‫ هکرها از Stripe API برای سرقت Web Skimming Card سوء‌استفاده می‌کنند

محققان امنیت سایبری در Jscamblers یک کمپین پیچیده وب اسکیمینگ را کشف کرده‌اند که خرده فروشان آنلاین را مورد هدف قرار می‌دهد. این کمپین از یک رابط برنامه‌نویسی برنامه‌نویسی قدیمی (API) استفاده می‌کند تا جزئیات کارت اعتباری سرقت شده را قبل از انتقال به سرورهای مخرب در زمان واقعی تأیید کند. این تکنیک به مهاجمان این امکان را می‌دهد تا مطمئن شوند که فقط شماره‌های کارت فعال و معتبر را جمع‌آوری می‌کنند و کارایی و سود بالقوه عملیات خود را به میزان قابل توجهی افزایش می‌دهند.

بر اساس تجزیه‌و تحلیل Jscrambler که با Hackread.com به اشتراک گذاشته شده است، این عملیات مرور وب حداقل از آگوست 2024 ادامه داشته است. این حمله با تزریق کد جاوا اسکریپت مخرب، طراحی شده برای تقلید از فرم های پرداخت قانونی، به صفحات پرداخت وب‌سایت‌های هدف شروع می‌شود. این کد اطلاعات پرداخت مشتری را به محض وارد کردن دریافت می‌کند. مرحله دوم شامل مبهم‌سازی با استفاده از یک رشته رمزگذاری شده با base64 است که URL‌های مهم را از تجزیه‌و تحلیل‌های امنیتی ایستا، مانند آنچه که توسط فایروال‌های برنامه کاربردی وب (WAF) انجام می‌شود، پنهان می‌کند.

نوآوری کلیدی در این کمپین در استفاده از نسخه منسوخ شده Stripe API، یک سرویس پردازش پرداخت محبوب، برای تأیید اعتبار کارت قبل از ارسال داده‌ها به سرورهای مهاجمان نهفته است. در مرحله سوم، iframe قانونی Stripe پنهان می‌شود و با یک تقلید فریبنده جایگزین می‌شود و دکمه "Place Order" کلون می‌شود و اصل را پنهان می‌کند. داده‌های پرداخت وارد شده با استفاده از API Stripe تأیید می‌شود و جزئیات کارت، در صورت تأیید، به سرعت به یک سرور دراپ که توسط مهاجمان کنترل می‌شود، منتقل می‌شود. سپس از کاربر خواسته می‌شود که صفحه را پس از یک پیام خطا دوباره بارگذاری کند.

محققان شناسایی کرده‌اند که خرده‌فروشان آنلاین تحت تأثیر در درجه اول آنهایی هستند که از پلتفرم‌های تجارت الکترونیک محبوب مانند WooCommerce، WordPress و PrestaShop استفاده می‌کنند. آنها همچنین انواع Silent Skimmer را مشاهده کردند، اما نه به طور مداوم. حدود 49 تاجر آسیب دیده، رقمی که گمان می‌رود دست کم گرفته شود، به همراه دو دامنه مورد استفاده برای انجام مراحل دوم و سوم حمله شناسایی شدند. 20 دامنه اضافی در همان سرور نیز شناسایی شد. Jscrambler گزارش داد که 15 تا از سایت‌های در معرض خطر به این موضوع پرداخته‌اند.

بررسی‌های بیشتر نشان داد که اسکریپت‌های اسکیمر به صورت پویا تولید و برای هر وب‌سایت هدف‌گذاری شده طراحی شده‌اند، که نشان‌دهنده درجه بالایی از پیچیدگی و استقرار خودکار است. محققان از یک تکنیک brute-forcing استفاده کردند و هدر Referrer را دست‌کاری کردند تا قربانیان بیشتری را شناسایی کنند.

در یک نمونه، اسکیمر جعل یک فریم پرداخت مربعی است، در حالی که در برخی موارد دیگر، اسکیمر گزینه‌های پرداخت را تزریق می‌کند، مانند کیف پول‌های ارز دیجیتال، و به صورت پویا پنجره‌های اتصال متاماسک جعلی را وارد می‌کند. با این حال، آدرس‌های کیف پول مرتبط با این تلاش‌ها فعالیت‌های اخیر چندانی نشان ندادند.

در پست وبلاگ خود، محققان به بازرگانان هشدار داده‌اند که راه‌حل‌های نظارت بر صفحه وب را در زمان واقعی برای شناسایی تزریق‌های غیرمجاز اسکریپت پیاده‌سازی کنند، در حالی که ارائه‌دهندگان خدمات شخص ثالث (TPSPs) می‌توانند امنیت را با اتخاذ پیاده‌سازی iframe سخت‌شده برای جلوگیری از ربودن iframe و تغییرات فرم افزایش دهند.

منبع

hackread