Скімінг кредитної картки – довгий і звивистий шлях до збою ланцюжка поставок

Дослідники компанії Jscrambler із захисту програм щойно опублікували a повість-застереження про атаки на ланцюги поставок…

…це також потужне нагадування про те, наскільки довгими можуть бути ланцюги атак.

На жаль, це довго лише з точки зору час, недовга ні за технічною складністю, ні за кількістю ланок самого ланцюга.

Вісім років тому…

Версія високого рівня історії, опублікована дослідниками, просто розповідається і виглядає так:

• На початку 2010-х компанія веб-аналітики під назвою Cockpit пропонувала безкоштовні послуги веб-маркетингу та аналітики. Численні сайти електронної комерції використовували цю послугу, отримуючи код JavaScript із серверів Cockpit, таким чином додаючи код сторонніх розробників на власні веб-сторінки як надійний вміст.
• У грудні 2014 року компанія Cockpit припинила свою роботу. Користувачів попереджали, що служба буде вимкнена, і що будь-який код JavaScript, який вони імпортували з Cockpit, перестане працювати.
• У листопаді 2021 року кіберзлочинці викупили старе доменне ім’я Cockpit. На те, що ми можемо лише припустити, було сумішшю здивування та захоплення, шахраї, очевидно, виявили, що принаймні 40 сайтів електронної комерції все ще не оновили свої веб-сторінки, щоб видалити будь-які посилання на Cockpit, і все ще дзвонять додому та приймають будь-який JavaScript код, який був у пропозиції.

Ви бачите, куди веде ця історія.

Будь-які нещасні колишні користувачі Cockpit, які, очевидно, не перевіряли свої журнали належним чином (або, можливо, навіть взагалі) з кінця 2014 року, не помітили, що вони все ще намагаються завантажити код, який не працює.

Ми припускаємо, що ці компанії дійсно помітили, що більше не отримують жодних аналітичних даних із Cockpit, але оскільки вони очікували, що канал даних перестане працювати, вони припустили, що кінець даних означає кінець їхніх проблем кібербезпеки, пов’язаних із до служби та її доменного імені.

Ін'єкція та спостереження

За словами Jscrambler, шахраї, які заволоділи неіснуючим доменом і таким чином отримали прямий шлях для вставлення зловмисного програмного забезпечення на будь-які веб-сторінки, які все ще довіряли та використовували цей тепер відроджений домен…

…почав робити саме це, впроваджуючи несанкціонований шкідливий JavaScript у широкий спектр сайтів електронної комерції.

Це дозволило два основних типи атак:

• Вставте код JavaScript для моніторингу вмісту полів введення на заздалегідь визначених веб-сторінках. Дані в input, select та textarea поля (таких, як ви очікуєте у типовій веб-формі) було вилучено, закодовано та відфільтровано на низку серверів «дзвінків додому», якими керують зловмисники.
• Вставте додаткові поля у веб-форми на вибраних веб-сторінках. Цей трюк, відомий як Введення HTML, означає, що шахраї можуть підірвати сторінки, яким користувачі вже довіряють. Імовірно, користувачів можуть спокусити ввести особисті дані, які ці сторінки зазвичай не вимагають, наприклад паролі, дні народження, номери телефонів або дані платіжної картки.

Маючи в своєму розпорядженні цю пару векторів атак, зловмисники могли не тільки викачати все, що ви ввели у веб-форму на скомпрометованій веб-сторінці, але й отримати додаткову персональну інформацію (PII), яку вони зазвичай не змогли б отримати. красти.

Вирішивши, який код JavaScript використовувати на основі ідентичності сервера, який спочатку запитував код, шахраї змогли адаптувати своє шкідливе програмне забезпечення для атаки різних типів сайтів електронної комерції різними способами.

Це свого роду адаптована відповідь, яку легко реалізувати, подивившись на Referer: заголовок, надісланий у HTTP-запитах, згенерованих вашим браузером, також ускладнює дослідникам кібербезпеки визначення повного діапазону «корисного навантаження» атак, які тримають злочинці в рукаві.

Зрештою, якщо ви заздалегідь не знаєте точного списку серверів і URL-адрес, які шахраї шукають на своїх серверах, ви не зможете генерувати HTTP-запити, які викидають усі ймовірні варіанти атаки, запрограмованої злочинцями в систему.

Якщо вам цікаво, то Referer: заголовок, який є неправильним написанням англійського слова «referrer», отримав свою назву через друкарську помилку в оригінальному Інтернеті стандартів документа.

Що ж робити?

• Перегляньте ланки ланцюга постачання в Інтернеті. Усюди, де ви покладаєтеся на URL-адреси, надані іншими людьми для даних або коду, який ви подаєте так, ніби це ваші власні, вам потрібно регулярно й часто перевіряти, чи можете ви все ще їм довіряти. Не чекайте, поки ваші клієнти скаржаться, що «щось виглядає зламаним». По-перше, це означає, що ви повністю покладаєтеся на реактивні заходи кібербезпеки. По-друге, може не бути нічого очевидного для самих клієнтів, щоб помітити та повідомити.
• Перевірте свої журнали. Якщо ваш веб-сайт використовує вбудовані HTTP-посилання, які більше не працюють, це явно не так. Або ви не повинні були довіряти цьому посиланню раніше, тому що воно було неправильним, або ви більше не повинні довіряти йому, тому що воно поводиться не так, як раніше. Якщо ви не збираєтеся перевіряти свої журнали, навіщо взагалі їх збирати?
• Регулярно виконуйте тестові транзакції. Підтримуйте регулярну та часту процедуру тестування, яка реалістично проходить ту саму послідовність онлайн-транзакцій, якої, як ви очікуєте, дотримуватимуться ваші клієнти, і ретельно відстежуйте всі вхідні та вихідні запити. Це допоможе вам помітити несподівані завантаження (наприклад, ваш тестовий браузер всмоктує невідомий JavaScript) і неочікувані завантаження (наприклад, дані, які викрадаються з тестового браузера в незвичні місця).

Якщо ви все ще отримуєте JavaScript із сервера, який припинив роботу вісім років тому, особливо якщо ви використовуєте його в службі, яка обробляє ідентифікаційну інформацію або платіжні дані, ви не частина рішення, ви є частиною проблеми …

…тому, будь ласка, не будь такою людиною!

---

Примітка для клієнтів Sophos. «Оживлений» веб-домен, який використовується тут для впровадження JavaScript (web-cockpit DOT jp, якщо ви хочете шукати у власних журналах) заблоковано Sophos as PROD_SPYWARE_AND_MALWARE та SEC_MALWARE_REPOSITORY. Це означає, що домен, як відомо, пов’язаний не лише з кіберзлочинністю, пов’язаною зі зловмисним програмним забезпеченням, але також залучений до активного обслуговування коду зловмисного програмного забезпечення.

---