高度かつ大規模なMagecartキャンペーンが発見され、クライアントサイド攻撃の危険な進化が明らかになりました。
セキュリティ研究者は特定したところ、50本を超える異なる悪意あるスクリプトを用いて、数十のEコマースプラットフォームにおけるチェックアウトおよびアカウント作成フローを乗っ取るグローバルな作戦が行われていました。
データを「待ち受ける」従来のスキミング攻撃とは異なり、このキャンペーンは、最新のセキュリティ制御を回避するよう設計されたモジュール式かつローカライズされたペイロードで、ユーザー体験を能動的に操作します。
このキャンペーンは高度なカスタマイズ性が際立っています。攻撃者は、Stripe、Mollie、PagSeguro、OnePay、そしてPayPalを含む幅広い決済ゲートウェイ向けに、特定のペイロードを開発していました。
万能型のスキマーではなく、マルウェアが使用中の決済プロセッサを検出し、それに一致する「偽の」決済フォームを展開します。
例えば、コード分析により、正規のStripe iframeをブロックするために明示的に設計された関数(blockStripe())が確認されており、安全な決済ウィンドウの読み込みを妨害します。
その代わりに、マルウェアは見た目がほぼ同一のフィッシング用iframeを注入し、決済事業者によって暗号化される前に機微なデータを取得します。
高度なアンチフォレンジックと回避
このキャンペーンの背後にいるオペレーターは、セキュリティスキャナーや研究者による検知を回避するため、重要なアンチフォレンジック機能を統合しています。
- Luhn検証に通る「ジャンク」データ: 攻撃から回収されたコード断片には、Luhnアルゴリズムを用いて入力を検証するロジックが示されています。入力がテストデータと判断されたり、特定の基準を満たさない場合、スクリプトは「ジャンク」データを送り込むか、セキュリティ監査中に警戒を招かないよう休眠状態のままになることがあります。
- 隠し入力: スクリプトはDOMに隠し入力フィールド(例: <input id=”fuckoff_my_friend” …>)を動的に注入します。これらのフィールドは、ユーザーには見えない一方で攻撃者のコマンド&コントロール(C2)基盤からアクセス可能なデータ流出ポイントとして機能します。
- サイレント・スキミング: マルウェアは非同期に動作し、正規のチェックアウト処理が中断なく継続するようにすることで、被害者が自分のデータが傍受されたことに気づかないようにします。
最も憂慮すべきことに、このキャンペーンは単純なクレジットカード窃取から、完全な身元侵害へと戦略的にシフトしていることを示しています。
文書化された事例の一部では、攻撃者が盗んだ認証情報を用いて、被害者のEコマースCMS内に不正な管理者アカウントを作成し、最初の注入脆弱性が修正されてもアクセスを維持できるようにしていました。
スクリプトは決済データだけでなく、ログイン認証情報、個人を特定できる情報(PII)、およびアカウント復旧に関する詳細も収集するよう設計されています。
このデータの集約により、アカウント乗っ取り(ATO)攻撃が可能になり、脅威アクターが長期的な永続性を確立できるようになります。
翻訳元: https://gbhackers.com/magecart-campaign/
