แค่รายละเอียดบัตรชำระเงินเท่านั้น แต่ยังรวมถึงชื่อเต็ม หมายเลขโทรศัพท์ ที่อยู่อีเมล และที่อยู่จัดส่งสินค้าด้วย เครื่องมือขโมยข้อมูลจะส่งข้อมูลเหล่านี้ผ่านคำขอ HTTP POST ไปยัง lasorie(dot)com
เมื่อกระบวนการขโมยข้อมูลเสร็จสมบูรณ์ มัลแวร์จะลบแบบฟอร์มปลอม คืนค่าอินเทอร์เฟซ Stripe ที่ถูกต้อง และลบร่องรอยการทำงานของมันออกจากหน้าชำระเงิน จากนั้นจะตั้งค่า 'wc_cart_hash' เป็น 'true' เพื่อให้แน่ใจว่าโปรแกรมขโมยข้อมูลจะไม่ทำงานซ้ำกับเหยื่อรายเดิม
ห่วงโซ่การโจมตีที่สร้างขึ้นบนความรู้เชิงลึกของแพลตฟอร์ม
นักวิจัยตั้งข้อสังเกตว่า ผู้โจมตีแสดงให้เห็นถึงความเข้าใจอย่างลึกซึ้งเกี่ยวกับกลไกภายในของ WordPress และใช้ประโยชน์จากคุณสมบัติของแพลตฟอร์มที่ไม่ค่อยเป็นที่รู้จักในการโจมตี ความรู้เชิงลึกนี้ ผนวกกับเทคนิคการหลบเลี่ยงและการจัดการส่วนติดต่อผู้ใช้ที่ซับซ้อน เน้นย้ำถึงความเชี่ยวชาญและความต่อเนื่องของการปฏิบัติการนี้
