Недавно была запущена кампания по веб-скиммингу, которая использует устаревшие функциональные возможности Stripe API для проверки украденной платежной информации перед ее удалением. Эта уникальная тактика позволяет злоумышленникам гарантировать получение только подлинных данных карты, что значительно повышает эффективность их операций и усложняет усилия по обнаружению.
Многоэтапный подход к атаке
Кампания реализует многоэтапный подход, который начинается с внедрения различных JavaScript-скриптов, загружающих логику проверки на этапе оформления заказа. Возможные этапы атаки следующие:
- Первоначальное заражение через уязвимости в платформах, таких как WooCommerce и WordPress;
- Использование скрипта загрузки, замаскированного под Google Analytics, конкретно — варианта скрипта GAO для скрытия вредоносных функций;
- Сокрытие подлинного iframe Stripe, его замена ложной версией и создание поддельной кнопки «Оформить заказ».
Проверка и передача данных
Клиенты, вводящие свои платежные реквизиты, подвергаются проверке данных с помощью API Stripe. В случае успешной проверки, информация отправляется на удаленный сервер через динамически создаваемую форму отправки. Далее пользователям предлагается перезагрузить страницу, что является характерным признаком методов двойного скимминга.
Особое внимание стоит обратить на то, что третий этап скрипта skimmer создается индивидуально для каждого целевого сайта, что указывает на использование злоумышленниками инструмента генерации скимминга. Они адаптируют свои операции, определяя, какой вариант скиммера использовать, основываясь на заголовке ссылки.
Текущие угрозы и рекомендации
Несмотря на успешные попытки некоторых жертв удалить вредоносные скрипты, цифровое расследование выявило дополнительные скомпрометированные домены, что подтверждает растущую угрозу. В ходе анализа были выявлены характерные черты кампании:
- Минимальные методы обфускации, в основном использование базового кодирования base64 на этапе 2;
- Отсутствие шифрования при утечках данных, украденные платежные реквизиты передаются в формате base64;
- Кампания активна с 20 августа 2024 года, с целью сайтов на платформах WooCommerce и WordPress, иногда PrestaShop.
Злоумышленники эффективно используют информацию о действительных кредитных картах во время легитимных транзакций, что значительно снижает вероятность обнаружения. Частота запросов к API не показывает аномального поведения, и предпринимаются меры предосторожности для избежания дублирования данных. В некоторых случаях также используются жестко запрограммированные API-ключи для Stripe.
Тем не менее, некоторые скиммеры привели к внедрению альтернативных способов оплаты с использованием криптовалют, с помощью поддельных элементов подключения к сервисам, таким как MetaMask. Однако ощущения от исследуемых данных о кошельках показывают минимальную активность, что указывает на незавершенность операционной стратегии.
Таким образом, эта сложная кампания по скиммингу в Интернете подчеркивает адаптивные тактики злоумышленников, направленные на избежание обнаружения. В условиях постоянного развития схем мошенников, онлайн-продавцам необходимо улучшать свои меры безопасности и проявлять повышенную бдительность.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новая угроза веб-скимминга: адаптивные тактики мошенников".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.