網路竊取攻擊活動
網路安全研究人員發現了一項自2022年1月以來持續進行的大規模網路竊取活動。活動的目標是依賴主要支付網路的企業,包括美國運通、大萊卡、Discover、JCB株式會社、萬事達卡和銀聯。將這些支付服務整合到其線上結帳系統中的公司被認為面臨最高風險。
目錄
數位掠奪和Magecart的演變
數位竊取攻擊是一種用戶端入侵攻擊,攻擊者會將惡意 JavaScript 程式碼注入合法的電子商務網站和支付入口網站。注入的代碼會在客戶輸入付款資訊時悄無聲息地竊取信用卡資料和個人資訊。
這種活動屬於通常被稱為「Magecart」的更廣泛範疇。這個術語最初指的是專注於基於Magento的電子商務網站的鬆散的網路犯罪團夥,但後來其含義已擴展到涵蓋跨多個平台和技術的竊取資訊行為。
與規避制裁相關的基礎設施
該活動是在對與 Stark Industries 相關的可疑域名進行調查時發現的。 Stark Industries 是一家提供防彈主機服務的公司,但已被制裁。其母公司 PQ.Hosting 後來將該服務更名為 THE.Hosting,目前由荷蘭公司 WorkTitans BV 經營,據報道此舉是為了規避制裁。
發現網域名稱 cdn-cookie(dot)com 託管了經過高度混淆的 JavaScript 文件,例如「recorder.js」和「tab-gtm.js」。這些腳本被嵌入到被入侵的線上商店中,從而實現了隱藏的信用卡資訊竊取。
透過自毀和環境意識實現隱密
此竊取程式經過精心設計,能夠主動規避網站管理員的偵測。它會檢查文件物件模型 (DOM) 中是否存在「wpadminbar」元素,該元素是 WordPress 管理員或特權使用者登入後可見的工具列元素。如果偵測到該元素,惡意軟體會立即觸發自我移除程序,將自身從頁面中移除。
為了在正常瀏覽過程中保持持久性,每次頁面 DOM 發生變化時,竊取程式都會嘗試執行,這在現代網站的使用者互動過程中很常見。
利用介面操控將 Stripe 武器化
惡意程式碼包含專門設計的邏輯,旨在利用基於 Stripe 的結帳流程。當選擇 Stripe 付款時,竊取程式會檢查 localStorage 中是否存在名為「wc_cart_hash」的條目。如果該值不存在,它會建立該鍵並準備竊取資料。
此時,惡意軟體會動態地將合法的Stripe付款表單替換為偽造的表單。透過巧妙的介面操控,受害者會被誘騙在偽造的表單中輸入他們的卡號、有效期限和安全碼(CVC)。
提交後,頁面會傳回錯誤訊息,使人誤以為付款失敗是由於資訊不正確而不是惡意幹擾造成的。
資料竊取、外洩和清理
被竊資料不僅限於支付卡詳情,還包括姓名、電話號碼、電子郵件地址和收貨地址。竊取程式透過 HTTP POST 請求將這些資料傳輸到 lasorie(dot)com。
竊取程序完成後,惡意軟體會移除虛假表單,恢復合法的 Stripe 介面,並從結帳頁面刪除其活動痕跡。然後,它會將“wc_cart_hash”設為“true”,以確保竊取程式不會再次針對相同受害者執行。
基於深厚平台知識的攻擊鏈
研究人員指出,攻擊者對 WordPress 內部機制展現出深入的了解,甚至在攻擊過程中也利用了一些鮮為人知的平台功能。這種知識深度,加上其複雜的規避和介面操控技術,凸顯了這次攻擊行動的成熟度和持續性。
