ウェブスキミング攻撃キャンペーン

サイバーセキュリティ研究者は、2022年1月から活発に活動している大規模なウェブスキミング攻撃を発見しました。この攻撃は、アメリカン・エキスプレス、ダイナースクラブ、ディスカバー、株式会社ジェーシービー、マスターカード、銀聯（ユニオンペイ）などの主要な決済ネットワークを利用する企業を標的としています。これらの決済サービスをオンラインチェックアウトシステムに統合している企業は、最も高いリスクにさらされていると評価されています。

デジタルスキミングとMagecartの進化

デジタルスキミング攻撃は、クライアントサイドの侵害の一種であり、脅威アクターが正規のeコマースサイトや決済ポータルに悪意のあるJavaScriptを挿入します。挿入されたコードは、顧客が決済情報を入力する際に、クレジットカード情報や個人情報を密かに収集します。

この活動は、一般的にMagecartとして知られるより広範なカテゴリに分類されます。この用語は元々、Magentoベースのeコマースサイトを標的とするサイバー犯罪者の緩やかな集団を指していましたが、その後、様々なプラットフォームやテクノロジーを横断するスキミング活動も含まれるようになりました。

制裁回避に繋がるインフラ

このキャンペーンは、制裁対象となっている防弾ホスティングプロバイダーであるStark Industriesに関連する不審なドメインの調査中に特定されました。親会社であるPQ.Hostingは後にサービスをTHE.Hostingにリブランドし、現在はオランダのWorkTitans BVが運営しています。これは制裁を回避するための手段と報じられています。

ドメインcdn-cookie(dot)comは、「recorder.js」や「tab-gtm.js」といった高度に難読化されたJavaScriptファイルをホストしていることが判明しました。これらのスクリプトは侵害されたオンラインショップに埋め込まれ、クレジットカードのスキミングを秘密裏に実行していました。

自己破壊と環境認識によるステルス

このスキマーは、サイト管理者による検出を積極的に回避するように設計されており、ドキュメントオブジェクトモデルを検査して、WordPress管理者または権限を持つユーザーがログインした際に表示されるツールバー要素「wpadminbar」の存在を確認します。この要素が検出されると、マルウェアは直ちに自己削除ルーチンを起動し、ページから自身を削除します。

通常のブラウジング中に永続性を維持するために、スキマーはページの DOM が変更されるたびに実行を試みます。これは、最近の Web サイトでのユーザー操作中によく発生します。

インターフェース操作によるStripeの武器化

悪意のあるコードには、Stripeベースのチェックアウトフローを悪用するために設計された特定のロジックが含まれています。Stripeが選択されると、スキマーは「wc_cart_hash」という名前のlocalStorageエントリをチェックします。値が存在しない場合は、キーを作成し、データ収集の準備を行います。

この時点で、マルウェアは正規のStripe決済フォームを偽造フォームに動的に置き換えます。巧妙なインターフェース操作によって、被害者は偽造フォームにカード番号、有効期限、CVCコードを入力させられます。

送信後、ページはエラーメッセージを返すため、悪意のある干渉ではなく誤った情報が原因で支払いが失敗したように見えます。

データの盗難、流出、クリーンアップ

盗まれた情報は、クレジットカード情報だけでなく、氏名、電話番号、メールアドレス、配送先住所など多岐にわたります。スキマーはこれらのデータをHTTP POSTリクエスト経由でlasorie(dot)comに送信します。

情報流出プロセスが完了すると、マルウェアは偽のフォームを削除し、正規のStripeインターフェースを復元し、チェックアウトページから自身のアクティビティの痕跡を削除します。その後、「wc_cart_hash」を「true」に設定し、スキマーが同じ被害者に対して再度実行されないようにします。

プラットフォームに関する深い知識に基づいて構築された攻撃チェーン

研究者らは、この脅威アクターがWordPressの内部構造を高度に理解しており、攻撃フローの一部として、あまり知られていないプラットフォーム機能さえも利用していると指摘しています。この深い知識と、洗練された回避策およびインターフェース操作の手法が組み合わさることで、この攻撃活動の成熟度と持続性が強調されます。