サイバーニュース.jp

世界のサイバーなニュースを配信

新たなMagecartキャンペーンがオンラインチェックアウト中にクレジットカード情報を窃取

カテゴリ:

概要

サイバーセキュリティ研究機関のSilent Push Preemptive Cyber Defenseは、少なくとも2022年1月から電子商取引サイトからクレジットカードデータを窃取している、大規模かつ巧妙なウェブスキミングキャンペーンを明らかにしました。この「Magecart」と呼ばれる継続的な作戦は、American Express、Diners Club、Discover、Mastercard、JCB、UnionPayを含む複数の主要な決済ネットワークを標的としており、オンラインショッピング利用者と電子商取引プラットフォームに大きなリスクをもたらしています。

このキャンペーンは、オンラインコマースに対する高度に組織化され、技術的に進んだ脅威であると認識されています。

標的と攻撃手法

このキャンペーンの背後にいる攻撃者は、WordPressの内部構造と電子商取引プラットフォームに関する高度な知識を持っており、特にWooCommerceとStripe決済連携を使用しているウェブサイトを標的としています。Silent Pushのアナリストは、Bulletproof Host Indicators Of Future Attack (IOFA) フィードで見つかった手がかりを調査中にこの作戦を発見し、長期間にわたるクレジットカードスキミングインフラを支援する広範なドメインネットワークの特定に至りました。

攻撃手法は、洗練された技術的実行を明らかにしています。攻撃者は、高度に難読化されたJavaScriptコードを正規の電子商取引サイトのチェックアウトページに注入し、被害者のブラウザのクライアントサイドで実行させます。これにより、ウェブサイトの所有者と顧客の両方にとって検出が極めて困難になります。この悪意あるコードは、Document Object Model (DOM) の変更を監視し、顧客が支払い情報を入力するためにチェックアウトページに到達した際にのみ具体的に活動を開始します。

巧妙な情報窃取と回避技術

このキャンペーンの最も懸念される側面の一つは、その高度な回避能力です。スキマーコードには、WordPress管理者セッションを検出する機能が含まれており、「wpadminbar」要素をチェックすることで、サイト管理者がログインしている場合はページから完全に自身を削除します。この回避技術により、マルウェアの生存率が大幅に向上し、ウェブサイト所有者による検出が著しく困難になっています。

偽の支払いフォームとデータ流出

攻撃は、正規のStripe決済インターフェースを隠し、それを本物の支払いフィールドを模倣した悪意のあるiframeに置き換えることで、説得力のある偽の支払いフォームを作成します。この詐欺的なフォームには、以下のような洗練された検証機能が含まれています。

  • カードブランドの自動検出
  • プロバイダの標準に基づいたカード番号の適切なフォーマット(American Expressは4-6-4、ほとんどのカードは4-4-4-4)
  • 有効期限の検証
  • 無効な入力に対する赤色のエラーハイライト

これらの機能により、偽のフォームは、疑うことを知らない顧客にとって正規の決済インターフェースと事実上区別がつかないものとなっています。被害者が偽の支払いフォームに情報を入力し、「注文確定」ボタンをクリックすると、スキマーは氏名、住所、電話番号、メールアドレス、クレジットカード番号、有効期限、CVVコードを含む包括的な個人情報と金融データを窃取します。

窃取されたデータは、JSON形式でフォーマットされ、ハードコードされたキー「777」でXOR暗号化され、Base64エンコードされた後、HTTP POSTリクエストを介してデータ流出サーバーに送信されます。Silent Pushは、lasorie[.]comやcdn-cookie[.]comを含む複数のデータ流出ドメインを特定しました。後者は、最近ヨーロッパの制裁対象であるPQ.Hosting/Stark Industriesが取得したASN 209847でホストされています。

データ窃取が成功した後、スキマーは偽のフォームを削除し、正規のStripeインターフェースを復元し、実際のチェックアウトボタンのクリックをシミュレートします。これにより、正規のフォームにはデータが入力されていないためエラーメッセージが表示され、被害者は単に間違いを犯したと信じるようになります。ほとんどの買い物客は、その後、表示された正規のフォームに情報を再入力して購入を完了しますが、自身の決済情報がすでに侵害されていることには全く気づきません。

影響と対策

このキャンペーンの長期的な活動と技術的洗練は、ウェブスキミング作戦が電子商取引のセキュリティにもたらす永続的な脅威を浮き彫りにしています。標的となった決済プロバイダを利用する企業組織は、リスクが高まっており、複数の決済ネットワークにわたる攻撃のグローバルな広がりは、広範囲にわたる潜在的な影響を示唆しています。

セキュリティ専門家は、電子商取引プラットフォームに対し、以下の対策を推奨しています。

  • 堅牢なコンテンツセキュリティポリシー (CSP) の実装
  • サードパーティスクリプトの定期的なセキュリティ監査の実施
  • チェックアウトページへの不正な変更の監視
  • 不審なJavaScriptインジェクションを検出するように構成されたウェブアプリケーションファイアウォールの導入

消費者にとっては、チェックアウト時の予期せぬ支払いエラーに対する警戒と、クレジットカード明細の不正取引の監視が引き続き重要な防御策となります。

元記事: https://gbhackers.com/magecart-campaign-2/

投稿をさらに読み込む