Magecart Hackers Hide Stolen Credit Card Data Into Images for Evasive Exfiltration
2021/07/09 TheHackerNews — Magecart グループに属するサイバー犯罪者たちは、コメント・ブロック内に難読化されたマルウェアコードを仕込み、盗み出したクレジットカード情報をサーバー上の画像などのファイルにエンコードするという、新しい手口を使い始めている。それにより示されるのは、攻撃者が検知を逃れるために、感染経路を継続的に消し去っているという実態だ。
Sucuri の Security Analyst である Ben Martin は、「Magecart のアクターの中には、クレジットカード情報をサーバー上の画像ファイルに格納することで、疑いをかけられないようにしている。それらのファイルは、後日、単純な GET リクエストでダウンロードできる」と述べている。MageCart とは、悪意のある JavaScript スキマーを注入して、クレジット・カード番号を窃取し、ブラック・マーケットで販売することを目的とした、電子商取引サイトを狙う複数のサイバー犯罪者グループの総称である。一連の攻撃が Magecart Group 7 によるものだと、Sucuri が判断する理由としては、脅威アクターが採用する TTP (Tactic/ Technique / Procedure) が重なり合うところにある。
GoDaddy 傘下のセキュリティ企業が調査した、Magento 電子商取引サイトの感染事例では、チェックアウト・プロセスに関わる PHP ファイルの1つに、スキミング行為により Base64 エンコードされた圧縮文字列が挿入されていることが判明した。さらに、PHP ファイル内の悪意のコードの存在を隠すために、攻撃者はコンカチネーションと呼ばれる技術を用いたと言われている。この技術は、コードとコメントの固まりを結合するものであり、機能的には何もしないが、難読化のレイヤーが追加され、悪意のコードの検出が困難になるとされる。
この記事は、侵害された Web サイト上で、顧客の決済カード情報をリアルタイムに窃取するところに、Magecart (メイジカート) 攻撃の目的があると指摘しています。ここで抜き取られた情報は、サーバー上の偽の CSS (Style Sheet File) に保存され、その後の Get リクエストにより、攻撃者により容易にダウンロードされるさけです。Sucuri の Ben Martin は、「MageCart は、電子商取引 Web サイトにとって、拡大し続ける脅威となっている。攻撃者の視点から見ると、報酬が膨大であり、存在が隠せるのに、攻撃しない理由はないとなる。盗んだクレジット・カードをブラック・マーケットで売りさばくことで、文字通りの大金を手にきる」と述べています。
IoT OT Security News 