Hacker monitoring hacked sites

ハッカーは、オンライン ストアをハイジャックして、現代的でリアルに見える偽の支払いフォームを表示し、無防備な顧客からクレジット カードを盗もうとしています。

これらの支払いフォームは、メイン Web ページの上にオーバーレイされたモーダルな HTML コンテンツとして表示され、ユーザーはページを離れずにログイン フォームや通知コンテンツを操作できます。

モーダルがアクティブな場合、モーダル コンテンツに注意を引くために、バックグラウンド コンテンツが薄暗くなったりぼやけたりすることがあります。

Malwarebytesの新しいレポートによると、MageCart スキマーは現在、正規のオンライン ストアの支払いページをハイジャックして、顧客のクレジット カードを盗むためのモーダルとして独自の偽の支払いフォームを表示しています。

これらのモーダルは、本物ではないという疑惑を引き起こす可能性のある視覚的な兆候がないため、オリジナルよりもよく見える場合があるため、際立っています。

本物よりいい

Malwarebytes のレポートで強調されているケースの 1 つは、新しい Kritec キャンペーンによって侵害された、PrestaShop を拠点とするパリの旅行用品店に関するものです。

Kritec は、Malwarebytes が2022 年 3 月にMagento ストアで最初に検出した JavaScript クレジット カード スキマーであるため、同じ攻撃者が背後にいる可能性があります。

Malwarebytes は、ページに感染したスキマーはかなり複雑であり、そのコードは base64 エンコーディングで大幅に難読化されていると報告しています。

感染したサイトのチェックアウト ページに到達すると、サイトの支払いフォームが表示される代わりに、悪意のあるスクリプトは、ブランドのロゴ、正しい言語 (フランス語)、およびエレガントなインターフェイス要素を特徴とするモーダルを表示します。

ただし、この偽の支払いフォームは、顧客のクレジット カード情報を盗み、ハッカーに送り返すように設計されています。

侵害された Web ページの上に読み込まれた悪意のあるモーダル ウィンドウ
侵害された Web ページの上に読み込まれた悪意のあるモーダル ウィンドウ(Malwarebytes)

購入者がモーダルに詳細を入力すると、一時的に偽のローダーが表示され、その後偽のエラーが表示され、ユーザーが実際の支払い URL にリダイレクトされます。

クレジットカード情報盗用の流れ
クレジット カード データ盗用プロセス(Malwarebytes)

ただし、バックグラウンドでは、攻撃者は、クレジット カード番号、有効期限、CVV 番号、カード所有者名など、入力されたすべての詳細をすでに盗んでいます。

また、スキマーは、ターゲットに成功したユーザーに Cookie をドロップして、同じサイトまたは別のサイトで悪意のあるモーダルが再び読み込まれないようにします。これは、重複データの収集を回避し、操作の露出を最小限に抑えるためです。

Malwarebytes のアナリストは、クレジット カード スキマー スクリプトをブロックして、元の支払いフォームをロードできるようにしました。

サードパーティ プロバイダーでホストされている実際の支払いページ
サードパーティ プロバイダー(Malwarebytes)でホストされている実際の支払いページ

実際の支払いページは、訪問者をサードパーティのプロセッサにリダイレクトし、銀行情報を入力した後、顧客はショップのページに戻ります.

外部サイトへのリダイレクトは、オンライン決済の一般的な手順ですが、ページに表示されるモーダル フォームよりも訪問者への信頼が低くなります。

残念なことに、Magecart サイバー犯罪コミュニティでモーダル フォームを使用する傾向が勢いを増しているという証拠を Malwarebytes は観察しました。

訪問者に偽の支払い方法を提供する Web サイトの他の例としては、オランダとフィンランドの e コマース サイトがあり、どちらも本物と見紛うのに役立つエレガントなデザインを特徴としています。

他のサイトのスキマーモーダルの例
他のサイトで見つかったスキマー モーダルの例(Malwarebytes)

「複数の脅威アクターがこれらのキャンペーンに関与し、それに応じてスキマーをカスタマイズしている可能性があります」とレポートを読みます

「ハッキングされた多くの店舗には一般的なスキマーがありましたが、カスタム モーダルはごく最近、おそらく 1 ~ 2 か月前に開発されたようです。」

オンラインの買い物客は非常に警戒する必要があり、サイバー犯罪者の手に渡って役に立たない電子決済方法または料金制限のある 1 回限りのプライベート カードを好みます。