Casio UK web prodavnica hakovana radi ubacivanja skripti za krađu podataka o kreditnim karticama kupaca.
Sofisticirana kampanja skimminga koja cilja više web lokacija, uključujući online prodavnicu giganta elektronike Casio u Velikoj Britaniji (casio[.]co.uk).
Napad, koji je razotkrio osjetljive podatke o klijentima, naglašava tekuće ranjivosti na platformama za e-trgovinu i evoluirajuću taktiku sajber kriminalaca.
Kršenje na casio.co.uk je praćeno do maliciozne web skimer skripte koja je postala aktivna između 14. i 24. januara.
Jscrambler istraživači su otkrili prijetnju 28. januara i odmah obavijestili Casio UK, koji je uspio ukloniti infekciju u roku od 24 sata.
Međutim, tokom perioda aktivnosti, skimer je prikupio osjetljive informacije o klijentima, uključujući adrese za naplatu, podatke o kreditnim karticama, brojeve telefona i adrese e-pošte.
Za razliku od tradicionalnih skimera koji prvenstveno rade na stranicama za naplatu, ovaj napad je odstupio od norme. Maliciozna skripta je bila aktivna na svim stranicama osim na stranici “/checkout”.
Umjesto toga, presreo je interakcije korisnika na stranici s korpom i preusmjerio kupce na lažni obrazac za plaćanje dizajniran da oponaša legitimne procese. Ovaj obrazac u tri koraka prikupio je lične podatke i podatke o plaćanju prije eksfiltriranja podataka na server za komandu i kontrolu koji se nalazi u Rusiji.
Skripte za krađu kreditnih kartica
Skimer je koristio više slojeva zamagljivanja kako bi izbjegao otkrivanje:
- Prilagođeno kodiranje: Varijable i nizovi su jedinstveno kodirani za svaku žrtvu.
- Prikrivanje zasnovano na XOR-u: Nizovi su sakriveni korišćenjem XOR enkripcije da bi se zaobišli statički analizatori i zaštitni zidovi veb aplikacija (WAF).
Proces eksfiltracije koristio je AES-256-CBC enkripciju sa nasumično generisanim ključevima i vektorima inicijalizacije (IV) za svaki zahtjev. Ukradeni podaci su prenošeni na domene kao što je app.imagechat.net, koji je bio povezan sa serverima u Rusiji.
Zanimljivo je da se skimer nije aktivirao ako su korisnici kliknuli na “kupi sada” umjesto “dodaj u korpu”, što ukazuje da napadači nisu u potpunosti precizirali svoj maliciozni kod, stoji u izvještaju.
Iako je Casio UK implementirao Politiku sigurnosti sadržaja (CSP), ona je bila postavljena na način rada „samo za prijavu“ bez aktivne primjene ili direktiva o prijavljivanju.
Ova konfiguracija je omogućila prijavljivanje kršenja CSP-a na konzolama pretraživača, ali nije uspjela blokirati maliciozne skripte. Stručnjaci su istakli da je ovo uobičajen problem među organizacijama zbog složenosti efikasnog upravljanja CSP-om.
Kršenje Casio.co.uk dio je veće kampanje koja utiče na najmanje 17 web stranica koje koriste ranjive komponente na Magento ili sličnim platformama za e-trgovinu. Sve pogođene stranice učitavale su skimer skripte sa domena koje hostuje jedan ruski provajder. Neki od ovih domena su nedavno registrovani, ali su iskoristili reputaciju iz istorijskih zapisa koji datiraju više od jedne decenije.
Ovaj napad ukazuje na šire trendove u operacijama web-skimminga, koje se često nazivaju Magecart napadi. Manji trgovci su često na meti zbog slabijih mjera sigurnosti. Upotreba zastarjelih ili zastarjelih domena dodatno komplikuje napore u otkrivanju.
Izvor: CyberSecuritzyNews
