Hackers inject credit card stealers into payment processing modules
2023/03/22 BleepingComputer — クレジットカードを盗み出す新たなハッキング・キャンペーンは、これまでに見られたものとは異なり、悪意のコードを WooCommcerce の “Authorize.net” 決済ゲートウェイ・モジュール内に隠すことで、セキュリティ・スキャンによる検出の回避を可能にしているようだ。これまでの脅威アクターたちが、Magenta および WooCommerce + WordPress のようなコマース・サイトを侵害する場合には、店舗や顧客のチェックアウト・ページ HTML に、悪意の JavaScript を注入するのが一般的だった。
つまり、それらのスクリプトにより、クレジットカード番号/有効期限/CVV 番号/住所/電話番号/電子メールアドレスなどの、チェックアウト時に入力される顧客情報を盗み出してきた。
しかし、現在では数多くのオンラインショップが、セキュリティ・ソフトウェア会社と連携し、公開されている eコマース・サイトの HTML をスキャンし、悪意のあるスクリプトを発見するようになり、脅威アクターが隠れることが難しくなっている。
この検知を逃れるために、いまの脅威アクターたちは、チェックアウト時にクレジットカードの支払いを処理するために使用される、サイトの決済ゲートウェイ・モジュールに対して、ダイレクトに悪意のスクリプトを注入している。
一般的に、これらの支払いのための拡張機能は、ユーザーがクレジットカード情報を送信し、店舗でチェックアウトした後にのみ呼び出されるため、サイバーセキュリティ・ソリューションによる検出が困難になる可能性がある。
このキャンペーンは、Sucuri の Web サイト・セキュリティ専門家たちが、クライアントのシステムで発生した異常な感染について調査を依頼された際に発見された。
ペイメントゲートウェイがターゲット
WooCommerce は、全オンラインストアの約40%が利用している、WordPress プラグインとして提供される人気eコマース・プラットフォームである。それらのサイト上でクレジットカード決済を利用する店舗は、世界中の 44万の加盟店に利用されている人気のプロセッサー Authorize.net などの、支払処理システムを利用している。
そして、侵害されたサイトにおいて、WooCommerce 環境への決済ゲートウェイの統合をサポートする、Authorize.net のファイルの1つである “class-wc-authorize-net-cim.php” が、脅威アクターにより変更されていることを、Sucuri が発見した。
このファイルの下部に注入されたコードは、HTTP リクエストボディに “wc-authorize-net-cim-credit-card-account-number” という文字列が含まれていることをチェックする。この文字列は、ストア上のカートでユーザーがチェックアウトした後に、支払いデータを運ぶことを意味する。
この場合において、悪意のコードはランダムなパスワードを生成し、被害者の支払い情報を AES-128-CBC で暗号化し、後に攻撃者が取得する画像ファイルに保存する。
攻撃者が実行した2つ目のインジェクションは、同じく Authorize.net のファイルである “wc-authorize-net-cim.min.js” に対するものだ。この注入されたコードは、感染した Web サイトの入力フォーム要素から追加の支払い情報を取得し、被害者の名前/配送先住所/電話番号/郵便番号などを傍受することを目的としている。
検知を回避する
このキャンペーンにおける、もう1つの特徴として挙げられるのは、スキマーと機能に対して施されたステルス性であり、発見と根絶を極めて難しくし、長時間のデータ流出を維持することになる。
第一に、悪意のコードが正規の決済ゲートウェイ・ファイルに注入されているため、Web サイトで公開されている HTML のスキャンや、疑わしいファイルに対する追加の探索といった、通常の検査では結果がでないという。
第二に、盗んだクレジットカードの詳細を画像ファイルに保存することは、決して新しい手口とは言えないが、その強力な暗号化は、攻撃者が検知を回避するための新しい要素となる。過去の事例では、脅威行アクターのたちは盗んだデータを平文で保存するか、弱い base64 エンコーディングを使用するか、チェックアウト時に盗んだ情報を転送するだけだった。
第三に、脅威アクターは WordPress の Heartbeat API を悪用して通常のトラフィックを模倣し、流出時に被害者の支払いデータと混合することで、不正なデータ流出を監視するセキュリティ・ツールによる検出を回避している。
MageCart の攻撃者は戦術を進化させ、WooCommerce と WordPress のサイトを標的にする動きを強めている。したがって、それらの Web サイトの所有者と管理者は警戒を怠らず、強固なセキュリティ対策を実施することが必要不可欠となっている。
今回 Sukuri が発見したキャンペーンは、クレジットカードのスキミング攻撃が巧妙になり、また、セキュリティを回避する攻撃者たちが工夫していることを示すものだ。
WordPress で eコマースをやるなら、この WooCommerce プラグインが定番らしいですね。そして、これまでのサーバー攻撃では、店舗や顧客のチェックアウト・ページ に、悪意の JavaScript を注入するのが一般的であり、それならば静的なチェックで対応できたものが、決済ゲートウェイ・ファイルへと対象がシフトしたことで、対応が困難になってきているようです。以下のリンクは、 eコマース とは無関係ですが、最近の WordPress 関連のトピックとなります。
2023/02/14:AdSense 上の不正キャンペーン:WP サイトに感染
2023/01/25:WordPress サイト 4,500 以上でハッキングが発生
2023/01/13:WordPress プラグインの脆弱性と PoC
2022/01/02:Linux マルウェア:テーマ/プラグインを悪用
IoT OT Security News 
You must be logged in to post a comment.