Eine neue Hacking-Kampagne zum Diebstahl von Kreditkarten geht anders vor, als wir es in der Vergangenheit gesehen haben, indem sie ihren bösartigen Code im Zahlungs-Gateway-Modul „Authorize.net“ für WooCommerce versteckt, wodurch die Sicherheitsverletzung der Erkennung durch Sicherheitsscans entgeht.
Wenn Bedrohungsakteure in der Vergangenheit eine Handelswebsite wie Magenta oder WordPress mit WooCommerce verletzten, fügten sie bösartiges JavaScript in den HTML-Code der Shop- oder Kunden-Checkout-Seiten ein.
Diese Skripte stehlen dann beim Checkout eingegebene Kundeninformationen wie Kreditkartennummern, Ablaufdaten, CVV-Nummern, Adressen, Telefonnummern und E-Mail-Adressen.
Viele Online-Händler arbeiten jetzt jedoch mit Sicherheitssoftwareunternehmen zusammen, die den HTML-Code von öffentlich zugänglichen E-Commerce-Websites scannen, um bösartige Skripte zu finden, was es für Angreifer schwieriger macht, sich zu verstecken.
Um der Entdeckung zu entgehen, injizieren die Angreifer jetzt bösartige Skripte direkt in die Zahlungs-Gateway-Module der Website, die zur Verarbeitung von Kreditkartenzahlungen an der Kasse verwendet werden.
Da diese Erweiterungen normalerweise erst aufgerufen werden, nachdem ein Benutzer seine Kreditkartendaten übermittelt und im Geschäft auscheckt, kann es sein, dass es schwieriger ist, sie von Cybersicherheitslösungen zu erkennen.
Die Kampagne wurde von Website-Sicherheitsexperten von Sucuri entdeckt, nachdem sie hinzugezogen wurden, um eine ungewöhnliche Infektion auf einem der Systeme ihres Kunden zu untersuchen.
Ausrichtung auf Zahlungs-Gateways
WooCommerce ist eine beliebte E-Commerce-Plattform für WordPress, die von etwa 40 % aller Online-Shops verwendet wird.
Um Kreditkarten auf der Website zu akzeptieren, verwenden die Geschäfte ein Zahlungsverarbeitungssystem wie Authorize.net, einen beliebten Prozessor, der von 440.000 Händlern weltweit verwendet wird.
Auf der kompromittierten Website Sucuri entdeckt dass Angreifer die Datei „class-wc-authorize-net-cim.php“ modifiziert haben, eine der Dateien von Authorize.net, die die Integration des Zahlungs-Gateways in WooCommerce-Umgebungen unterstützt.
Der am Ende der Datei eingefügte Code prüft, ob der HTTP-Anforderungstext die Zeichenfolge „wc-authorize-net-cim-credit-card-account-number“ enthält, was bedeutet, dass er Zahlungsdaten enthält, nachdem ein Benutzer seinen Warenkorb ausgecheckt hat das Geschäft.
Wenn dies der Fall ist, generiert der Code ein zufälliges Passwort, verschlüsselt die Zahlungsdaten des Opfers mit AES-128-CBC und speichert sie in einer Bilddatei, die die Angreifer später abrufen.
Eine zweite von den Angreifern durchgeführte Injektion befindet sich auf „wc-authorize-net-cim.min.js“, ebenfalls eine Authorize.net-Datei.
Der eingeschleuste Code erfasst zusätzliche Zahlungsdetails aus Eingabeformularelementen auf der infizierten Website und zielt darauf ab, den Namen, die Lieferadresse, die Telefonnummer und die Postleitzahl des Opfers abzufangen.
Entdeckung umgehen
Ein weiterer bemerkenswerter Aspekt dieser Kampagne ist die Verstohlenheit des Skimmers und seiner Funktionen, die es besonders schwer machen, ihn zu entdecken und zu entwurzeln, was zu längeren Zeiträumen der Datenexfiltration führt.
Erstens wurde der bösartige Code in legitime Zahlungsgateway-Dateien eingeschleust, sodass regelmäßige Inspektionen, die den öffentlichen HTML-Code von Websites scannen oder nach verdächtigen Dateizusätzen suchen, keine Ergebnisse liefern würden.
Zweitens ist das Speichern gestohlener Kreditkartendaten in einer Bilddatei keine neue Taktik, aber eine starke Verschlüsselung ist ein neuartiges Element, das Angreifern hilft, sich der Entdeckung zu entziehen. In früheren Fällen haben Bedrohungsakteure gestohlene Daten im Klartext gespeichert, schwache Base64-Codierung verwendet oder die gestohlenen Informationen einfach während des Bezahlvorgangs an die Angreifer übertragen.
Drittens missbrauchen die Bedrohungsakteure die Heartbeat-API von WordPress, um regulären Datenverkehr zu emulieren und ihn während der Exfiltration mit den Zahlungsdaten der Opfer zu mischen, was ihnen hilft, der Erkennung durch Sicherheitstools zu entgehen, die auf unbefugte Datenexfiltration überwachen.
Da MageCart-Akteure ihre Taktiken weiterentwickeln und zunehmend auf WooCommerce- und WordPress-Sites abzielen, ist es für Website-Eigentümer und -Administratoren unerlässlich, wachsam zu bleiben und robuste Sicherheitsmaßnahmen durchzusetzen.
Diese kürzlich von Sukuri entdeckte Kampagne unterstreicht die zunehmende Raffinesse von Kreditkarten-Skimming-Angriffen und den Einfallsreichtum der Angreifer bei der Umgehung der Sicherheit.
