サイバーセキュリティ研究者は、2022年1月以降、ECサイトからクレジットカード情報を継続的に盗み出してきた高度なMagecartキャンペーンを発見しました。標的には、American Express、Diners Club、Discover、JCB、Mastercard、UnionPayなどの主要決済ネットワークが含まれます。
このキャンペーンは、正規のECサイトのチェックアウトページに悪意のあるJavaScriptを注入し、正規のStripe決済インターフェースと見分けがつかない偽の決済フォームを作成します。
購入者が決済情報を入力すると、スキマーが実際の決済処理業者に到達する前にデータを傍受して盗み取ります。
このスキマーは、Stripe決済ゲートウェイを使用するWooCommerceサイトを特に狙います。正規の決済フォームを置き換える悪意のあるiframeを作成し、ブランド別のカード形式や検証機能まで備えています。
偽フォームはカードブランドの自動検出に対応しており、Mastercard、American Express、JCB、Diners Club、Discover、UnionPayの適切なロゴを表示して正当性を高めます。
被害者が決済情報を送信すると、スキマーはデータをLasorie.com/api/addへ流出させた後、自身を消去して正規フォームを復元します。その際、しばしば決済エラーが発生し、ユーザーに認証情報を再入力させるよう誘導します。
このキャンペーンは、複数の国やインフラ提供事業者にまたがる多数のECストアを侵害しており、オンライン購入者、EC事業者、決済提供事業者に影響を及ぼしています。
脅威アクターはWordPressおよびWooCommerceの内部構造に関する高度な知識を示しており、wp_enqueue_scripts機能を悪用して管理者の検知を回避しつつ悪意のあるコードを注入します。また、WordPressの管理バーの有無を確認し、管理者ユーザーが存在する場合には自らを削除することで発見を逃れます。
Webサイト管理者は、外部JavaScriptの読み込みを制限するためにコンテンツセキュリティポリシー(CSP)を実装し、PCI DSS準拠を維持し、CMSプラットフォームとプラグインを定期的に更新し、多要素認証を用いた強力なアクセス制御を徹底し、非管理者の視点でチェックアウトページを定期的にテストすべきです。
セキュリティ研究者は、3年以上前にさかのぼるMagecart活動に関連する複数のドメインを特定しており、このキャンペーンの持続性と高度さを示しています。
翻訳元: https://cyberpress.org/magecart-attack-credit-card-data-checkout-pages/