Skimming kartu kredit – jalan panjang dan berliku dari kegagalan rantai pasokan

Para peneliti di perusahaan keamanan aplikasi Jscrambler baru saja menerbitkan a kisah peringatan tentang serangan rantai pasokan…

… itu juga merupakan pengingat yang kuat tentang berapa lama rantai serangan bisa terjadi.

Sayangnya, itu panjang hanya dalam hal waktu, tidak lama dalam hal kerumitan teknis atau jumlah tautan dalam rantai itu sendiri.

Delapan tahun yang lalu…

Versi tingkat tinggi dari cerita yang diterbitkan oleh para peneliti hanya diceritakan, dan seperti ini:

• Pada awal tahun 2010-an, sebuah perusahaan analitik web bernama Cockpit menawarkan layanan pemasaran dan analitik web gratis. Banyak situs e-niaga menggunakan layanan ini dengan sumber kode JavaScript dari server Cockpit, sehingga memasukkan kode pihak ketiga ke halaman web mereka sendiri sebagai konten tepercaya.
• Pada Desember 2014, Cockpit menutup layanannya. Pengguna diperingatkan bahwa layanan akan offline, dan kode JavaScript apa pun yang mereka impor dari Cockpit akan berhenti berfungsi.
• Pada November 2021, penjahat dunia maya membeli nama domain lama Cockpit. Untuk apa yang hanya dapat kami asumsikan sebagai campuran kejutan dan kegembiraan, para penjahat tampaknya menemukan bahwa setidaknya 40 situs e-niaga masih belum memperbarui halaman web mereka untuk menghapus tautan apa pun ke Cockpit, dan masih menelepon ke rumah dan menerima JavaScript apa pun. kode yang ditawarkan.

Anda dapat melihat ke mana arah cerita ini.

Mantan pengguna Cockpit yang malang yang tampaknya tidak memeriksa log mereka dengan benar (atau mungkin sama sekali) sejak akhir 2014 gagal menyadari bahwa mereka masih mencoba memuat kode yang tidak berfungsi.

Kami menduga bahwa bisnis tersebut menyadari bahwa mereka tidak mendapatkan data analitik lagi dari Cockpit, tetapi karena mereka mengharapkan umpan data berhenti bekerja, mereka berasumsi bahwa akhir dari data tersebut adalah akhir dari masalah keamanan siber mereka terkait ke layanan dan nama domainnya.

Injeksi dan pengawasan

Menurut Jscrambler, penjahat yang mengambil alih domain yang mati, dan yang memperoleh rute langsung untuk memasukkan malware ke halaman web mana pun yang masih dipercaya dan menggunakan domain yang sekarang dihidupkan kembali itu…

…mulai melakukan hal itu, menyuntikkan JavaScript berbahaya yang tidak sah ke berbagai situs e-niaga.

Ini mengaktifkan dua jenis serangan utama:

• Sisipkan kode JavaScript untuk memantau konten kolom input pada halaman web yang telah ditentukan. Data masuk input, select dan textarea bidang (seperti yang Anda harapkan dalam bentuk web biasa) diekstraksi, dikodekan, dan dieksfiltrasi ke berbagai server "panggilan rumah" yang dioperasikan oleh penyerang.
• Sisipkan bidang tambahan ke dalam formulir web di halaman web yang dipilih. Trik ini, dikenal sebagai injeksi HTML, berarti penjahat dapat menumbangkan halaman yang sudah dipercaya pengguna. Pengguna dapat dibujuk untuk memasukkan data pribadi yang biasanya tidak diminta oleh halaman tersebut, seperti kata sandi, ulang tahun, nomor telepon, atau detail kartu pembayaran.

Dengan sepasang vektor serangan ini, penjahat tidak hanya dapat menyedot apa pun yang Anda ketikkan ke dalam formulir web di halaman web yang disusupi, tetapi juga mencari informasi pengenal pribadi (PII) tambahan yang biasanya tidak dapat mereka lakukan. mencuri.

Dengan memutuskan kode JavaScript mana yang akan ditayangkan berdasarkan identitas server yang pertama kali meminta kode tersebut, penjahat dapat menyesuaikan malware mereka untuk menyerang berbagai jenis situs e-niaga dengan cara yang berbeda.

Respons khusus semacam ini, yang mudah diimplementasikan dengan melihat Referer: tajuk yang dikirim dalam permintaan HTTP yang dihasilkan oleh browser Anda, juga mempersulit para pembuat keamanan siber untuk menentukan jangkauan penuh "muatan" serangan yang dimiliki penjahat.

Lagi pula, kecuali Anda mengetahui sebelumnya daftar persis server dan URL yang dicari penjahat di server mereka, Anda tidak akan dapat membuat permintaan HTTP yang menghilangkan semua kemungkinan varian serangan yang telah diprogram oleh penjahat. ke dalam sistem.

Jika Anda bertanya-tanya, the Referer: header, yang merupakan salah ejaan dari kata bahasa Inggris "referrer", mendapatkan namanya dari kesalahan ketik di internet asli standar dokumen.

Apa yang harus dilakukan?

• Tinjau tautan rantai pasokan berbasis web Anda. Di mana pun Anda mengandalkan URL yang disediakan oleh orang lain untuk data atau kode yang Anda berikan seolah-olah milik Anda sendiri, Anda perlu memeriksa secara teratur dan sering bahwa Anda masih dapat mempercayai mereka. Jangan menunggu pelanggan Anda sendiri mengeluh bahwa "sesuatu terlihat rusak". Pertama, itu berarti Anda sepenuhnya mengandalkan langkah-langkah keamanan siber reaktif. Kedua, mungkin tidak ada sesuatu yang jelas bagi pelanggan sendiri untuk diperhatikan dan dilaporkan.
• Periksa log Anda. Jika situs web Anda sendiri menggunakan tautan HTTP tersemat yang tidak lagi berfungsi, maka jelas ada sesuatu yang salah. Entah Anda seharusnya tidak memercayai tautan itu sebelumnya, karena tautan itu salah, atau Anda seharusnya tidak memercayainya lagi, karena tautan itu tidak berfungsi seperti dulu. Jika Anda tidak akan memeriksa log Anda, mengapa repot-repot mengumpulkannya?
• Lakukan uji transaksi secara rutin. Pertahankan prosedur pengujian reguler dan sering yang secara realistis melewati urutan transaksi online yang sama yang Anda harapkan diikuti oleh pelanggan Anda, dan lacak semua permintaan masuk dan keluar dengan cermat. Ini akan membantu Anda menemukan unduhan yang tidak terduga (mis. browser pengujian Anda menyedot JavaScript yang tidak dikenal) dan upload yang tidak terduga (mis. data dikeluarkan dari browser pengujian ke tujuan yang tidak biasa).

Jika Anda masih menggunakan JavaScript dari server yang sudah dihentikan delapan tahun lalu, terutama jika Anda menggunakannya di layanan yang menangani PII atau data pembayaran, Anda bukan bagian dari solusi, Anda bagian dari masalah …

… jadi, tolong, jangan jadi orang itu!

---

Catatan untuk pelanggan Sophos. Domain web "direvitalisasi" yang digunakan di sini untuk injeksi JavaScript (web-cockpit DOT jp, jika Anda ingin mencari log Anda sendiri) diblokir oleh Sophos as PROD_SPYWARE_AND_MALWARE dan SEC_MALWARE_REPOSITORY. Ini menunjukkan bahwa domain tersebut diketahui tidak hanya dikaitkan dengan kejahatan dunia maya terkait malware, tetapi juga terlibat dalam penyajian kode malware secara aktif.

---