Credit Card Skimmer Malware Uncovered: Targeting Magento Checkout Pages
2024/11/28 SecurityOnline — 大手 e コマース・プラットフォーム でMagento が、いつものように、巧妙なサイバー犯罪者の攻撃の標的になっている。先日に、Sucuri のセキュリティ・アナリスト Puja Srivastava が報告したのは、Magento で稼働している Web サイトを侵害する、悪意の JavaScript インジェクションに関する情報である。この新しいマルウェアは、チェックアウト ページをターゲットにして、支払いに関する情報機密のを、密かに盗み出しているという。
Sucuri の Srivastava は、「このマルウェアの検出が極めて困難なのは、偽のクレジットカード・フォームの動的な挿入や、チェックアウト・ページの既存の支払いフィールドの乗っ取りを行うからである。つまり、Magento チェックアウト・ページをターゲットにした、偽のフォーム挿入や、稼働中の入力フィールドの抽出により、支払いデータを盗み出すという、巧妙なスキマーである。さらに言えば、この動的なアクティベーションにより、重要視されないページでは、悪意のスクリプトは休眠状態を維持し、検出を回避できる」と指摘している。
このマルウェアは、Sucuri の SiteCheck を用いる Weston Henry が、定期検査中に発見したものであり、高度な難読化技術を採用している。この調査により発見された悪意のコードは、以下の2つである:
- A frontend XML file: ./app/design/frontend/Magento/[Redacted]/Magento_Theme/layout/default.xml
- The database table: core_config_data
なお、感染したスクリプトは、”checkout” という単語を含む URL でアクティブになり、”cart” には反応しないようにプログラムされており、この攻撃の精度の高さを物語っている。
そして、アクティブになったスクリプトは Magento の API を悪用して、クレジットカード番号/顧客名/住所/請求データなどの機密情報を盗み出す。盗まれた情報は、複数のレイヤーで暗号化される。
- JSON としてエンコード
- キー・スクリプトを用いた XOR 暗号化
- 安全な送信のための Base64 エンコード
暗号化されたペイロードは、ビーコン技術を使用して “staticfonts.com” のリモート・サーバへと送信される。このステルス手法は、正当なツールでも多用されるため、マルウェアの検出が困難になる。
この攻撃者は、”dynamicopenfonts.app” や “staticfonts.com” といったドメインを利用しているが、そのうち2つは、すでに VirusTotal でフラグが付けられている。最新の分析では、8つの Web サイトが感染しており、このキャンペーンがアクティブかつ継続的であることを示している。
Srivastava が推奨するのは、定期的なセキュリティ監査/異常アクティビティの監視/堅牢な WAF の導入などであり、e コマース・プラットフォームの保護において不可欠だとしている。さらに言うならまた、不正な変更を監視し、定期的にプラットフォームを更新し、脆弱性を軽減することで、警戒を怠らないことである。
Magento を標的とする、動的なクレジットカード・スキマーとのことですが、以前に見たことがあると思い、探してみたところ、2024/08/25 の「Magento コマース・サイトへのスキマー注入:データ入力の瞬間にデータを傍受する手口とは?」という記事が見つかりました。攻める方も、いろいろと工夫していますね。よろしければ、カテゴリ Retail も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.