مهاجمان با سوءاستفاده از استرایپ و Google Tag Manager اطلاعات کارت بانکی را سرقت کردند
1 دقیقه خوانده شده
مجرمان سایبری در کارزاری تازه توانسته اند از سیستم پرداختی استرایپ به عنوان بستری برای میزبانی بدافزار استفاده کنند و اطلاعات پرداخت خریداران آنلاین را بدزدند. پژوهشگران امنیتی سنسک (Sansec) این حمله را اوایل هفته شناسایی کردند و می گویند مهاجمان از ترکیب سرویس های معتبر برای پنهان کردن رفتار مخرب خود بهره برده اند.
به گزارش بخش امنیت رسانه اخبار تکنولوژی تکنا به گفته سنسک، مهاجمان ابتدا برخی وب سایت های فروشگاهی Magento و Adobe Commerce را آلوده کرده اند و یک کانتینر مخرب Google Tag Manager یا GTM به آن ها افزوده اند. وقتی خریدار وارد وب سایت می شود، مرورگر کانتینر GTM را از سرورهای گوگل بارگذاری می کند و هنگام رسیدن به checkout، کد GTM درخواستی به Stripe API می فرستد.
Google Tag Manager ابزاری رایگان است که به مالکان وب سایت امکان می دهد اسکریپت های ردیابی، تحلیل داده و ابزارهای دیگر را بدون تغییر مستقیم کد سایت مدیریت کنند. چون GTM به طور گسترده استفاده می شود، بارگذاری کد از دامنه googletagmanager.com ظاهری عادی دارد و معمولا باعث هشدار امنیتی فوری نمی شود.
استرایپ به عنوان پلتفرم پردازش پرداخت آنلاین، برای انجام تراکنش های مالی کسب و کارها در اینترنت استفاده می شود و همین موضوع درخواست های مرتبط با آن را عادی جلوه می دهد. اما در این حمله، GTM یک رکورد مشتری استرایپ تحت کنترل مهاجمان را بازیابی می کند که قطعاتی از JavaScript مخرب داخل آن پنهان شده است.
وب سایت آلوده این قطعات را دانلود می کند، آن ها را دوباره به یک اسکریپت قابل اجرا تبدیل می کند و سپس در مرورگر کاربر اجرا می کند. نتیجه این فرایند آن است که استرایپ عملا به یک قفسه ذخیره سازی برای کد بدافزار تبدیل می شود، بدون آنکه مسیر بارگذاری کد در نگاه نخست غیرعادی به نظر برسد.
پس از اجرای اسکریپت، بدافزار صفحه checkout را زیر نظر می گیرد و هر زمان قربانی اطلاعات کارت خود را وارد کند، همه داده ها را کپی می کند. این اطلاعات می تواند شامل شماره کارت، CVV، نام، نشانی و جزئیات مرتبط دیگر باشد؛ داده هایی که برای سرقت مالی، جعل هویت و حملات پرداختی بعدی ارزش بالایی دارند.
بدافزار بلافاصله داده های سرقت شده را برای مهاجمان ارسال نمی کند. ابتدا همه اطلاعات را در یک رشته ترکیب می کند، روی آن XOR obfuscation اعمال می کند و نتیجه را به شکل محلی در مرورگر ذخیره می کند. سپس یک مشتری جعلی استرایپ می سازد، داده ها را به دو بخش تقسیم می کند و آن ها را در حساب استرایپ مهاجم بارگذاری می کند.
سنسک توضیح داده است که هم payload و هم اطلاعات کارت های سرقت شده از مسیر api.stripe.com جابه جا می شوند. فروشگاه ها معمولا این دامنه را به طور پیش فرض مجاز می دانند، بنابراین skimmer از قوانین Content Security Policy و فیلترهای شبکه عبور می کند؛ فیلترهایی که در حالت عادی ارتباط با یک دامنه ناشناس را علامت گذاری می کردند.
درباره تیم تولید محتوا
