शोधकर्ताओं ने एक अलग तरह का मैजकार्ट कार्ड-स्किमिंग अभियान देखा

शोधकर्ताओं ने एक अलग तरह का मैजकार्ट कार्ड-स्किमिंग अभियान देखा

टाइम स्टैम्प: 6 जून, 2023 दोपहर 5:55 बजे
स्रोत नोड: 2704378

मैजकार्ट समूह के तहत एक हमलावर ने अमेरिका, ब्रिटेन और पांच अन्य देशों में अज्ञात संख्या में ई-कॉमर्स साइटों को मैलवेयर से संक्रमित कर दिया है, ताकि इन साइटों पर खरीदारी करने वाले लोगों के क्रेडिट कार्ड नंबर और व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) को स्कैन किया जा सके। लेकिन एक नई समस्या में, धमकी देने वाला अभिनेता कार्ड-स्किमिंग मैलवेयर को अन्य लक्षित साइटों तक पहुंचाने के लिए होस्ट के रूप में उन्हीं साइटों का उपयोग कर रहा है।

अकामाई के शोधकर्ता चल रहे अभियान को देखने वाले ने नोट किया कि यह न केवल अभियान को पिछली मैजकार्ट गतिविधि से अलग बनाता है, बल्कि यह बहुत अधिक खतरनाक भी है।

उनका आकलन है कि साइबर हमले कम से कम एक महीने से चल रहे हैं और संभावित रूप से पहले से ही हजारों लोगों को प्रभावित कर चुके हैं। अकामाई ने कहा कि अमेरिका और ब्रिटेन के अलावा, उसने ब्राजील, स्पेन, एस्टोनिया, ऑस्ट्रेलिया और पेरू में अभियान से प्रभावित वेबसाइटों को देखा है।

भुगतान कार्ड की चोरी और अधिक: एक दोहरा समझौता

मैजकार्ट ऑनलाइन भुगतान कार्ड-स्किमिंग हमलों में शामिल साइबर आपराधिक समूहों का एक ढीला समूह है। पिछले कई वर्षों में, इन समूहों ने अपने नामधारी कार्ड स्किमर्स को दुनिया भर में हजारों साइटों में इंजेक्ट किया है - जिनमें ऐसी साइटें भी शामिल हैं टिकटमास्टर और ब्रिटिश एयरवेज -और उनसे लाखों क्रेडिट कार्ड चुरा लिए, जिनसे उन्होंने अलग-अलग तरीकों से कमाई की। 

अकामाई ने पिछले साल 9,200 ई-कॉमर्स साइटों पर मैजकार्ट हमलों की गिनती की, जिनमें से 2,468 2022 के अंत तक संक्रमित रहे।

ठेठ कार्य करने का ढंग इन समूहों के लिए ज्ञात कमजोरियों का फायदा उठाकर वैध ई-कॉमर्स साइटों - या ट्रैकर्स और शॉपिंग कार्ट जैसे तीसरे पक्ष के घटकों - में गुप्त रूप से दुर्भावनापूर्ण कोड इंजेक्ट करना है, जिनका उपयोग साइटें करती हैं। जब उपयोगकर्ता छेड़छाड़ की गई वेबसाइटों के चेकआउट पेज पर क्रेडिट कार्ड की जानकारी और अन्य संवेदनशील डेटा दर्ज करते हैं, तो स्किमर्स चुपचाप डेटा को रोकते हैं और इसे रिमोट सर्वर पर भेज देते हैं। अब तक, हमलावरों ने मैगकार्ट हमलों में मुख्य रूप से ओपन सोर्स मैगेंटो ई-कॉमर्स प्लेटफॉर्म चलाने वाली साइटों को निशाना बनाया है।

नवीनतम अभियान इस मायने में थोड़ा अलग है कि हमलावर न केवल लक्षित साइटों में मैजकार्ट कार्ड स्किमर इंजेक्ट कर रहा है, बल्कि दुर्भावनापूर्ण कोड वितरित करने के लिए उनमें से कई को हाईजैक भी कर रहा है। 

अकामाई विश्लेषण के अनुसार, "वैध वेबसाइट डोमेन का उपयोग करने के प्राथमिक लाभों में से एक अंतर्निहित विश्वास है जो इन डोमेन ने समय के साथ बनाया है।" “सुरक्षा सेवाएँ और डोमेन स्कोरिंग सिस्टम आमतौर पर सकारात्मक ट्रैक रिकॉर्ड और वैध उपयोग के इतिहास वाले डोमेन को उच्च विश्वास स्तर प्रदान करते हैं। परिणामस्वरूप, इन डोमेन के तहत की जाने वाली दुर्भावनापूर्ण गतिविधियों का पता नहीं चलने या स्वचालित सुरक्षा प्रणालियों द्वारा उन्हें सौम्य समझे जाने की संभावना बढ़ जाती है।

इसके अलावा, नवीनतम ऑपरेशन के पीछे का हमलावर न केवल मैगेंटो बल्कि WooCommerce, Shopify और WordPress जैसे अन्य सॉफ़्टवेयर चलाने वाली साइटों पर भी हमला कर रहा है।

एक अलग दृष्टिकोण, एक ही परिणाम

अकामाई के शोधकर्ता रोमन लावोव्स्की ने ब्लॉग पोस्ट में लिखा, "अभियान के सबसे उल्लेखनीय हिस्सों में से एक यह है कि हमलावरों ने वेब स्किमिंग अभियान चलाने के लिए अपना बुनियादी ढांचा कैसे स्थापित किया।" "इससे पहले कि अभियान ईमानदारी से शुरू हो सके, हमलावर दुर्भावनापूर्ण कोड के लिए 'होस्ट' के रूप में कार्य करने के लिए कमजोर वेबसाइटों की तलाश करेंगे जिनका उपयोग बाद में वेब स्किमिंग हमला बनाने के लिए किया जाता है।"

अकामाई के अभियान के विश्लेषण से पता चला कि हमलावर दुर्भावनापूर्ण गतिविधि को अस्पष्ट करने के लिए कई तरकीबों का उपयोग कर रहा है। उदाहरण के लिए, स्किमर को सीधे लक्ष्य वेबसाइट में इंजेक्ट करने के बजाय, अकामाई ने हमलावर को अपने वेबपेजों में एक छोटा जावास्क्रिप्ट कोड स्निपेट इंजेक्ट करते हुए पाया, जो फिर एक होस्ट वेबसाइट से दुर्भावनापूर्ण स्कीमर प्राप्त करता है। 

हमलावर ने जावास्क्रिप्ट लोडर को Google टैग मैनेजर, फेसबुक पिक्सेल ट्रैकिंग कोड और अन्य वैध तृतीय-पक्ष सेवाओं की तरह दिखने के लिए डिज़ाइन किया है, इसलिए इसे पहचानना मुश्किल हो जाता है। चल रहे मैजकार्ट जैसे अभियान के संचालक भी स्किमर को होस्ट करने वाली समझौताकृत वेबसाइटों के यूआरएल को अस्पष्ट करने के लिए बेस 64 एन्कोडिंग का उपयोग कर रहे हैं। 

लावोव्स्की ने लिखा, "चोरी किए गए डेटा को बाहर निकालने की प्रक्रिया एक सीधे HTTP अनुरोध के माध्यम से निष्पादित की जाती है, जिसे स्किमर कोड के भीतर एक आईएमजी टैग बनाकर शुरू किया जाता है।" "चोरी किए गए डेटा को क्वेरी पैरामीटर के रूप में अनुरोध में जोड़ा जाता है, बेस 64 स्ट्रिंग के रूप में एन्कोड किया जाता है।"

एक परिष्कृत विवरण के रूप में, अकामाई को स्किमर मैलवेयर में कोड भी मिला, जिससे यह सुनिश्चित हुआ कि उसने एक ही क्रेडिट कार्ड और व्यक्तिगत जानकारी दो बार नहीं चुराई।

समय टिकट:

से अधिक डार्क रीडिंग

मिशन सिक्योर ने सेंटिनल 5.0 प्लेटफॉर्म जारी किया, जो क्रिटिकल इंफ्रास्ट्रक्चर ओटी के लिए कॉन्टेक्स्ट-अवेयर, जीरो ट्रस्ट सिक्योरिटी को सक्षम बनाता है।

स्रोत क्लस्टर:
स्रोत नोड: 1736810
समय टिकट: नवम्बर 1, 2022