Кампанія з атаки веб-скіммінгу
Дослідники з кібербезпеки виявили масштабну кампанію з веб-скіммінгу, яка триває з січня 2022 року. Операція спрямована на корпоративні організації, які покладаються на основні платіжні мережі, включаючи American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard та UnionPay. Компанії, які інтегрують ці платіжні сервіси у свої системи онлайн-оплати, оцінюються як такі, що знаходяться в групі найвищого ризику.
Зміст
Цифровий скімінг та еволюція Magecart
Цифрові скімінгові атаки – це форма компрометації на стороні клієнта, під час якої зловмисники впроваджують шкідливий JavaScript у легітимні сайти електронної комерції та платіжні портали. Впроваджений код непомітно збирає дані кредитних карток та особисту інформацію, коли клієнти вводять свої платіжні реквізити.
Ця діяльність підпадає під ширшу категорію, загальновідому як Magecart. Спочатку цей термін описував нечітку групу кіберзлочинних груп, зосереджених на сайтах електронної комерції на базі Magento, але з того часу він розширився та охопив операції зі скіммінгу на багатьох платформах та технологіях.
Інфраструктура, пов’язана з ухиленням від санкцій
Кампанію було виявлено під час розслідування підозрілого домену, пов'язаного зі Stark Industries, надійним хостинг-провайдером, на якого накладено санкції. Його материнська компанія, PQ.Hosting, пізніше перейменувала сервіс на THE.Hosting, яким тепер керує голландська компанія WorkTitans BV, як повідомляється, щоб уникнути санкцій.
Домен cdn-cookie(dot)com був знайдений таким, що містить сильно обфусковані файли JavaScript, такі як «recorder.js» та «tab-gtm.js». Ці скрипти були вбудовані у скомпрометовані інтернет-магазини, де вони дозволяли прихований скімінг кредитних карток.
Прихованість через самознищення та екологічну обізнаність
Скімер був розроблений для активного уникнення виявлення адміністраторами сайту. Він перевіряє об'єктну модель документа на наявність «wpadminbar» – елемента панелі інструментів, видимого, коли адміністратори WordPress або привілейовані користувачі ввійшли в систему. Якщо цей елемент виявлено, шкідливе програмне забезпечення негайно запускає процедуру самовидалення, видаляючи себе зі сторінки.
Щоб підтримувати збереження актуальності під час звичайного перегляду, скімер намагається виконати код щоразу, коли змінюється DOM сторінки, що є поширеним явищем під час взаємодії з користувачем на сучасних вебсайтах.
Збройний Stripe за допомогою маніпуляцій інтерфейсом
Шкідливий код містить спеціальну логіку, розроблену для використання процесів оформлення замовлення на основі Stripe. Коли вибрано Stripe, скіммер перевіряє запис localStorage з назвою «wc_cart_hash». Якщо значення не існує, він створює ключ і готується до збору даних.
У цей момент шкідливе програмне забезпечення динамічно замінює легітимну платіжну форму Stripe підробленою. За допомогою тонких маніпуляцій інтерфейсом жертв обманюють, змушуючи ввести номер своєї картки, термін дії та CVC у підроблену форму.
Після надсилання сторінка повертає повідомлення про помилку, через що виглядає так, ніби платіж не вдалося здійснити через неправильну інформацію, а не через зловмисне втручання.
Крадіжка, витік та очищення даних
Викрадена інформація виходить за рамки даних платіжної картки та включає повні імена, номери телефонів, адреси електронної пошти та адреси доставки. Скімер передає ці дані через HTTP POST-запит на lasorie(dot)com.
Після завершення процесу вилучення шкідливе програмне забезпечення видаляє підроблену форму, відновлює легітимний інтерфейс Stripe та видаляє сліди своєї активності зі сторінки оформлення замовлення. Потім воно встановлює для 'wc_cart_hash' значення 'true', гарантуючи, що скіммер не запуститься знову для тієї ж жертви.
Ланцюг атак, побудований на глибоких знаннях платформи
Дослідники зазначають, що зловмисник демонструє глибоке розуміння внутрішньої роботи WordPress та використовує навіть менш відомі функції платформи як частину потоку атаки. Така глибина знань у поєднанні зі складними методами ухилення від атак та маніпулювання інтерфейсом підкреслює зрілість та стійкість операції.
