Magecart, grupa znana ze swoich ataków na sklepy internetowe, wprowadziła nową i zaawansowaną technikę skimmingu kart kredytowych. Tym razem sprawcy wykorzystują strony błędów 404, które są standardowo wyświetlane, gdy użytkownik próbuje uzyskać dostęp do nieistniejącej strony. Ten nowy sposób ukrywania złośliwego kodu stał się częścią ich najnowszej kampanii.
Manipulacja stronami błędów 404
Wszystkie strony internetowe mają swoje własne strony błędów 404, które pojawiają się, gdy odwiedzający próbują uzyskać dostęp do nieistniejącej strony, została przeniesiona lub zawiera martwy/uszkodzony link. W najnowszym ataku grupy Magecart wykorzystano tę typową stronę błędu jako doskonałe miejsce ukrycia złośliwego kodu. Nie jest to jednak zwykła praktyka stosowana w poprzednich kampaniach tej grupy.
Eksperci z firmy Akamai podkreślają, iż technika ukrywania się na stronie błędu 404 jest innowacyjna i nie była dotąd widziana w atakach Magecart. Manipulowanie standardową stroną błędu 404 witryny internetowej daje cyberprzestępcom kreatywne możliwości unikania wykrycia.
Moduł ładowania skimmera może przybierać dwie formy: albo ukrywa się jako pozorny fragment kodu Meta Pixel, albo zostaje schowany w przypadkowych skryptach, które już istnieją na stronie płatności. Proces ładowania zaczyna się od żądania pobrania do nieistniejącej ścieżki o nazwie “ikony”. Ponieważ jednak taka ścieżka nie istnieje na stronie, żądanie kończy się błędem “404 Nie znaleziono”.
Początkowo badacze z Akamai przypuszczali, iż skimmer przestał działać lub grupa Magecart popełniła błąd konfiguracyjny. Dopiero po dogłębnej analizie odkryli, iż moduł ładowania zawiera wyrażenie regularne, które szukało określonego ciągu znaków w zwróconym kodzie HTML strony 404. Po znalezieniu tego ciągu, eksperci odkryli zakodowany w formacie base64 JavaScript skimmera ukryty w komentarzu. Dekodowanie tego ciągu ujawniło skomplikowany skimmer JavaScript, który pozostaje ukryty na wszystkich stronach błędów 404 witryny internetowej.
Nowa technika ukrywania kodu skimmera
Skimmer ukrywa się jako pozornie niewinny fragment kodu Meta Pixel lub w losowych skryptach już obecnych na zainfekowanej stronie płatności. Wykorzystując technikę fetch request, która prowadzi do nieistniejącej ścieżki ‘icons’, sprawcy pozostają niezauważeni przez większość narzędzi monitorujących ruch sieciowy.
Proces kradzieży danych z kart kredytowych
Gdy użytkownik wprowadza swoje dane, skimmer wyświetla fałszywy formularz, w którym wpisuje swoje wrażliwe informacje, takie jak numer karty kredytowej, data ważności i kod zabezpieczający. Po wprowadzeniu danych, ofiara otrzymuje fałszywy komunikat o “wygaśnięciu sesji”. W rzeczywistości wszystkie te informacje są szyfrowane w formacie base64 i wysyłane do atakującego jako zapytanie obrazu. Ta metoda pozwala im unikać wykrycia, ponieważ żądanie wydaje się być zwykłym zdarzeniem pobierania obrazu.
Ta kampania wskazuje na to, iż techniki skimmingu sieciowego są wciąż w fazie ciągłej ewolucji. Stają się coraz bardziej złożone, co utrudnia wykrywanie i neutralizację ich dzięki tradycyjnych analiz i zewnętrznego skanowania. Osoby odpowiedzialne za te ataki stale doskonalą swoje metody, aby ukryć swoje działania na stronach ofiar i unikać różnych środków bezpieczeństwa, które mogłyby je ujawnić.
Poziom skomplikowania, który ujawnia się w tej analizie, powinien być przypomnieniem dla organizacji, aby pozostały czujne i gotowe na ataki skimmingu sieciowego. Konieczne jest aktywne poszukiwanie nowych i zaawansowanych podejść do zwalczania tego rodzaju ataków, aby zachować bezpieczeństwo swoich platform online.