Μια νέα hacking εκστρατεία κλοπής πιστωτικών καρτών κάνει τα πράγματα διαφορετικά από ό,τι έχουμε δει στο παρελθόν, κρύβοντας τον κακόβουλο κώδικα μέσα στη μονάδα πύλης πληρωμής «Authorize.net» για το WooCommcerce, επιτρέποντας στην παραβίαση να αποφύγει τον εντοπισμό με σαρώσεις ασφαλείας.
Ιστορικά, κακόβουλοι φορείς έχουν διεισδύσει σε ιστότοπους ηλεκτρονικού εμπορίου, όπως η Magenta και το WordPress με ενεργοποιημένο το WooCommerce, εισάγοντας κακόβουλη JavaScript στην HTML του καταστήματος ή στις σελίδες πληρωμής των πελατών.
Δείτε επίσης: Η ομάδα Kimsuky χρησιμοποιεί Chrome extensions για να κλέψει Gmail emails
Αυτά τα κακόβουλα script θα υποκλέψουν κρίσιμα δεδομένα πελατών κατά τη διαδικασία πληρωμής, όπως αριθμούς πιστωτικών καρτών, ημερομηνίες λήξης, κωδικούς CVV, διευθύνσεις, αριθμούς τηλεφώνου και διευθύνσεις ηλεκτρονικού ταχυδρομείου.
Ωστόσο, στην εποχή μας, είναι όλο και πιο δύσκολο για τους εγκληματίες του κυβερνοχώρου να παραμείνουν κρυμμένοι, λόγω του γεγονότος ότι πολλοί ηλεκτρονικοί έμποροι συνεργάζονται πλέον με εταιρείες λογισμικού ασφαλείας που σαρώνουν τον κώδικα HTML των ιστοσελίδων ηλεκτρονικού εμπορίου για κακόβουλα scripts.
Σε μια προσπάθεια να μην γίνουν αντιληπτοί, οι κακόβουλοι φορείς έχουν αρχίσει να εισάγουν κακόβουλα scripts σε ενότητες πύλης πληρωμών των ιστότοπων ηλεκτρονικού εμπορίου που επεξεργάζονται πληρωμές με πιστωτική κάρτα κατά τη διάρκεια της πληρωμής.
Δεδομένου ότι οι επεκτάσεις τείνουν να ενεργοποιούνται όταν ο χρήστης υποβάλλει τα στοιχεία της πιστωτικής του κάρτας και ολοκληρώνει μια αγορά, είναι συχνά πιο δύσκολο για τις λύσεις ασφάλειας στον κυβερνοχώρο να τις εντοπίσουν.
Αφού τους ζητήθηκε να διερευνήσουν έναν ιδιότυπο ιό σε ένα από τα μηχανήματα ενός πελάτη τους, οι ειδικοί ασφαλείας ιστοτόπων της Sucuri ανακάλυψαν την εκστρατεία.
Δείτε επίσης: Fake ChatGPT Chrome επέκταση παραβιάζει Facebook accounts
Στόχευση πυλών πληρωμής
Το WooCommerce είναι μια πλατφόρμα ηλεκτρονικού εμπορίου για το WordPress, η οποία χρησιμοποιείται από σχεδόν τα μισά από όλα τα ηλεκτρονικά καταστήματα.
Η ενσωμάτωση ενός συστήματος επεξεργασίας πληρωμών, όπως το γνωστό Authorize.net που χρησιμοποιείται από 440.000 εμπόρους παγκοσμίως, είναι απαραίτητη για την αποδοχή πιστωτικών καρτών στον ιστότοπό σας με ευκολία.
Κατά τη διάρκεια της έρευνάς της, η Sucuri εντόπισε ότι το αρχείο class-wc-authorize.net-cim.php είχε τροποποιηθεί από κακόβουλους φορείς στον παραβιασμένο ιστότοπο – ένα ζωτικό στοιχείο της ενσωμάτωσης της πύλης πληρωμών της Authorize.net με τις πλατφόρμες WooCommerce.
Στο κάτω μέρος του αρχείου υπάρχει ένας κωδικός που επαληθεύει εάν οποιοδήποτε αίτημα HTTP περιλαμβάνει τον αριθμό “wc-authorize-net-cim-credit-card-account number” που σημαίνει ότι περιέχει δεδομένα πληρωμής αφού ένα άτομο έχει ολοκληρώσει τις ηλεκτρονικές του αγορές.
Εάν είναι επιτυχής, ο κακόβουλος κώδικας θα δημιουργήσει έναν τυχαίο κωδικό πρόσβασης, θα κρυπτογραφήσει τις πληροφορίες πληρωμής του θύματος χρησιμοποιώντας κρυπτογράφηση AES-128-CBC και θα τις αποθηκεύσει σε μια εικόνα για να τις ανακτήσουν αργότερα οι επιτιθέμενοι.
Οι επιτιθέμενοι στον κυβερνοχώρο έκαναν ένα δεύτερο injection στο αρχείο “wc-authorize-net-cim.min.js”, το οποίο ανήκει στην Authorize.net.
Ο κακόβουλος κώδικας που εισάγεται σε έναν μολυσμένο ιστότοπο έχει ως στόχο να υποκλέψει προσωπικές πληροφορίες από ανυποψίαστα θύματα, όπως το όνομα, τη διεύθυνση αποστολής, τον αριθμό τηλεφώνου και τον ταχυδρομικό κώδικα. Μετά τη σύλληψη αυτών των δεδομένων από τα στοιχεία της φόρμας εισόδου στη σελίδα, μπορούν να χρησιμοποιηθούν για κακόβουλους σκοπούς.
Δείτε επίσης: Dole: Η ransomware επίθεση οδήγησε σε παραβίαση δεδομένων
Αποφυγή ανίχνευσης
Ένα άλλο αξιοσημείωτο χαρακτηριστικό αυτής της εκστρατείας είναι η μυστικότητα και οι λειτουργίες του skimmer, που καθιστούν δύσκολη την αποκάλυψη και την αφαίρεσή του, γεγονός που οδηγεί σε παρατεταμένη περίοδο μη εξουσιοδοτημένης εξαγωγής δεδομένων.
Αρχικά, ο κακόβουλος κώδικας διείσδυσε σε αυθεντικά αρχεία της πύλης πληρωμών, οπότε οι συνήθεις σαρώσεις της δημόσιας HTML ή οποιεσδήποτε προσπάθειες αναζήτησης ύποπτων προσθηκών αρχείων θα ήταν άκαρπες.
Επιπλέον, η χρήση φωτογραφιών για την αποθήκευση κλεμμένων πληροφοριών πιστωτικών καρτών δεν είναι μια νέα τεχνική- ωστόσο, η ισχυρή κρυπτογράφηση έχει προστεθεί ως στοιχείο που βοηθά τους χάκερ να παραμένουν απαρατήρητοι. Μέχρι τώρα, οι επιτιθέμενοι κρατούσαν τα κλεμμένα δεδομένα χωρίς μέτρα ασφαλείας σε μορφή απλού κειμένου ή τα κωδικοποιούσαν ασθενώς με κωδικοποίηση base64.
Επιπλέον, οι κακόβουλοι επιτιθέμενοι εκμεταλλεύονται το Heartbeat API του WordPress για να δημιουργήσουν ένα μείγμα από κανονική κυκλοφορία και οικονομικά στοιχεία των θυμάτων κατά τη διάρκεια της απομόλυνσης. Αυτή η τεχνική τους βοηθά να ξεγλιστρήσουν από τυχόν εργαλεία ασφαλείας που σαρώνουν για παράνομη κλοπή δεδομένων.
Καθώς οι χάκερ MageCart προωθούν τις κακόβουλες στρατηγικές τους, στοχεύοντας όλο και συχνότερα σε ιστότοπους WooCommerce και WordPress, είναι κρίσιμο οι ιδιοκτήτες και οι διαχειριστές ιστότοπων να βρίσκονται σε εγρήγορση για τους πιθανούς κινδύνους και να λαμβάνουν μέτρα για την εφαρμογή ισχυρών μέτρων ασφαλείας.
Αυτή η νέα ανακάλυψη που έκανε ο Sucuri αναδεικνύει την ολοένα αυξανόμενη πολυπλοκότητα των επιθέσεων απόσπασης πιστωτικών καρτών και τον τρόπο με τον οποίο οι επιτιθέμενοι είναι σε θέση να παρακάμπτουν με ευκολία τα μέτρα ασφαλείας.
Πηγή πληροφοριών: bleepingcomputer.com
