Cybersecurity-onderzoekers hebben een grote webskimming-campagne ontdekt die sinds januari 2022 actief is en zich richt op verschillende grote betalingsnetwerken zoals American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard en UnionPay.
“Bedrijfsorganisaties die klant zijn van deze betalingsproviders zullen het meest waarschijnlijk getroffen worden”, zegt Silent Push in een vandaag gepubliceerd rapport.
Digitale skimming-aanvallen verwijzen naar een categorie aanvallen aan de clientzijde waarbij kwaadwillenden legitieme e-commercesites en betalingsportals compromitteren om kwaadaardige JavaScript-code te injecteren die in staat is om heimelijk creditcardgegevens en andere persoonlijke informatie te verzamelen wanneer nietsvermoedende gebruikers proberen een betaling uit te voeren op afrekenpagina’s.
Deze aanvallen worden geclassificeerd onder de overkoepelende term Magecart, die aanvankelijk verwees naar een coalitie van cybercriminele groepen die zich richtten op e-commercesites met behulp van de Magento-software, voordat ze zich diversifieerden naar andere producten en platforms.
Silent Push zei dat het de campagne ontdekte na analyse van een verdacht domein dat gelinkt was aan een nu gesanctioneerde bulletproof hostingprovider Stark Industries (en zijn moederbedrijf PQ.Hosting), dat sindsdien is omgedoopt tot THE(.)Hosting, onder controle van de Nederlandse entiteit WorkTitans BV, is een maatregel om sancties te ontwijken.
Het domein in kwestie, cdn-cookie(.)com, blijkt zeer versluierde JavaScript-payloads te hosten (bijvoorbeeld “recorder.js” of “tab-gtm.js”) die door webwinkels worden geladen om het skimmen van creditcards te vergemakkelijken.
De skimmer wordt geleverd met functies om detectie door sitebeheerders te omzeilen. Concreet controleert het de Document Object Model (DOM)-boom op een element met de naam ‘wpadminbar’, een verwijzing naar een werkbalk die op WordPress-websites verschijnt wanneer ingelogde beheerders of gebruikers met de juiste machtigingen de site bekijken.
In het geval dat het “wpadminbar”-element aanwezig is, initieert de skimmer een zelfvernietigingsreeks en verwijdert hij zijn eigen aanwezigheid van de webpagina. Elke keer dat de DOM van de webpagina wordt gewijzigd, wordt geprobeerd de skimmer uit te voeren, een standaardgedrag dat optreedt wanneer gebruikers interactie hebben met de pagina.
Dat is niet alles. De skimmer controleert ook of Stripe als betalingsoptie is geselecteerd, en als dat het geval is, bestaat er een element genaamd “wc_cart_hash” in de localStorage van de browser, dat wordt aangemaakt en op “true” wordt ingesteld om aan te geven dat het slachtoffer al met succes is geskimd.
Het ontbreken van deze vlag zorgt ervoor dat de skimmer een vals Stripe-betalingsformulier weergeeft dat het legitieme formulier vervangt door manipulaties van de gebruikersinterface, waardoor de slachtoffers worden misleid om hun creditcardnummers in te voeren, samen met de vervaldatums en Card Verification Code (CVC) -nummers.
“Toen het slachtoffer zijn creditcardgegevens in een nepformulier invoerde in plaats van het echte Stripe-betalingsformulier, dat aanvankelijk verborgen was door de skimmer toen ze het in eerste instantie invulden, zal de betalingspagina een foutmelding weergeven”, aldus Silent Push. “Hierdoor lijkt het alsof het slachtoffer simpelweg zijn betaalgegevens verkeerd heeft ingevoerd.”
De gegevens die door de skimmer worden gestolen, gaan verder dan alleen betalingsgegevens en omvatten namen, telefoonnummers, e-mailadressen en verzendadressen. De informatie wordt uiteindelijk geëxfiltreerd door middel van een HTTP POST-verzoek naar de server “lasorie(.)com.”
Zodra de gegevensoverdracht is voltooid, wist de skimmer sporen van zichzelf van de betaalpagina, verwijdert het valse betalingsformulier dat is aangemaakt en herstelt het legitieme Stripe-invoerformulier. Vervolgens wordt “wc_cart_hash” ingesteld op “true” om te voorkomen dat de skimmer een tweede keer op hetzelfde slachtoffer wordt uitgevoerd.
“Deze aanvaller heeft geavanceerde kennis van de interne werking van WordPress en integreert zelfs minder bekende functies in hun aanvalsketen”, aldus Silent Push.
