Microsoft ostrzega: Nowa taktyka podczas kradzieży danych z kart płatniczych

Atakujący przeprowadzają skuteczną manipulację na witrynach e-commerce i przechwytują informacje o kartach płatniczych, wykorzystują w tym celu pliki obrazów z ukrytym złośliwym skryptem PHP. Według Microsoftu, malware używany do kradzieży danych z  kart płatniczych coraz częściej wykorzystuje skrypty PHP w celu modyfikowania witryn z płatnościami i obchodzenia zabezpieczeń przeglądarki. Tego typu ataki mogą być szczególnie szkodliwe dla organizacji, które są odpowiedzialne za przechowywanie danych osobowych i finansowych klientów gromadzonych podczas transakcji. Według analityków Microsoft ds. cyber zagrożeń, hakerzy wykorzystujący złośliwe oprogramowanie do skanowania kart zmienili swoje podejście. Kradzież danych konsumentów w witrynach e-commerce zostało zdominowane przez malware Magecart, to forma złośliwego oprogramowania, które infekuje sklepy internetowe i platformy e-commerce. Jest to jeden z najczęściej stosowanych przez hakerów sposobów kradzieży informacji o kartach kredytowych. Wykorzystują w tym celu dodanie unikalnych skryptów do kodu źródłowego na stronach z sekcjami płatności, takimi jak strona „Kasa” lub „Potwierdzenie zamówienia”. Pozwala to ukraść dane karty kredytowej, podczas wprowadzania ich do formularzy internetowych, ale także zbierać dane, nawet jeśli zamówienie nie zostanie zrealizowane. Złośliwy kod jest zazwyczaj ukryty w komentarzu HTML, tak że po umieszczeniu w kodzie źródłowym wydaje się być niegroźny. Przeznaczony jest do odczytywania informacji wprowadzonych do formularzy płatności na stronach kasy, a następnie szybkiego wysyłania tych danych z powrotem do zdalnego komputera kontrolowanego przez hakerów w celu ich zarejestrowaniai późniejszego wykorzystania. Według Microsoftu, wstrzykiwanie JavaScript do procesów front-end było zbyt widoczne i mogło uruchomić zabezpieczenia przeglądarki, takie jak Content Security Policy (CSP), które uniemożliwiają ładowanie zewnętrznych skryptów. Atakując serwery internetowe za pomocą złośliwych skryptów PHP, hakerzy odkryli mniej „hałaśliwą” metodę. W listopadzie 2021 r. Microsoft wykrył dwa złośliwe pliki graficzne na serwerze hostowanym przez Magento (jest to dobrze znany system e-commerce) z których jeden był fałszywym favicon’em. Obrazy zawierały wbudowany skrypt PHP, który nie był domyślnie uruchomiony na zainfekowanym serwerze. Zamiast tego, kierował reklamy tylko do kupujących, a skrypt PHP uruchamia się dopiero po sprawdzeniu za pomocą plików cookie, że administrator sieci nie jest aktualnie zalogowany. Skrypt PHP uzyskał adres URL bieżącej strony i wyszukał słowa kluczowe „checkout” i „one page”, które są połączone ze stroną kasy Magneto. Złośliwy skrypt PHP jest coraz częściej wykorzystywany przez malware card-skimming. W zeszłym tygodniu FBI wydało ostrzeżenie o nowych przypadkach ataków na amerykańskie witryny e-commerce,  w celu zdalnego dostępu do serwera WWW za pomocą backdoora i przy użyciu złośliwego PHP. Magecart Group 12 dystrybuuje nowy malware web shell, według Malwarebytes kod przeglądający JavaScript jest dynamicznie ładowany za pośrednictwem żądań po stronie serwera i przesyłany do sprzedawców internetowych. Jérôme Segura z Malwarebytes zauważył: „Ta technika jest interesująca, ponieważ większość narzędzi bezpieczeństwa po stronie klienta nie będzie w stanie wykryć ani zablokować skimmera. W przeciwieństwie do poprzednich incydentów, w których do ukrycia złośliwego kodu JavaScript wykorzystano fałszywy obraz favicon, okazało się, że była to powłoka internetowa PHP.” Jednak niebezpieczny JavaScript jest nadal używany do kradzieży danych z kart płatniczych, Microsoft wykrył złośliwe oprogramowanie typu card-skimming oparte na skryptach JavaScript podszywających się pod Google Analytics i Meta Pixel (wcześniej Facebook Pixel).