Μια νέα
καμπάνια
απορρόφησης καρτών Magecart παραλαμβάνει τις σελίδες σφαλμάτων 404 των ιστότοπων των διαδικτυακών καταστημάτων λιανικής, κρύβοντας κακόβουλο κώδικα για να κλέψει τα στοιχεία της πιστωτικής κάρτας των πελατών.
Αυτή η τεχνική είναι μία από τις τρεις παραλλαγές που παρατηρήθηκαν από ερευνητές του Akamai Security Intelligence Group, με τις άλλες δύο να κρύβουν τον κώδικα στο
χαρακτηριστικό
“onerror” της ετικέτας εικόνας HTML και μια δυαδική εικόνα για να φαίνεται ως το απόσπασμα κώδικα
Meta
Pixel.
Ο Akamai λέει ότι η καμπάνια επικεντρώνεται σε ιστότοπους Magento και WooCommerce, με ορισμένα θύματα να συνδέονται με φημισμένους οργανισμούς στους τομείς των τροφίμων και του λιανικού εμπορίου.
Χειρισμός 404 σελίδων
Όλοι οι ιστότοποι διαθέτουν σελίδες σφαλμάτων 404 που εμφανίζονται στους επισκέπτες κατά την πρόσβαση σε μια ιστοσελίδα που δεν υπάρχει, έχει μετακινηθεί ή έχει νεκρό/κατεστραμμένο σύνδεσμο.
Οι ηθοποιοί του Magecart αξιοποιούν την προεπιλεγμένη σελίδα ‘404 Not
Found
‘ για να κρύψουν και να φορτώσουν τον κακόβουλο κώδικα κλοπής καρτών, που δεν είχε ξαναδεί σε προηγούμενες καμπάνιες.
«Αυτή η τεχνική απόκρυψης είναι εξαιρετικά καινοτόμος και κάτι που δεν έχουμε δει σε προηγούμενες καμπάνιες Magecart», αναφέρει
Η αναφορά του Akamai
.
“Η ιδέα του χειρισμού της προεπιλεγμένης σελίδας σφάλματος 404 ενός στοχευμένου ιστότοπου μπορεί να προσφέρει στους ηθοποιούς της Magecart διάφορες δημιουργικές επιλογές για βελτιωμένη απόκρυψη και φοροδιαφυγή.”
Το πρόγραμμα φόρτωσης skimmer είτε μεταμφιέζεται σε απόσπασμα κώδικα Meta Pixel είτε κρύβεται μέσα σε τυχαία ενσωματωμένα σενάρια που υπάρχουν ήδη στην παραβιασμένη ιστοσελίδα του ταμείου.
Το πρόγραμμα φόρτωσης εκκινεί ένα αίτημα ανάκτησης σε μια σχετική διαδρομή που ονομάζεται “εικονίδια”, αλλά καθώς αυτή η διαδρομή δεν υπάρχει στον ιστότοπο, το αίτημα οδηγεί σε σφάλμα “404 δεν βρέθηκε”.
Οι ερευνητές του Akamai αρχικά υπέθεσαν ότι το skimmer δεν ήταν πλέον ενεργό ή η ομάδα Magecart είχε κάνει ένα λάθος διαμόρφωσης. Ωστόσο, μετά από πιο προσεκτική εξέταση, διαπίστωσαν ότι ο φορτωτής περιείχε μια αντιστοίχιση τυπικής έκφρασης που αναζητούσε μια συγκεκριμένη συμβολοσειρά στο επιστρεφόμενο HTML της σελίδας 404.
Κατά τον εντοπισμό της συμβολοσειράς στη σελίδα, ο Akamai βρήκε μια συνδυασμένη συμβολοσειρά με κωδικοποίηση βάσης 64 κρυμμένη σε ένα σχόλιο. Η αποκωδικοποίηση αυτής της συμβολοσειράς αποκάλυψε το JavaScript skimmer, το οποίο κρύβεται και στις 404 σελίδες.
Η συμβολοσειρά που αναζητά ο φορτωτής στο HTML
(Ακαμάι)
“Προσομοιώσαμε πρόσθετα αιτήματα σε ανύπαρκτα μονοπάτια και όλα επέστρεψαν την ίδια σελίδα σφάλματος 404 που περιείχε το σχόλιο με τον κωδικοποιημένο κακόβουλο κώδικα”, εξηγεί ο Akamai
“Αυτοί οι έλεγχοι επιβεβαιώνουν ότι ο εισβολέας άλλαξε με επιτυχία την προεπιλεγμένη σελίδα σφάλματος για ολόκληρο τον ιστότοπο και απέκρυψε τον κακόβουλο κώδικα μέσα σε αυτόν!”
Επειδή το αίτημα υποβάλλεται σε μια διαδρομή πρώτου κατασκευαστή, τα περισσότερα εργαλεία ασφαλείας που παρακολουθούν ύποπτα αιτήματα δικτύου στη σελίδα ολοκλήρωσης αγοράς θα το παραβλέψουν.
Κλέβοντας τα δεδομένα
Ο κωδικός skimmer εμφανίζει μια ψεύτικη φόρμα που αναμένεται να συμπληρώσουν οι επισκέπτες του ιστότοπου με ευαίσθητα στοιχεία, όπως τον αριθμό της πιστωτικής τους κάρτας, την ημερομηνία λήξης και τον κωδικό ασφαλείας.
Ψεύτικη φόρμα πληρωμής
(Ακαμάι)
Μόλις εισαχθούν αυτά τα δεδομένα στην ψεύτικη φόρμα, το θύμα λαμβάνει ένα ψεύτικο σφάλμα “χρόνου λήξης περιόδου σύνδεσης”.
Στο παρασκήνιο, όλες οι πληροφορίες κωδικοποιούνται από το base64 και αποστέλλονται στον εισβολέα μέσω μιας διεύθυνσης URL αιτήματος εικόνας που φέρει τη συμβολοσειρά ως παράμετρο ερωτήματος.
Το αίτημα διήθησης δεδομένων
(Ακαμάι)
Αυτή η προσέγγιση βοηθά στην αποφυγή ανίχνευσης από τα εργαλεία παρακολούθησης της κυκλοφορίας δικτύου, καθώς το αίτημα μοιάζει με καλοήθη συμβάν λήψης εικόνας. Ωστόσο, η αποκωδικοποίηση της συμβολοσειράς base64 αποκαλύπτει προσωπικές πληροφορίες και πληροφορίες πιστωτικής κάρτας.
Η περίπτωση χειραγώγησης 404 σελίδων υπογραμμίζει την εξελισσόμενη τακτική και την ευελιξία των ηθοποιών του Magecart, οι οποίοι δυσκολεύουν συνεχώς τον webmaster να εντοπίσει τον κακόβουλο κώδικά τους σε παραβιασμένους ιστότοπους και να τους απολυμάνει.