Согласно отчету компании Silent Push, с января 2022 года действует масштабная кампания веб-скимминга, нацеленная на корпоративные организации. Злоумышленники атакуют сайты, использующие определенных платежных провайдеров, с целью перехвата данных карт сетей American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard и UnionPay. Эта активность классифицируется как атака типа Magecart — общий термин для операций цифрового скимминга, которые изначально были нацелены на платформу Magento, но теперь диверсифицировались.
Инфраструктура злоумышленников опирается на «пуленепробиваемый» хостинг Stark Industries, который находится под санкциями. Для обхода ограничений провайдер использует ребрендинг под именем THE[.]Hosting. Материнской компанией выступает , а контролирующим юридическим лицом является нидерландская организация WorkTitans B.V. Для размещения вредоносных нагрузок используется домен cdn-cookie[.]com, а для эксфильтрации данных через HTTP POST-запросы применяется сервер lasorie[.]com.
Техническая реализация атаки включает внедрение на стороне клиента вредоносного JavaScript-кода в легитимные страницы оформления заказа интернет-магазинов. Файлы полезной нагрузки, имеющие названия
Одной из ключевых особенностей вредоносного ПО является механизм уклонения от обнаружения администраторами сайта. Код сканирует дерево DOM на наличие специфического элемента «wpadminbar». Этот элемент отображается на сайтах под управлением WordPress, когда в системе авторизован администратор или привилегированный пользователь. При обнаружения этого элемента скиммер запускает последовательность самоуничтожения и удаляет себя, чтобы остаться незамеченным.
Логика атаки также включает проверку выбранного способа оплаты: скрипт активируется, если пользователь выбирает Stripe. Для отслеживания жертв используется элемент localStorage браузера под названием «wc_cart_hash». Если значение этого элемента равно «true», скиммер понимает, что данные пользователя уже были перехвачены, и не запускается. Если же атрибут отсутствует, начинается процесс атаки.
Процесс кражи данных построен на методах социальной инженерии. Скиммер скрывает настоящую форму оплаты Stripe и отображает поддельную форму. После того как жертва вводит свои данные в фальшивые поля, страница выдает ложное сообщение об ошибке, заставляя пользователя поверить, что он допустил опечатку.
Сразу после ввода данных скиммер удаляет поддельную форму, восстанавливает легитимную форму оплаты и устанавливает значение «wc_cart_hash» в «true». Это позволяет злоумышленникам незаметно собрать информацию, прежде чем пользователь повторит попытку оплаты через настоящий интерфейс.
В ходе кампании похищаются как финансовые, так и персональные данные (PII). К финансовой информации относятся номера кредитных карт, сроки их действия и коды проверки подлинности карты (CVC). Персональные данные включают имена, номера телефонов, адреса электронной почты и адреса доставки.
Специалисты Silent Push отмечают, что организаторы атаки обладают глубокими знаниями о внутреннем устройстве WordPress. Интеграция в цепочку атаки малоизвестных особенностей платформы, таких как проверка наличия панели администратора, свидетельствует о высоком техническом уровне злоумышленников.
Изображение носит иллюстративный характер
Инфраструктура злоумышленников опирается на «пуленепробиваемый» хостинг Stark Industries, который находится под санкциями. Для обхода ограничений провайдер использует ребрендинг под именем THE[.]Hosting. Материнской компанией выступает , а контролирующим юридическим лицом является нидерландская организация WorkTitans B.V. Для размещения вредоносных нагрузок используется домен cdn-cookie[.]com, а для эксфильтрации данных через HTTP POST-запросы применяется сервер lasorie[.]com.
Техническая реализация атаки включает внедрение на стороне клиента вредоносного JavaScript-кода в легитимные страницы оформления заказа интернет-магазинов. Файлы полезной нагрузки, имеющие названия
recorder.js и tab-gtm.js, подвергнуты сильной обфускации. Скиммер пытается запуститься каждый раз, когда происходит модификация объектной модели документа (DOM) на веб-странице. Одной из ключевых особенностей вредоносного ПО является механизм уклонения от обнаружения администраторами сайта. Код сканирует дерево DOM на наличие специфического элемента «wpadminbar». Этот элемент отображается на сайтах под управлением WordPress, когда в системе авторизован администратор или привилегированный пользователь. При обнаружения этого элемента скиммер запускает последовательность самоуничтожения и удаляет себя, чтобы остаться незамеченным.
Логика атаки также включает проверку выбранного способа оплаты: скрипт активируется, если пользователь выбирает Stripe. Для отслеживания жертв используется элемент localStorage браузера под названием «wc_cart_hash». Если значение этого элемента равно «true», скиммер понимает, что данные пользователя уже были перехвачены, и не запускается. Если же атрибут отсутствует, начинается процесс атаки.
Процесс кражи данных построен на методах социальной инженерии. Скиммер скрывает настоящую форму оплаты Stripe и отображает поддельную форму. После того как жертва вводит свои данные в фальшивые поля, страница выдает ложное сообщение об ошибке, заставляя пользователя поверить, что он допустил опечатку.
Сразу после ввода данных скиммер удаляет поддельную форму, восстанавливает легитимную форму оплаты и устанавливает значение «wc_cart_hash» в «true». Это позволяет злоумышленникам незаметно собрать информацию, прежде чем пользователь повторит попытку оплаты через настоящий интерфейс.
В ходе кампании похищаются как финансовые, так и персональные данные (PII). К финансовой информации относятся номера кредитных карт, сроки их действия и коды проверки подлинности карты (CVC). Персональные данные включают имена, номера телефонов, адреса электронной почты и адреса доставки.
Специалисты Silent Push отмечают, что организаторы атаки обладают глубокими знаниями о внутреннем устройстве WordPress. Интеграция в цепочку атаки малоизвестных особенностей платформы, таких как проверка наличия панели администратора, свидетельствует о высоком техническом уровне злоумышленников.
