ผู้เชี่ยวชาญด้านความปลอดภัยได้พบแคมเปญ Magecart ใหม่ ซึ่งมีเป้าหมายในการขโมยข้อมูลส่วนบุคคลที่สำคัญ (PII) และข้อมูลบัตรเครดิตจากเว็บไซต์ e-commerce

โดยนักวิจัยจากบริษัท Akamai ระบุว่าพบเหยื่ออยู่ในประเทศต่าง ๆ ทั่วทวีปอเมริกาเหนือ, ละตินอเมริกา และยุโรป

แคมเปญการโจมตีใหม่นี้ มีลักษณะเฉพาะด้วยวิธีการที่ผู้ไม่หวังดีจะสร้าง C2 server บนเว็บไซต์ที่ดูเหมือนถูกต้องตามปกติ ด้วยการโจมตีโดยใช้ช่องโหว่ที่เป็นที่รู้จักอย่างแพร่หลายเป็นส่วนใหญ่เพื่อดำเนินการตามแคมเปญนี้

รายละเอียดการโจมตี

ในขั้นตอนแรกของการดำเนินการ ผู้ไม่หวังดีจะค้นหาเว็บไซต์ที่มีช่องโหว่ แล้วดำเนินการโจมตีเว็บไซต์เหล่านั้น และทำให้เว็บไซต์ที่ถูกโจมตีทำหน้าที่เป็น C2 server

ด้วยการใช้เว็บไซต์ที่มีชื่อเสียงเป็นเครื่องมือ ผู้ไม่หวังดีจะสามารถหลีกเลี่ยงการตรวจจับ และหลีกเลี่ยงการบล็อกการเชื่อมต่อได้ ซึ่งทำให้ไม่จำเป็นต้องสร้าง C2 server เป็นของตัวเอง
ต่อจากนั้น ผู้ไม่หวังดีจะดำเนินการแทรก JavaScript ลงในเว็บไซต์ e-commerce ที่เป็นเป้าหมาย ซึ่งในส่วนของ JavaScript จะทำหน้าที่ดึงโค้ดที่เป็นอันตรายจากเว็บไซต์ที่ถูกโจมตีก่อนหน้านี้

การเข้ารหัสเพื่อหลีกเลี่ยงการตรวจสอบ

เพื่อเพิ่มประสิทธิภาพในการโจมตี ผู้ไม่หวังดีได้ใช้การเข้ารหัสแบบ Base64 เพื่อซ่อนเครื่องมือในการคัดลอกข้อมูลบัตรเครดิต
เทคนิคการเข้ารหัสนี้ไม่เพียงแค่ซ่อนที่อยู่ URL ของโฮสต์ แต่ยังใช้โครงสร้างที่คล้ายกับบริการของ third-party ที่มีชื่อเสียง เช่น Google Tag Manager หรือ Facebook Pixel

สิ่งที่สำคัญของการโจมตี

แคมเปญนี้มุ่งเป้าไปที่องค์กรด้านการค้าเป็นหลัก และมีขอบเขตการโจมตีเป็นวงกว้าง บางองค์กรที่ตกเป็นเป้าหมายมีผู้เข้าใช้งานเว็บไซต์มากกว่าแสนคนต่อเดือน
เนื่องจากเหตุการณ์นี้ มีผลกระทบต่อบุคคลอย่างน้อยหลักพันคน และอาจมีผลกระทบต่อบุคคลจำนวนหมื่นคน หรืออาจเป็นจำนวนที่มากกว่านั้น ซึ่งอาจเสี่ยงต่อการถูกขโมยข้อมูลบัตรเครดิต และข้อมูลส่วนบุคคล
การโจมตีแบบ skimming ทำให้อันตรายอย่างมากต่อองค์กรที่เกี่ยวข้องกับการค้าทางดิจิทัล ผลกระทบอาจสร้างความเสียหายต่อชื่อเสี่ยง และผลเสียด้านอื่น ๆ

การโจมตีเพิ่มเติม

แคมเปญการโจมตี Magecart ที่มีชื่อเสียงจำนวนมาก ยังไม่ได้รับการตรวจพบเป็นระยะเวลาหลายเดือน หรือหลายปี
เพียงแค่ในปี 2022 ปีเดียวมีการโจมตีทั้งหมด 9,290 โดเมน และเป็นโดเมนที่เกี่ยวกับการค้าดิจิทัลที่ได้รับผลกระทบจากแคมเปญการโจมตี Magecart มีจำนวน 2,468 โดเมนที่ถูกโจมตีต่อเนื่องตลอดทั้งปี แสดงให้เห็นถึงอันตรายที่เกิดขึ้นกับองค์กรด้านการค้า

แคมเปญนี้ถือเป็นการแจ้งเตือนให้ระวังการโจมตีแบบ skimming ซึ่งผู้ไม่หวังดีจะปรับเปลี่ยนกลยุทธ์เพื่อซ่อนการดำเนินการ และทำให้การตรวจจับยากขึ้น ทำให้เครื่องมือวิเคราะห์ และตรวจจับแบบเดิมอาจไม่สามารถใช้งานกับการโจมตี web skimming ได้ เนื่องจากผู้ไม่หวังดีได้เปลี่ยนวิธีการตลอดเวลา และใช้เทคนิคที่ซับซ้อนขึ้นเรื่อย ๆ เพื่อหลีกเลี่ยงการวิเคราะห์แบบเดิม

อ้างอิง : https://cyware.

Hilton เครือโรงแรมชั้นนำระดับโลก ได้ออกมาแถลงข่าวว่าถูกแฮกระบบ Sales ของโรงแรม และถูกขโมยข้อมูลบัตรเครดิตของลูกค้าไป โดยมีการคาดการณ์ว่าการถูกโจมตีครั้งนี้มีต้นตอมาจากมัลแวร์ที่ถูกติดตั้งลงไปยังเครื่อง Point-of-Sale (POS) ของทางโรงแรมทั่วประเทศสหรัฐอเมริกา
ทั้งนี้ยังไม่มีการเปิดเผยจำนวนของข้อมูลบัตรเครดิตที่ถูกขโมยออกไป แต่จากการตรวจสอบของทาง VISA พบว่า มัลแวร์นี้ฝังตัวอยู่นระบบของ Hilton ตั้งแต่วันที่ 21 เดือนเมษายน จนถึงวันที่ 27 กรกฎาคมที่ผ่านมานี้ และนี่ไม่ใช่ครั้งแรกของธุรกิจชื่อดังที่ถูกโจมตีในลักษณะนี้ โดยในปี 2014 ที่ผ่านมา ทั้ง Target, Home Dopot และ UPS ต่างก็เคยถูกโจมตีมาแล้วเช่นกัน

ที่มา : theregister