کمیته رکن چهارم – اخیرا محققان امنیتی تکنیک جدید Evasion را در تحقیقات خود کشف کرده اند که مهاجمان برای پنهان کردن فعالیت های مخرب خود استفاده می کنند. فعالیت مخرب مهاجمان در این فرآیند استفاده از Web Skimmers برای سرقت اطلاعات کارت های اعتباری می باشد.
به تازگی یک محقق امنیتی موفق به کشف یک اسکیمر کارت اعتباری مبتنی بر steganography شده که در آن مهاجمان یک عکس را آپلود یا تغییر می دهند و کد JS دلخواه را به عکس پیوست می کنند. “steganography روشی برای مخفی کردن اطلاعات خاص است”
با استفاده از تکنیک Steganography ، مهاجمان کدهای مخرب را در داخل یک عکس مخفی می کنند که این فرآیند خود یک راه عالی برای کشف نشدن پرونده های مخرب است و از آن جهت استفاده در سایت های تجارت الکترونیک استفاده می شود.
با تجزیه و تحلیل داده های اضافی موجود در انتهای پرونده، می توان فهمید که آیا این پرونده نادرست است یا خیر.
Skimmers در عکس های Steganographic یافت می شود.
محققان Malwarebytes نمونه ثابت شده از Steganographic را در یک ویرایشگر هگز بررسی کردند و دریافتند که داده های اضافی بعد از سگمنت نهایی اضافه شده است.
در ادامه تحقیقات با تجزیه و تحلیل استرینگ هایی از قبیل بررسی و یا مجوز ورود مشخص شد که این یک کد credit-card skimming یا اسکیم کارت اعتباری است.
مشاهدات چندین پژوهشگر از web skimmer
Skimmer code injected directly into a compromised site (JavaScript in the DOM)
Skimmer code loaded from an external resource (script tag with src attribute)
Exfiltration of the stolen data (HTTP GET or HTTP POST requests with encoded data)
در ادامه: هنگامی که کد Javascript مخرب در مرورگر اجرا شد، درخواست دستیابی مشتری را فعال می کند و یک سری پیام های دو طرفه بین مشتری (مرورگر قربانی) و سرور (میزبان مخرب) رد و بدل می شود.
بعد کد جاواسکریپت به کد اسکیمر کارت اعتباری تبدیل می شود، با کمک WebSockets از قسمتهای فرم موجود در صفحه پرداخت، برداشت شروع می شود.
پیام های WebSocket ، بارگیری اسکیمر و سپس نشت داده های CC
منبع: ایران سایبر