New Magecart Attack Injects Malicious JavaScript to Steal Payment Data
2025/09/17 gbhackers — Magecart 風の、新たな攻撃キャンペーンが出現した。このキャンペーンは、悪意の JavaScript インジェクションを介して、オンライン・チェックアウト・フォームから支払いデータを盗み出すものである。この脅威は、セキュリティ研究者である sdcyberresearch が、”cc-analytics[.]com” でのアクティブな攻撃キャンペーンを示唆する、謎めいたツイートを投稿したことで表面化した。
その後の分析により、高度に難読化されたスクリプトが明らかになった。このスクリプトは、チェックアウト・フィールドにフックして、クレジット・カード情報と請求情報を収集し、盗んだデータを攻撃者が管理するドメインに持ち出すものだ。
このコードのコア部分は、_0x1B3A1 関数の定義にある。この関数は、正規表現の置換の繰り返しと、カスタム基数変換ルーチンの使用により、16 進数でエンコードされた文字列をデコードし、リアルタイムに eval() で評価するものだ。
アナリストたちは、ブラウザ開発者ツールで debugger; を先頭に追加し、Python でオリジナルのペイロード文字列を出力することで、この難読化を迅速に解除した。Obf-IO などの自動的な難読化解除サービスにより、そのプロセスはさらに簡素化され、明確な JavaScript ロジックが判明した。
そのスクリプトは、2つの主要コンポーネントで構成される。1つは支払いフォーム要素(checkout__input)の変更をリッスンし、クレジット・カード選択ボタンのクリックをトリガーするデータ収集関数である。もう1つは、sendStolenData() というデータ抽出関数である。
ユーザーが 14 桁を超えるカード番号を入力すると、スキマーは cardNumber フィールドと billingInfo フィールドを FormData オブジェクトにパッケージ化し、POST 経由で “https://www.pstatics.com/i” に送信する。
この効果的で古典的な手法は単純であり、また、Magecart の戦術を反映するものであるが、インジェクションのメカニズムとドメイン名の命名パターンは進化している。
インフラとピボット
最初の “cc-analytics[.]com” ドメインからのピボットにより、より広範なインフラのフットプリントが明らかになった。URLScan.io による “cc-analytics.com” の検索で確認されたのは、”https://www.cc-analytics.com/app.js” への参照を含む、侵害された数十件の eコマース・サイトであり、この攻撃が広範囲に展開されていることが判明した。
ネットワーク・ログで特定された、ホスティング IP アドレス 45.61.136.141 の WHOIS レコードは、堅牢なホスティング・プロバイダに紐付けられている。
パッシブ DNS と URLScan による、さらに詳細な調査により発見されたのは、jgetjs.com/getnjs.com/getvjs.com/getejs.com/utilanalytics.com といった、ほぼ同一のペイロードを提供するドメインである。
IP アドレスの共有と類似したディレクトリ構造から、単一の脅威アクターが複数のキャンペーンで命名規則 (“get*js” および “*analytics”) を再利用していることが示唆される。
関連するドメインの包括的なリストには、”cc-analytis.com (タイプミス亜種)” や、”youtuber-dashboardwme.pro“/”secfw03secur.com” に加えて、”45-61-136-141.cprapid.com” のサブドメインも含まれている。
これらのドメインは、少なくとも1年間はアクティブであり、定期的にドメインをローテーションすることで削除を逃れるという、長年にわたり稼働しているインフラの存在を示唆している。
影響と検出
このキャンペーンが浮き彫りにするのは、Magecart スキマーがもたらす永続的な脅威である。1件のツイートという小さな公開シグナルが、悪意のスクリプトによる大規模なキャンペーンと、秘密裏に展開されるネットワークを暴くこともある。
セキュリティ・チームにとって必要なことは、Web ページを監視し、疑わしいドメインを参照する不正な <script> タグに注目し、特に “analytics.com” や “getjs.com” などのパターンに一致するタグを確認することだ。また、URLScan/publicWWW/Passive DNS Lookups などのツールは、脅威ハンティングとドメイン属性の特定に有用である。
また、検出の戦略に含まれるものには、スクリプト・ソースを既知の検証済みドメインに制限する Content Security Policy (CSP) ルールの実装/DOM の不正変更をブロックするための Runtime Application Self-Protection の導入/予期しない外部スクリプトの組み込みを検出するための定期的な Web アセット・スキャンなどがある。
そして、関連ドメインをリストアップする脅威インテリジェンス・フィードを統合すれば、新たな侵害サイトが出現した際にアラートを自動生成できる。ユーザー組織にとって必要なことは、すべての特定されたドメインを無差別にブロックするのではなく、誤検知が事業の継続性を損なわないよう、適用前にドメインのレピュテーションとスクリプトの動作を検証することである。
Web サーバのログとクライアント側のエラー・レポートを定期的に確認することで、後期段階の流出攻撃を捕捉できる。最後に、セキュリティ・コミュニティを通じて情報を共有することで、新たなインフラの発見が迅速に伝播し、リスクにさらされる期間を短縮できる。
この調査が示す結果は、プロアクティブな脅威ハンティングとアクセス可能なツールや公開シグナルの組み合わせにより、重大な営業損失が発生する前に、攻撃者のインフラをマッピングできることだ。これらの知見を備えたセキュリティ・チームは、防御を強化し、Magecart 型の大規模攻撃を阻止できる。
この記事が指摘する問題は、オンライン決済フォームに悪意ある JavaScript が挿入されることで生じます。その原因は、難読化されたスクリプトがチェックアウト画面にフックし、入力されたクレジット・カード番号や請求情報を盗み出す仕組みにあります。特に _0x1B3A1 関数によるエンコード文字列の復号と eval() 実行が、攻撃者のコードを実行させるコアとなっています。サイトの管理者の方々は、ご注意ください。よろしければ、カテゴリ Retail を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.