PrestaShop Websites Under Attack: GTAG Websocket Skimmer Steals Cre
2024/08/19 securityonline — eコマース Top-10 に入る PrestaShop だが、その脆弱性を悪用する新たなクレジットカード・スキマーが、Sucuri のセキュリティ研究者たちにより発見された。この巧妙な攻撃は、WebSocket 接続を使用するものであり、精算のプロセス中に顧客の機密情報を盗み取るというものだ。その、GTAG Websocket Skimmer と名付けられ新たなマルウェアは、PrestaShop のコア・ファイルに悪意のコードを注入することで、従来のセキュリティ・ツールにより検知を回避し、ユーザーが購入を完了する際に、リアルタイムでクレジットカード情報を取得する。
この脅威の検知と分析は、リアルタイムの双方向通信技術である WebSocket の悪用により、きわめて困難になっている。リクエストとレスポンスのサイクルが明確な、通常の HTTP/HTTPS 接続とは異なり、WebSocket は一定のデータ・ストリームを維持するため、従来のセキュリティ対策では悪意の活動の検知が困難になる。
このスキマーが隠される場所が、PrestaShop のコア設定メカニズムによりロードされる、autoload.php ファイル内であることが、セキュリティ・アナリストの Ben Martin の調査により判明した。それにより、悪意の JavaScript がチェックアウト・ページに注入され、検知されることなく機密データをキャプチャしていることが明らかにされた。
Image: Sucuri
さらに、このマルウェアは、16進エンコーディング/fromCharCode 操作/XOR 暗号化などの様々な難読化テクニックを採用しており、さらに検知と解読を困難にしている。この解読されたペイロードにより、”wss://cd[.]iconstaff[.]top/m?source=” という WebSocket URL が暴露され、精算プロセス中のマルウェアによるクレジットカード情報の窃取と、WebSocket 接続を介した攻撃者のサーバへの送信の達成が、デザインされていることが確認された。
Martin の分析が浮き彫りにするのは、Web サイトの管理者がシステムを最新の状態に保つことの重要性である。なお、感染した PrestaShop の Web サイトは、古いバージョン (2018 年にリリースされた 1.7.4.2) を実行しており、これが脆弱性の一因となった可能性が高い。過去においても、PrestaShop ではセキュリティ脆弱性が発見されており、プラットフォームのアップデートを怠ると、このような巧妙な攻撃にさらされる可能性が生じる。
以前にも似たような記事があったはずと思い探してみたら、2023/03/22 の「WordPress 上の eコマース侵害:決済の瞬間を狙ってクレカ情報を盗み出す手口とは?」が見つかりました。ただし、そのときには、WebSocket が悪用されていませんでしたので、脅威アクターたちの進化を感じてしまう展開です。よろしければ、カテゴリ Retail も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.