ผู้เชี่ยวชาญด้านความปลอดภัยได้พบแคมเปญ Magecart ใหม่ ซึ่งมีเป้าหมายในการขโมยข้อมูลส่วนบุคคลที่สำคัญ (PII) และข้อมูลบัตรเครดิตจากเว็บไซต์ e-commerce
โดยนักวิจัยจากบริษัท Akamai ระบุว่าพบเหยื่ออยู่ในประเทศต่าง ๆ ทั่วทวีปอเมริกาเหนือ, ละตินอเมริกา และยุโรป
แคมเปญการโจมตีใหม่นี้ มีลักษณะเฉพาะด้วยวิธีการที่ผู้ไม่หวังดีจะสร้าง C2 server บนเว็บไซต์ที่ดูเหมือนถูกต้องตามปกติ ด้วยการโจมตีโดยใช้ช่องโหว่ที่เป็นที่รู้จักอย่างแพร่หลายเป็นส่วนใหญ่เพื่อดำเนินการตามแคมเปญนี้
รายละเอียดการโจมตี
ในขั้นตอนแรกของการดำเนินการ ผู้ไม่หวังดีจะค้นหาเว็บไซต์ที่มีช่องโหว่ แล้วดำเนินการโจมตีเว็บไซต์เหล่านั้น และทำให้เว็บไซต์ที่ถูกโจมตีทำหน้าที่เป็น C2 server
- ด้วยการใช้เว็บไซต์ที่มีชื่อเสียงเป็นเครื่องมือ ผู้ไม่หวังดีจะสามารถหลีกเลี่ยงการตรวจจับ และหลีกเลี่ยงการบล็อกการเชื่อมต่อได้ ซึ่งทำให้ไม่จำเป็นต้องสร้าง C2 server เป็นของตัวเอง
- ต่อจากนั้น ผู้ไม่หวังดีจะดำเนินการแทรก JavaScript ลงในเว็บไซต์ e-commerce ที่เป็นเป้าหมาย ซึ่งในส่วนของ JavaScript จะทำหน้าที่ดึงโค้ดที่เป็นอันตรายจากเว็บไซต์ที่ถูกโจมตีก่อนหน้านี้
การเข้ารหัสเพื่อหลีกเลี่ยงการตรวจสอบ
- เพื่อเพิ่มประสิทธิภาพในการโจมตี ผู้ไม่หวังดีได้ใช้การเข้ารหัสแบบ Base64 เพื่อซ่อนเครื่องมือในการคัดลอกข้อมูลบัตรเครดิต
- เทคนิคการเข้ารหัสนี้ไม่เพียงแค่ซ่อนที่อยู่ URL ของโฮสต์ แต่ยังใช้โครงสร้างที่คล้ายกับบริการของ third-party ที่มีชื่อเสียง เช่น Google Tag Manager หรือ Facebook Pixel
สิ่งที่สำคัญของการโจมตี
- แคมเปญนี้มุ่งเป้าไปที่องค์กรด้านการค้าเป็นหลัก และมีขอบเขตการโจมตีเป็นวงกว้าง บางองค์กรที่ตกเป็นเป้าหมายมีผู้เข้าใช้งานเว็บไซต์มากกว่าแสนคนต่อเดือน
- เนื่องจากเหตุการณ์นี้ มีผลกระทบต่อบุคคลอย่างน้อยหลักพันคน และอาจมีผลกระทบต่อบุคคลจำนวนหมื่นคน หรืออาจเป็นจำนวนที่มากกว่านั้น ซึ่งอาจเสี่ยงต่อการถูกขโมยข้อมูลบัตรเครดิต และข้อมูลส่วนบุคคล
- การโจมตีแบบ skimming ทำให้อันตรายอย่างมากต่อองค์กรที่เกี่ยวข้องกับการค้าทางดิจิทัล ผลกระทบอาจสร้างความเสียหายต่อชื่อเสี่ยง และผลเสียด้านอื่น ๆ
การโจมตีเพิ่มเติม
- แคมเปญการโจมตี Magecart ที่มีชื่อเสียงจำนวนมาก ยังไม่ได้รับการตรวจพบเป็นระยะเวลาหลายเดือน หรือหลายปี
- เพียงแค่ในปี 2022 ปีเดียวมีการโจมตีทั้งหมด 9,290 โดเมน และเป็นโดเมนที่เกี่ยวกับการค้าดิจิทัลที่ได้รับผลกระทบจากแคมเปญการโจมตี Magecart มีจำนวน 2,468 โดเมนที่ถูกโจมตีต่อเนื่องตลอดทั้งปี แสดงให้เห็นถึงอันตรายที่เกิดขึ้นกับองค์กรด้านการค้า
แคมเปญนี้ถือเป็นการแจ้งเตือนให้ระวังการโจมตีแบบ skimming ซึ่งผู้ไม่หวังดีจะปรับเปลี่ยนกลยุทธ์เพื่อซ่อนการดำเนินการ และทำให้การตรวจจับยากขึ้น ทำให้เครื่องมือวิเคราะห์ และตรวจจับแบบเดิมอาจไม่สามารถใช้งานกับการโจมตี web skimming ได้ เนื่องจากผู้ไม่หวังดีได้เปลี่ยนวิธีการตลอดเวลา และใช้เทคนิคที่ซับซ้อนขึ้นเรื่อย ๆ เพื่อหลีกเลี่ยงการวิเคราะห์แบบเดิม
อ้างอิง : https://cyware.com/news/cybercriminals-exploit-legitimate-websites-for-credit-card-theft-a25e3959
You must be logged in to post a comment.