مجرمان سایبری در کارزاری تازه توانسته اند از سیستم پرداختی استرایپ به گفتن بستری برای میزبانی بدافزار منفعت گیری کنند و اطلاعات پرداخت خریداران آنلاین را بدزدند. پژوهشگران امنیتی سنسک (Sansec) این دعوا را اغاز هفته شناسایی کردند و می گویند مهاجمان از ترکیب سرویس های معتبر برای نهان کردن حرکت مخرب خود منفعت برده اند.

به نقل از قسمت امنیت رسانه اخبار تکنولوژی تکنا به حرف های سنسک، مهاجمان ابتدا برخی وب سایت های فروشگاهی Magento و Adobe Commerce را آلوده کرده اند و یک کانتینر مخرب Google Tag Manager یا GTM به آن ها افزوده اند. هنگامی خریدار داخل وب سایت می شود، مرورگر کانتینر GTM را از سرورهای گوگل بارگذاری می کند و زمان رسیدن به checkout، کد GTM درخواستی به Stripe API می فرستد.

Google Tag Manager ابزاری رایگان است که به مالکان وب سایت امکان می دهد اسکریپت های ردیابی، تحلیل داده و ابزارهای دیگر را بدون تحول مستقیم کد سایت مدیریت کنند. چون GTM به طور گسترده منفعت گیری می شود، بارگذاری کد از دامنه googletagmanager.com ظاهری عادی دارد و طبق معمول علتهشدار امنیتی سریع نمی شود.

استرایپ به گفتن پلتفرم پردازش پرداخت آنلاین، برای انجام تراکنش های مالی کسب و کارها در اینترنت منفعت گیری می شود و همین نوشته خواست های مرتبط با آن را عادی نمود می دهد. اما در این دعوا، GTM یک رکورد مشتری استرایپ تحت کنترل مهاجمان را بازیابی می کند که قطعاتی از JavaScript مخرب داخل آن نهان شده است.

وب سایت آلوده این قطعات را دانلود می کند، آن ها را مجدد به یک اسکریپت قابل اجرا تبدیل می کند و سپس در مرورگر کاربر اجرا می کند. نتیجه این فرایند آن است که استرایپ عملا به یک قفسه ذخیره سازی برای کد بدافزار تبدیل می شود، بدون آنکه مسیر بارگذاری کد در نگاه نخست غیرعادی به نظر برسد.

بعد از اجرای اسکریپت، بدافزار صفحه checkout را زیر نظر می گیرد و هر زمان قربانی اطلاعات کارت خود را داخل کند، همه داده ها را کپی می کند. این اطلاعات می تواند شامل شماره کارت، CVV، نام، نشانی و جزئیات مرتبط دیگر باشد؛ داده هایی که برای سرقت مالی، جعل هویت و حملات پرداختی بعدی قیمت بالایی دارند.

بدافزار بلافاصله داده های سرقت شده را برای مهاجمان ارسال نمی کند. ابتدا همه اطلاعات را در یک رشته ترکیب می کند، روی آن XOR obfuscation اعمال می کند و نتیجه را به شکل محلی در مرورگر ذخیره می کند. سپس یک مشتری جعلی استرایپ می سازد، داده ها را به دو قسمت تقسیم می کند و آن ها را در حساب استرایپ مهاجم بارگذاری می کند.

سنسک توضیح داده است که هم payload و هم اطلاعات کارت های سرقت شده از مسیر api.stripe.com جابه جا می شوند. فروشگاه ها طبق معمول این دامنه را به طور پیش فکر مجاز می دانند، به این علت skimmer از قوانین Content Security Policy و فیلترهای شبکه عبور می کند؛ فیلترهایی که در حالت عادی ربط با یک دامنه ناشناس را علامت گذاری می کردند.