นักวิจัยพบแคมเปญการสกิมมิงการ์ด Magecart ประเภทต่างๆ

นักวิจัยพบแคมเปญการสกิมมิงการ์ด Magecart ประเภทต่างๆ

Time Stamp: 6 มิถุนายน 2023 5:55 น.
โหนดต้นทาง: 2704378

ผู้โจมตีภายใต้เครือข่าย Magecart ได้แพร่ระบาดไปยังเว็บไซต์อีคอมเมิร์ซที่ไม่ทราบจำนวนในสหรัฐอเมริกา สหราชอาณาจักร และอีก XNUMX ประเทศ ด้วยมัลแวร์สำหรับการอ่านหมายเลขบัตรเครดิตและข้อมูลที่ระบุตัวตนได้ (PII) ของผู้ที่ซื้อสินค้าบนเว็บไซต์เหล่านี้ แต่ในรูปแบบใหม่ ผู้ก่อภัยคุกคามยังใช้ไซต์เดียวกันเป็นโฮสต์สำหรับส่งมัลแวร์อ่านบัตรไปยังไซต์เป้าหมายอื่นๆ

นักวิจัยจาก Akamai ผู้พบเห็นแคมเปญที่กำลังดำเนินอยู่ทราบว่าสิ่งนี้ไม่เพียงทำให้แคมเปญแตกต่างจากกิจกรรม Magecart ก่อนหน้าเท่านั้น แต่ยังอันตรายกว่ามากอีกด้วย

พวกเขาประเมินว่าการโจมตีทางไซเบอร์เกิดขึ้นอย่างน้อยหนึ่งเดือนและอาจส่งผลกระทบต่อผู้คนหลายหมื่นคนแล้ว Akamai กล่าวว่า นอกจากสหรัฐฯ และอังกฤษแล้ว ยังพบเว็บไซต์ที่ได้รับผลกระทบจากแคมเปญนี้ในบราซิล สเปน เอสโตเนีย ออสเตรเลีย และเปรู

การโจรกรรมบัตรชำระเงินและอื่น ๆ : การประนีประนอมสองครั้ง

Magecart เป็นกลุ่มอาชญากรไซเบอร์กลุ่มหนึ่งที่เกี่ยวข้องกับการโจมตีผ่านบัตรชำระเงินออนไลน์ ในช่วงหลายปีที่ผ่านมา กลุ่มเหล่านี้ได้ส่งเครื่องสแกนบัตรที่มีชื่อเดียวกันไปยังไซต์หลายหมื่นแห่งทั่วโลก — รวมถึงไซต์ต่างๆ เช่น ทิ และ บริติชแอร์เวย์ —และขโมยบัตรเครดิตหลายล้านใบจากพวกเขา ซึ่งพวกเขาสร้างรายได้ด้วยวิธีต่างๆ กัน 

Akamai นับการโจมตีของ Magecart บนเว็บไซต์อีคอมเมิร์ซ 9,200 แห่งเมื่อปีที่แล้ว ซึ่ง 2,468 แห่งยังคงติดไวรัส ณ สิ้นปี 2022

เรื่องทั่วไป operandi modus สำหรับกลุ่มเหล่านี้ได้ทำการสอดแทรกรหัสที่เป็นอันตรายอย่างลับๆ ลงในเว็บไซต์อีคอมเมิร์ซที่ถูกกฎหมาย หรือเข้าไปในส่วนประกอบของบุคคลที่สาม เช่น เครื่องมือติดตามและตะกร้าสินค้า ซึ่งเว็บไซต์ดังกล่าวใช้โดยใช้ประโยชน์จากช่องโหว่ที่รู้จัก เมื่อผู้ใช้ป้อนข้อมูลบัตรเครดิตและข้อมูลที่ละเอียดอ่อนอื่น ๆ ในหน้าชำระเงินของเว็บไซต์ที่ถูกบุกรุก สกิมเมอร์จะดักข้อมูลอย่างเงียบ ๆ และส่งไปยังเซิร์ฟเวอร์ระยะไกล จนถึงตอนนี้ ผู้โจมตีมีเป้าหมายหลักที่ไซต์ที่เรียกใช้แพลตฟอร์มอีคอมเมิร์ซ Magento แบบโอเพ่นซอร์สในการโจมตี Magecart

แคมเปญล่าสุดแตกต่างออกไปเล็กน้อยตรงที่ผู้โจมตีไม่เพียงแค่ฉีดสกิมเมอร์การ์ด Magecart ไปยังไซต์เป้าหมายเท่านั้น แต่ยังทำการไฮแจ็กหลายไซต์เพื่อกระจายโค้ดที่เป็นอันตรายอีกด้วย 

“หนึ่งในข้อดีหลัก ๆ ของการใช้โดเมนเว็บไซต์ที่ถูกต้องตามกฎหมายคือความไว้วางใจโดยธรรมชาติที่โดเมนเหล่านี้สร้างขึ้นเมื่อเวลาผ่านไป” ตามการวิเคราะห์ของ Akamai “โดยทั่วไปบริการรักษาความปลอดภัยและระบบการให้คะแนนโดเมนจะกำหนดระดับความน่าเชื่อถือที่สูงขึ้นให้กับโดเมนที่มีประวัติเชิงบวกและประวัติการใช้งานที่ถูกต้องตามกฎหมาย ด้วยเหตุนี้ กิจกรรมที่เป็นอันตรายที่ดำเนินการภายใต้โดเมนเหล่านี้จึงมีโอกาสเพิ่มขึ้นที่จะไม่ถูกตรวจจับหรือถูกปฏิบัติโดยระบบรักษาความปลอดภัยอัตโนมัติ”

นอกจากนี้ ผู้โจมตีที่อยู่เบื้องหลังการดำเนินการล่าสุดยังโจมตีไซต์ที่ใช้งานไม่เพียงแค่ Magento เท่านั้น แต่ยังรวมถึงซอฟต์แวร์อื่นๆ เช่น WooCommerce, Shopify และ WordPress

วิธีการที่แตกต่างกัน ผลลัพธ์เดียวกัน

“หนึ่งในส่วนที่โดดเด่นที่สุดของแคมเปญคือวิธีที่ผู้โจมตีตั้งค่าโครงสร้างพื้นฐานเพื่อดำเนินการรณรงค์เว็บสกิมมิง” Roman Lvovsky นักวิจัยของ Akamai เขียนในบล็อกโพสต์ “ก่อนที่แคมเปญจะเริ่มต้นอย่างจริงจัง ผู้โจมตีจะค้นหาเว็บไซต์ที่มีช่องโหว่เพื่อทำหน้าที่เป็น 'โฮสต์' สำหรับโค้ดที่เป็นอันตรายซึ่งใช้ในภายหลังเพื่อสร้างการโจมตีผ่านเว็บ”

การวิเคราะห์แคมเปญของ Akamai แสดงให้เห็นว่าผู้โจมตีใช้กลอุบายหลายอย่างเพื่อทำให้กิจกรรมที่เป็นอันตรายสับสน ตัวอย่างเช่น แทนที่จะใส่สกิมเมอร์โดยตรงไปยังเว็บไซต์เป้าหมาย Akamai พบว่าผู้โจมตีใส่ข้อมูลโค้ด JavaScript ขนาดเล็กลงในหน้าเว็บ จากนั้นจึงเรียกสกิมเมอร์ที่เป็นอันตรายจากเว็บไซต์โฮสต์ 

ผู้โจมตีออกแบบตัวโหลด JavaScript ให้ดูเหมือน Google Tag Manager, โค้ดติดตามพิกเซลของ Facebook และบริการของบุคคลที่สามที่ถูกต้องตามกฎหมายอื่นๆ ดังนั้นจึงยากที่จะตรวจจับ ผู้ดำเนินการแคมเปญคล้าย Magcart ที่กำลังดำเนินอยู่ยังใช้การเข้ารหัส Base64 เพื่อทำให้ URL ของเว็บไซต์ที่ถูกบุกรุกซึ่งโฮสต์สกิมเมอร์สับสน 

“กระบวนการกรองข้อมูลที่ถูกขโมยนั้นดำเนินการผ่านคำขอ HTTP ที่ตรงไปตรงมา ซึ่งเริ่มต้นโดยการสร้างแท็ก IMG ภายในโค้ดสกิมเมอร์” Lvovsky เขียน “ข้อมูลที่ถูกขโมยจะถูกผนวกเข้ากับคำขอเป็นพารามิเตอร์การค้นหา โดยเข้ารหัสเป็นสตริง Base64”

ด้วยรายละเอียดที่ซับซ้อน Akamai ยังพบรหัสในมัลแวร์สกิมเมอร์ที่ทำให้มั่นใจได้ว่าจะไม่ขโมยบัตรเครดิตและข้อมูลส่วนตัวใบเดิมซ้ำสอง

ประทับเวลา:

เพิ่มเติมจาก การอ่านที่มืด