Скимминг кредитных карт — долгий и извилистый путь сбоя в цепочке поставок

Исследователи из компании по безопасности приложений Jscrambler только что опубликовали Поучительная история об атаках на цепочки поставок…

…это также мощное напоминание о том, насколько длинными могут быть цепочки атак.

К сожалению, это долго только с точки зрения время, не длинный ни по технической сложности, ни по количеству звеньев в самой цепочке.

Восемь лет назад…

Обобщенная версия истории, опубликованная исследователями, просто рассказывается и выглядит следующим образом:

• В начале 2010-х годов компания Cockpit, занимающаяся веб-аналитикой, предложила бесплатную услугу веб-маркетинга и аналитики. Многочисленные сайты электронной коммерции использовали эту услугу, получая код JavaScript с серверов Cockpit, тем самым добавляя сторонний код на свои собственные веб-страницы в качестве надежного контента.
• В декабре 2014 года Cockpit прекратил работу. Пользователей предупредили, что сервис отключится и что любой код JavaScript, импортированный из Cockpit, перестанет работать.
• В ноябре 2021 года киберпреступники выкупили старое доменное имя Cockpit. К тому, что, как мы можем только предположить, было смесью удивления и восторга, мошенники, по-видимому, обнаружили, что по крайней мере 40 сайтов электронной коммерции до сих пор не обновили свои веб-страницы, чтобы удалить все ссылки на Cockpit, и все еще звонили домой и принимали любой JavaScript. код, который был в предложении.

Вы можете видеть, к чему идет эта история.

Любые незадачливые бывшие пользователи Cockpit, которые, по-видимому, не проверяли свои журналы должным образом (или, возможно, вообще не проверяли) с конца 2014 года, не замечали, что они все еще пытались загрузить неработающий код.

Мы предполагаем, что эти компании действительно заметили, что они больше не получают аналитических данных из Cockpit, но, поскольку они ожидали, что поток данных перестанет работать, они предположили, что конец данных был концом их проблем кибербезопасности, связанных с к сервису и его доменному имени.

Инъекция и наблюдение

По словам Jscrambler, мошенники, которые захватили несуществующий домен и, таким образом, получили прямой путь для внедрения вредоносных программ на любые веб-страницы, которые все еще доверяли и использовали этот теперь возрожденный домен…

… начали делать именно это, внедряя несанкционированный вредоносный код JavaScript на широкий спектр сайтов электронной коммерции.

Это позволило реализовать два основных типа атак:

• Вставьте код JavaScript для отслеживания содержимого полей ввода на заранее определенных веб-страницах. Данные в input, select и textarea поля (такие, как вы ожидаете в типичной веб-форме) были извлечены, закодированы и эксфильтрированы на ряд серверов «позвоните домой», которыми управляют злоумышленники.
• Вставьте дополнительные поля в веб-формы на выбранных веб-страницах. Этот трюк, известный как HTML-инъекция, означает, что мошенники могут подрывать страницы, которым пользователи уже доверяют. Пользователей можно убедить ввести личные данные, которые эти страницы обычно не запрашивают, такие как пароли, дни рождения, номера телефонов или данные платежной карты.

Имея в своем распоряжении эту пару векторов атаки, мошенники могут не только перекачивать все, что вы ввели в веб-форму на скомпрометированной веб-странице, но также получить дополнительную личную информацию (PII), которую они обычно не могут получить. воровать.

Решив, какой код JavaScript обслуживать, основываясь на идентификаторе сервера, который в первую очередь запросил код, мошенники смогли приспособить свое вредоносное ПО для атаки на различные типы сайтов электронной коммерции по-разному.

Такой адаптированный ответ, который легко реализовать, взглянув на Referer: заголовок, отправляемый в HTTP-запросах, сгенерированных вашим браузером, также затрудняет определение полного спектра «полезной нагрузки» атаки, которую преступники имеют в рукаве.

Ведь если вы не знаете заранее точный список серверов и URL-адресов, которые мошенники ищут на своих серверах, вы не сможете генерировать HTTP-запросы, вытряхивающие все вероятные варианты атаки, запрограммированные преступниками. в систему.

Если вам интересно, Referer: заголовок, который представляет собой неправильное написание английского слова «referrer», получил свое название из-за типографской ошибки в оригинальном Интернете. стандартов документа.

Что делать?

• Просмотрите ссылки на цепочку поставок в Интернете. Везде, где вы полагаетесь на URL-адреса, предоставленные другими людьми для данных или кода, которые вы обслуживаете, как если бы они были вашими собственными, вам необходимо регулярно и часто проверять, можете ли вы им доверять. Не ждите, пока ваши собственные клиенты пожалуются, что «что-то выглядит сломанным». Во-первых, это означает, что вы полностью полагаетесь на реактивные меры кибербезопасности. Во-вторых, для самих клиентов может не быть ничего очевидного, что они могли бы заметить и сообщить.
• Проверьте свои журналы. Если ваш собственный веб-сайт использует встроенные HTTP-ссылки, которые больше не работают, значит, что-то явно не так. Либо вы не должны были доверять этой ссылке раньше, потому что она была неправильной, либо вы не должны были больше доверять ей, потому что она ведет себя не так, как раньше. Если вы не собираетесь проверять свои журналы, зачем вообще их собирать?
• Регулярно выполняйте тестовые транзакции. Поддерживайте регулярную и частую процедуру тестирования, которая реалистично проходит через те же последовательности онлайн-транзакций, которым, как вы ожидаете, будут следовать ваши клиенты, и тщательно отслеживайте все входящие и исходящие запросы. Это поможет вам обнаруживать неожиданные загрузки (например, ваш тестовый браузер загружает неизвестный JavaScript) и неожиданные загрузки (например, данные из тестового браузера передаются в необычные места).

Если вы все еще получаете JavaScript с сервера, который был выведен из эксплуатации восемь лет назад, особенно если вы используете его в службе, которая обрабатывает персональные данные или платежные данные, вы не являетесь частью решения, вы являетесь частью проблемы. …

…поэтому, пожалуйста, не будь таким человеком!

---

Примечание для клиентов Sophos. «Обновленный» веб-домен, используемый здесь для внедрения JavaScript (web-cockpit DOT jp, если вы хотите искать в своих журналах) блокируется Sophos как PROD_SPYWARE_AND_MALWARE и SEC_MALWARE_REPOSITORY. Это означает, что известно, что домен не только связан с киберпреступностью, связанной с вредоносным ПО, но также активно участвует в распространении вредоносного кода.

---