Magento/WooCommerce などが標的:商取引サイトを狙う Magecart キャンペーン

Magento, WooCommerce, WordPress, and Shopify Exploited in Web Skimmer Attack

2023/06/05 TheHackerNews — 電子商取引サイトから PII (Personally Identifiable Information) やクレジットカードのデータを盗むことを目的とした、現在進行中の Magecart スタイルの Web スキマー・キャンペーンをサイバー・セキュリティ研究者たちが発見した。これまでの Magecart キャンペーンと異なる点は、乗っ取られたサイトが間に合せの Command and Control (C2) サーバとして機能することで、知らないうちに被害者のサイトが、悪質なコードの配布に悪用されている点である。Akamai は、北米/中南米/欧州などで、さまざまな規模の被害者を確認したと述べている。何千人ものサイト訪問者の、個人情報が不正に収集され売却されるという、危機的な状況に陥る可能性があると指摘している。


Akamai のセキュリティ研究者である Roman Lvovsky は、「この攻撃者がキャンペーンで採用している回避技術には、難読化 (Base64 を使用) や、サードパーティ・サービス Google Analytics/Google Tag Manager の偽装などがあり、その攻撃を隠している」と述べている。

簡単に説明すると、脆弱な正規のサイトに侵入し、そのサイトを利用して Web スキマー・コードをホストすることで、正規ドメインの評価を悪用するというものだ。場合によっては、この攻撃は1カ月近くも続いている。

Akamai は、「攻撃者自身の C2 サーバを使用すると、悪意のドメインとしてフラグが立つ可能性がある。したがって、中小規模の小売 Web サイトなどの正規サイトに侵入し、その中にコードを隠している」と指摘している。

一連の攻撃の結果として、侵害後にマルウェアの「流通センター」として機能する正規のサイトと、スキマーの標的となる脆弱な E コマースサイトという、2種類の被害者が発生する。

Web Skimmer Attack


つまり、侵害された Web サイトがデータ窃取に遭うだけでなく、知らず知らずのうちにマルウェアを、他の Web サイトに拡散させるための手段として機能する可能性があるのだ。

Lvovsky は、「今回の攻撃では、Magento/WooCommerce/WordPress/Shopify などが悪用され、デジタル商取引プラットフォームの脆弱性と悪用の可能性が、ますます多様化している状況が示されている」と述べている。

この手法は、長い時間をかけて Web サイトが獲得した信頼を悪用することで、攻撃に関する特定と対応を困難にする「煙幕」を作り出すものだ。

また、このキャンペーンでは、検知を避けるために、他の方法も採用されている。たとえば、スキマーコードを Google Tag Manager/Facebook Pixel のようなサードパーティ・サービスとしてカモフラージュし、その真の意図を隠すことだ。

また、JavaScriptの コード・スニペットをローダーとして機能させ、ホストである被害者の Web サイトから完全な攻撃コードを取得することで、検出の可能性を最小限に抑えるという手口も採用されている。

難読化されたスキマーコードは2種類あり、攻撃者が管理するサーバへの HTTP リクエストを暗号化する文字列として、個人情報およびクレジットカード情報を傍受・流出させる機能を備えている。

難読化されたスキマー・コードには2つの亜種がある。それらには、攻撃者が制御するサーバへの HTTP リクエストを介して、PII とクレジット カードの詳細をエンコードされた文字列として傍受し、漏洩させる機能が備わっている。

Lvovsky は、「この種の情報流出は、それぞれのユーザーがチェックアウトを行う際に、1回だけ発生する。そのユーザーの情報が盗まれると、スクリプトはブラウザにフラグを立て、同じ情報を繰り返して盗まないようにする。それにより、疑わしいネットワーク・トラフィックが削減されるのが、Magecart スタイルの攻撃の検知回避能力である。

つい先日の 2023/06/03 にポストした、「Vidar 情報スティーラーの手口を分析:オンライン販売業者たちを狙う悪質キャンペーンとは?」でも、商取引サイトを狙う脅威アクターたちの手口が進化していることが解説されていました。サイバー犯罪者たちは、RAT (Remote Access Trojan) との通信を確立するための、C2 サーバの確保と維持に時間と手間を費やしているはずです。そして、それを緩和するという、新たな Magecart キャンペーンが始まったようです。よろしければ、カテゴリ Retail も、ご利用ください。