Program de malware cu carduri de plată care vizează 4 site-uri găsite pe platforma cloud Heroku

Skimmerii cu carduri de plată au lovit patru comercianți online cu ajutorul Heroku, un furnizor de cloud deținut de Salesforce, a descoperit un cercetător.

Heroku este o platformă cloud concepută pentru a facilita lucrurilor pentru utilizatori să construiască, să întrețină și să furnizeze servicii online. Se dovedește că serviciul ușurează lucrurile și pentru escroci să ruleze skimeri care vizează site-uri terțe. Miercuri, Jérôme Segura, directorul serviciilor de informații despre amenințări la furnizorul Malwarebytes, a declarat că a găsit o erupție de skimmeri găzduită pe Heroku. Hackerii din spatele schemei nu numai că au folosit serviciul pentru a-și găzdui infrastructura de skimmer și pentru a-l livra pe site-uri vizate. De asemenea, au folosit Heroku pentru a stoca datele cărților de credit furate. Administratorii Heroku au suspendat conturile și au înlăturat skimmerii într-o oră după ce au fost anunțați, a spus Segura pentru Ars.

Nu este prima dată când serviciile cloud au fost abuzate de către skimmerele cu carduri de plată. În aprilie, Malwarebytes a documentat un abuz similar pe Github. Două luni mai târziu, furnizorul de securitate a raportat skimmere găzduite pe găleți Amazon S3. Abuzul unui furnizor de cloud are sens bun din punct de vedere al unui escroc. Adesea este gratuit, salvează dificultățile de înregistrare a numelor de domeniu similare și oferă disponibilitate și lățime de bandă de top.

„Probabil că vom continua să observăm skimmerii care abuzează de mai multe servicii cloud, deoarece sunt o marfă ieftină (chiar gratuită) pe care o pot renunța la terminarea folosirii acesteia”, a scris Segura în postarea de miercuri.

Într-un e-mail, Segura a documentat patru conturi Heroku gratuite care găzduiau scripturi care vizau patru comercianți terți. Ei erau:

  • Stark-Cheile-44782.herokuapp[.]com utilizat împotriva corecttoes-urilor de cumpărături[.]com
  • antic-savană-86049[.]herokuapp[.]com / configration.js utilizate împotriva panafoto[.]com
  • pur-vârf-91770[.]herokuapp[.]com / intregration.js a fost utilizat împotriva alashancashmere[.]com
  • apos-tufărișuri-51318[.]herokuapp[.]com / configuration.js a fost utilizat împotriva amapur.]de

Pe lângă configurarea conturilor Heroku și implementarea codurilor skimmer și a sistemelor de colectare a datelor, schema a necesitat compromiterea site-urilor web ale comercianților vizați prin mijloace necunoscute în prezent (deși unele dintre site-uri rulau aplicații Web nepatchate). Atacatorii au injectat apoi o singură linie de cod în site-urile compromise. JavaScript injectat, care a fost găzduit pe Heroku, va monitoriza pagina curentă pentru șirul codat Base64 "Y2hlY2tvdXQ =" – care se traduce prin "checkout".

Când a fost detectat șirul, JavaScript-ul rău intenționat a încărcat un iframe care a degresat datele cardului de plată și a trimis-o, codată în format Base64, în contul Heroku. Skimmerul indus de iframe a inclus o suprapunere deasupra formularului de plată legitim care părea identic cu cel real. Mai jos sunt trei capturi de ecran care arată schema în acțiune:

Mecanismul de exfiltrare "src =" https://cdn.arstechnica.net/wp-content/uploads/2019/12/exfiltration-mechanism-640x487.png "width =" 640 "height =" 487 "srcset =" https: //cdn.arstechnica.net/wp-content/uploads/2019/12/exfiltration-mechanism.png 2x
Mări / Mecanismul de exfiltrare
Iframe utilizat. "Src =" https://cdn.arstechnica.net/wp-content/uploads/2019/12/iframe-trick-640x378.png "width =" 640 "înălțime =" 378 "srcset =" https : //cdn.arstechnica.net/wp-content/uploads/2019/12/iframe-trick.png 2x
Mări / Iframe utilizate.
Formularul de plată fals. "Src =" https://cdn.arstechnica.net/wp-content/uploads/2019/12/fake-payment-form.png "width =" 624 "înălțime =" 762

Formularul de plată fals.

Segura a spus că căutările pe Internet sugerează că skimmersii au fost găzduiți pe Heroku timp de aproximativ o săptămână. Nu a fost singurul care i-a observat.

Nu este ușor pentru utilizatorul final mediu să detecteze skimmeri precum cei documentați de Segura. Odată ce datele cardului sunt exfiltrate, utilizatorii vor primi un mesaj de eroare care le va instrui să reîncarce pagina, dar aceste tipuri de erori se întâmplă destul de des pe site-uri legitime încât să nu fie un semn evident de fraudă. Și în orice caz, până când apare mesajul, cardul a fost deja compromis. Utilizatorii mai avansați care doresc să știe dacă au fost compromiși pot primi jurnalele sau cache-urile Web pentru cele patru legături Heroku enumerate mai sus.

Sursa articol

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here