Kampanya ng Pag-atake sa Web Skimming
Natuklasan ng mga mananaliksik sa cybersecurity ang isang malawakang kampanya ng web skimming na nanatiling aktibo simula noong Enero 2022. Tinatarget ng operasyon ang mga organisasyong pangnegosyo na umaasa sa mga pangunahing network ng pagbabayad, kabilang ang American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard, at UnionPay. Ang mga kumpanyang nagsasama ng mga serbisyong ito sa pagbabayad sa kanilang mga online checkout system ay tinatayang nasa pinakamataas na panganib.
Talaan ng mga Nilalaman
Digital Skimming at ang Ebolusyon ng Magecart
Ang mga digital skimming attack ay isang uri ng client-side compromise kung saan ang mga threat actor ay nagtutulak ng malisyosong JavaScript sa mga lehitimong e-commerce site at payment portal. Tahimik na kinukuha ng injected code ang data ng credit card at personal na impormasyon habang ipinapasok ng mga customer ang kanilang mga detalye sa pagbabayad.
Ang aktibidad na ito ay nabibilang sa mas malawak na kategorya na karaniwang kilala bilang Magecart. Ang termino ay orihinal na naglalarawan sa isang maluwag na koleksyon ng mga cybercriminal na grupo na nakatuon sa mga e-commerce site na nakabase sa Magento, ngunit mula noon ay lumawak na ito upang masakop ang mga operasyon ng skimming sa maraming platform at teknolohiya.
Imprastraktura na Nakaugnay sa Pag-iwas sa mga Sanksyon
Natukoy ang kampanya sa isang imbestigasyon sa isang kahina-hinalang domain na nauugnay sa Stark Industries, isang matibay na hosting provider na nabigyan ng parusa. Kalaunan ay binago ng kumpanyang magulang nito, ang PQ.Hosting, ang tatak ng serbisyo bilang THE.Hosting, na ngayon ay pinapatakbo ng Dutch entity na WorkTitans BV, na iniulat na isang paraan upang maiwasan ang mga parusa.
Ang domain na cdn-cookie(dot)com ay natagpuang nagho-host ng mga JavaScript file na lubhang natatakpan ng impormasyon gaya ng 'recorder.js' at 'tab-gtm.js.' Ang mga script na ito ay naka-embed sa mga nakompromisong online shop, kung saan pinagana ng mga ito ang palihim na pag-scan sa credit card.
Paglilihim sa Pamamagitan ng Pagsira sa Sarili at Kamalayan sa Kapaligiran
Ang skimmer ay ginawa upang aktibong maiwasan ang pagtuklas ng mga administrador ng site. Sinusuri nito ang Document Object Model para sa presensya ng 'wpadminbar,' isang elemento ng toolbar na nakikita kapag naka-log in ang mga administrador ng WordPress o mga may pribilehiyong user. Kung matukoy ang elementong ito, agad na magti-trigger ang malware ng isang self-removal routine, na siyang magbubura sa sarili nito mula sa pahina.
Upang mapanatili ang persistence habang normal na nagba-browse, sinusubukan ng skimmer na isagawa ito sa tuwing magbabago ang DOM ng pahina, isang karaniwang nangyayari sa panahon ng pakikipag-ugnayan ng user sa mga modernong website.
Pagsasandata ng Stripe gamit ang Manipulasyon ng Interface
Ang malisyosong code ay naglalaman ng partikular na lohika na idinisenyo upang pagsamantalahan ang mga daloy ng checkout na nakabatay sa Stripe. Kapag napili ang Stripe, sinusuri ng skimmer ang isang entry sa localStorage na pinangalanang 'wc_cart_hash.' Kung wala ang value, gagawa ito ng key at maghahanda para sa pagkuha ng data.
Sa puntong iyon, pabago-bagong pinapalitan ng malware ang lehitimong Stripe payment form ng isang peke. Sa pamamagitan ng banayad na manipulasyon sa interface, nalilinlang ang mga biktima na ilagay ang numero ng kanilang card, petsa ng pag-expire, at CVC sa pekeng form.
Pagkatapos ng pagsusumite, magbabalik ang pahina ng mensahe ng error, na magpapakitang-gilas ang pagbabayad dahil sa maling impormasyon sa halip na malisyosong panghihimasok.
Pagnanakaw ng Data, Pag-exfiltration, at Paglilinis
Ang ninakaw na impormasyon ay higit pa sa mga detalye ng payment card at kabilang dito ang mga buong pangalan, numero ng telepono, email address, at shipping address. Ipinapadala ng skimmer ang data na ito sa pamamagitan ng HTTP POST request sa lasorie(dot)com.
Kapag nakumpleto na ang proseso ng exfiltration, aalisin ng malware ang pekeng form, ibabalik ang lehitimong interface ng Stripe, at buburahin ang mga bakas ng aktibidad nito mula sa pahina ng checkout. Pagkatapos ay itatakda nito ang 'wc_cart_hash' sa 'true,' tinitiyak na hindi na muling tatakbo ang skimmer para sa parehong biktima.
Isang Kadena ng Pag-atake na Itinayo sa Malalim na Kaalaman sa Plataporma
Napansin ng mga mananaliksik na ang aktor ng banta ay nagpapakita ng isang advanced na pag-unawa sa mga internal na bahagi ng WordPress at ginagamit kahit ang mga hindi gaanong kilalang tampok ng platform bilang bahagi ng daloy ng pag-atake. Ang lalim ng kaalamang ito, na sinamahan ng sopistikadong mga diskarte sa pag-iwas at pagmamanipula ng interface, ay nagbibigay-diin sa kapanahunan at pagtitiyaga ng operasyon.
