Web-Skimming-Angriffskampagne
Cybersicherheitsforscher haben eine groß angelegte Web-Skimming-Kampagne aufgedeckt, die seit Januar 2022 aktiv ist. Die Operation zielt auf Unternehmen ab, die auf große Zahlungsnetzwerke wie American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard und UnionPay angewiesen sind. Unternehmen, die diese Zahlungsdienste in ihre Online-Bezahlsysteme integrieren, gelten als besonders gefährdet.
Inhaltsverzeichnis
Digitales Skimming und die Evolution von Magecart
Digitale Skimming-Angriffe sind eine Form der clientseitigen Kompromittierung, bei der Angreifer schädlichen JavaScript-Code in legitime E-Commerce-Websites und Zahlungsportale einschleusen. Der eingeschleuste Code sammelt unbemerkt Kreditkartendaten und persönliche Informationen ab, während Kunden ihre Zahlungsdaten eingeben.
Diese Aktivität fällt unter die umfassendere Kategorie, die gemeinhin als Magecart bekannt ist. Der Begriff beschrieb ursprünglich einen losen Zusammenschluss von Cyberkriminellen-Gruppen, die sich auf Magento-basierte E-Commerce-Websites konzentrierten, hat sich aber inzwischen auf Skimming-Operationen über viele Plattformen und Technologien hinweg ausgeweitet.
Infrastruktur im Zusammenhang mit Sanktionsumgehung
Die Kampagne wurde im Zuge einer Untersuchung einer verdächtigen Domain im Zusammenhang mit Stark Industries, einem sanktionierten Anbieter von Bulletproof-Hosting, entdeckt. Dessen Muttergesellschaft PQ.Hosting benannte den Dienst später in THE.Hosting um, der nun von dem niederländischen Unternehmen WorkTitans BV betrieben wird – angeblich, um Sanktionen zu umgehen.
Auf der Domain cdn-cookie(dot)com wurden stark verschleierte JavaScript-Dateien wie 'recorder.js' und 'tab-gtm.js' gefunden. Diese Skripte wurden in kompromittierte Online-Shops eingebettet, wo sie das verdeckte Ausspähen von Kreditkartendaten ermöglichten.
Heimlichkeit durch Selbstzerstörung und Umweltbewusstsein
Der Skimmer wurde so entwickelt, dass er aktiv von Website-Administratoren nicht erkannt wird. Er durchsucht das Document Object Model (DOM) nach dem Element „wpadminbar“, einem Toolbar-Element, das sichtbar ist, wenn WordPress-Administratoren oder privilegierte Benutzer angemeldet sind. Wird dieses Element gefunden, löst die Schadsoftware sofort eine Selbstentfernungsroutine aus und löscht sich selbst von der Seite.
Um die Persistenz beim normalen Surfen aufrechtzuerhalten, versucht der Skimmer jedes Mal ausgeführt zu werden, wenn sich das DOM der Seite ändert, was bei der Benutzerinteraktion auf modernen Websites häufig vorkommt.
Stripe als Waffe einsetzen durch Schnittstellenmanipulation
Der Schadcode enthält eine spezielle Logik, die Stripe-basierte Bezahlvorgänge ausnutzt. Bei Auswahl von Stripe prüft der Skimmer, ob ein localStorage-Eintrag namens „wc_cart_hash“ existiert. Existiert dieser Wert nicht, erstellt er den Schlüssel und bereitet die Datenerfassung vor.
An diesem Punkt ersetzt die Schadsoftware das legitime Stripe-Zahlungsformular dynamisch durch ein gefälschtes. Durch subtile Manipulation der Benutzeroberfläche werden die Opfer dazu verleitet, ihre Kartennummer, das Ablaufdatum und den CVC-Code in das gefälschte Formular einzugeben.
Nach dem Absenden der Zahlung wird eine Fehlermeldung angezeigt, sodass es den Anschein hat, als sei die Zahlung aufgrund falscher Angaben und nicht aufgrund böswilliger Manipulation fehlgeschlagen.
Datendiebstahl, Datenexfiltration und Datenbereinigung
Die gestohlenen Informationen gehen über Zahlungskartendaten hinaus und umfassen vollständige Namen, Telefonnummern, E-Mail-Adressen und Lieferadressen. Der Skimmer übermittelt diese Daten per HTTP-POST-Anfrage an lasorie.com.
Sobald die Datenexfiltration abgeschlossen ist, entfernt die Malware das gefälschte Formular, stellt die legitime Stripe-Oberfläche wieder her und löscht alle Spuren ihrer Aktivität von der Checkout-Seite. Anschließend setzt sie die Variable „wc_cart_hash“ auf „true“, um zu verhindern, dass der Skimmer erneut für dasselbe Opfer ausgeführt wird.
Eine auf tiefgreifendem Plattformwissen basierende Angriffskette
Die Forscher stellen fest, dass der Angreifer ein fortgeschrittenes Verständnis der WordPress-Interna aufweist und im Rahmen seiner Angriffe auch weniger bekannte Plattformfunktionen nutzt. Dieses profunde Wissen, kombiniert mit ausgefeilten Ausweich- und Manipulationstechniken, unterstreicht die Reife und Beharrlichkeit der Operation.
