概要
新たなMagecartスタイルのキャンペーンがECサイトを標的とし、チェックアウトプロセス中に悪意のあるJavaScriptを注入して決済カードデータを傍受・外部送信していることが明らかになりました。この悪質なスクリプトはcc-analytics[.]com/app.jsでホストされており、スクリプトインジェクションを通じて侵害されたECサイト上で発見されました。
攻撃手法と難読化
攻撃コードは検出を回避するため、16進数エンコーディングと基数変換関数を用いた重度の難読化が施されていました。セキュリティ研究者たちはデバッガーメソッドとPythonの文字列分析を駆使してペイロードを逆難読化し、その真の意図が機密性の高い決済情報の収集にあることを突き止めました。
逆コンパイルされたコードは、攻撃の仕組みを明確に示しています。イベントリスナーがチェックアウトの入力フィールドや決済方法ボタンに配置されており、ユーザーがクレジットカード番号や請求情報を入力すると、JavaScriptがこれらの値を収集し、pstatics[.]comにある攻撃者制御サーバーへXMLHttpRequest POSTリクエストを通じて送信します。データ流出はカード番号が14文字を超えた場合にのみ発生するため、攻撃者が不完全なデータやテストデータの取得を避けるための基本的な検証を実装していることが示唆されています。
インフラストラクチャの発見
初期ドメインからのURLScanを用いた調査により、より広範な攻撃インフラストラクチャが明らかになりました。悪意のあるスクリプトは、<script src="https://www.cc-analytics.com/app.js"></script>タグを通じて複数の侵害されたウェブサイトに注入されていました。トランザクションログの分析から、ホスティングIPアドレスが45.61.136.141であることが特定され、これにより、同様の命名パターンを持つ追加の悪意のあるドメイン群(jgetjs.com, getnjs.com, getvjs.com, getejs.com, utilanalytics.comなど)が発見されました。これらのドメインでホストされているJavaScriptペイロードを分析したところ、ほぼ同一のコードが確認され、複数の攻撃キャンペーンにわたるインフラストラクチャの再利用が示されています。このパターンは、調整された脅威グループまたは複数の攻撃者間で共有されるツールの存在を示唆しています。
さらに詳細な調査により、このキャンペーンに関連する可能性のある拡張されたドメインポートフォリオが明らかになりました。これには、正規のサービスを装うドメイン(youtuber-dashboardwme.pro)や、ホスティングIPを参照するインフラストラクチャ命名規則(45-61-136-141.cprapid.com)などが含まれます。全リストには30以上のドメインが含まれていますが、研究者たちはブロッキングルールを実装する前に、誤検知やシンクホール化されたドメインの可能性を考慮し、検証の重要性を強調しています。
検出と対策
今回の攻撃は、URLScan、publicWWW、WHOISクエリなどの無料ツールを用いた単純な偵察技術が、攻撃者のインフラストラクチャをマッピングし、パターンを特定するのに十分であることを浮き彫りにしました。組織は、チェックアウトページでの予期せぬスクリプトタグの監視、決済処理中のネットワークリクエストの分析、および自社のドメイン名が公開データソースで言及されていないか検索することで、同様のインジェクションを検出できます。
このMagecartの亜種は、決済データ窃盗がサイバー犯罪者にとって依然として高い収益性を持つことを示しています。少なくとも1年にわたるキャンペーンの継続性とインフラストラクチャの再利用は、運用上の持続可能性を示唆しています。この脅威は、コンテンツセキュリティポリシー、スクリプト整合性検証、決済フォームの隔離を含むECサイトのセキュリティの重要性を強調しています。防御側は、チェックアウトページに注入されたスクリプトの特定、外部ドメインへの不審なPOSTリクエストの監視、およびサブリソース整合性チェックの実装を優先すべきです。