デジタル決済ゲートウェイからクレジットカード認証情報を傍受するよう設計された秘密裏のデータ流出キャンペーンが、発見されるまでほぼ2年にわたり密かに稼働していた。攻撃者はAmerican Express、Mastercard、Discover、Diners Club、JCB、UnionPayを含む主要決済ネットワークにまたがる膨大な顧客層を標的にした。この攻撃の規模が明らかになったのはつい最近で、Silent Pushの研究者が、オランダ法人WorkTitans B.V.配下のホスティング事業者が管理するドメインに紐づく異常な活動を精査したことがきっかけだった。
侵入の期間を通じて、犯人は正規のECプラットフォームのチェックアウトページに有害なJavaScript断片を埋め込んだ。このコードは購入手続き中に作動し、カード番号、有効期限、CVCコードに加え、氏名、配送先住所、連絡先情報といった個人識別情報など、機微なユーザー入力を吸い上げる。収集された情報はその後、HTTPリクエストを介してリモートサーバーへ送信された。
この作戦の特徴の一つは、暗号化されたスクリプト(cdn-cookie[.]com)を戦略的に利用した点で、ここにはrecorder.jsやtab-gtm.jsといった暗号化スクリプトが保管されていた。これらのコンポーネントは、悪性アーキテクチャの隠密運用を実現するために、ウェブストアフロントから読み込まれていた。主要なアンチ・フォレンジック機構の一つは、ページ内にwpadminbar要素(WordPress管理インターフェースの特徴)を監査することだった。これが検出されると、スクリプトは監視を回避するため即座に自己破壊した。
このスクリプトは、さまざまな決済方式に対して顕著な適応性を示した。例えばStripe連携に遭遇すると、マルウェアは特定のブラウザストレージフラグであるwc_cart_hashの存在を確認した。存在しない場合、被害者には本物のインターフェースを精巧に模した高度な偽装決済フォームが提示された。入力後、システムは認証情報エラーを装ってユーザーに再入力を促し、その間に情報は密かに攻撃者へ送信された。その後、同一被害者に対して重複して作動しないよう、ストレージフラグが設定された。
今回発掘されたスキームは、より高次の技術的熟練度を示している。攻撃者はWordPressアーキテクチャへの深い理解を示し、目立たないシステム機能を攻撃手順に組み込んでいた。これら悪性コンポーネントのホスティング基盤は、当初Stark IndustriesおよびPQ.Hostingに関連付けられていたが、THE[.]Hostingへとリブランドされており、地政学的な制裁圧力を回避するための動きである可能性が高い。
このキャンペーンはMagecart系統の脅威に帰属するとされる。Magecartは歴史的にMagentoの脆弱性を標的としてきたが、その後、多様なプラットフォームを悪用する方向へ進化している。最終的に、世界的な決済システムを狙ったこの攻撃は、現代のオンライン脅威が増大する複雑性と執拗な高度化を如実に示している。
