Newegg で商品を購入したネットユーザーの銀行カード情報がハッカーに盗まれた。ハッカーは丸一か月間、Magecart ツールキットを同ドットコムの支払いページに隠していた。
8月16日から9月18日にかけて、Magecartのコードによって、サイトのチェックアウト手続き中に買い物客の機密カード情報が密かにコピーされ、neweggstats.comに送信されました。neweggstats.comは、詐欺師がこの情報を収集するために8月13日に作成しました。このドメインには、見た目を良くし、合法性を高めるためにComodoのデジタル証明書も付与されていました。
このスパイウェアは購入手続きの完了時に特定の時点でのみ出現し、研究者の目を逃れることができたが、9月18日にようやく発見され、報告され、削除された。このマルウェアは、Neweggのシステムに侵入した悪意のある人物によって仕掛けられたものだった。
そして、そう、Magecartは、チケットマスターのウェブサイトに密かに導入されて参加者のカードデータを盗み、ブリティッシュ・エアウェイズのサイトとアプリに密かに持ち込まれて約38万件のフライト予約を盗み、Feedifyのライブラリに注入されたのと同じ悪質なJavaScriptツールセットです。
さらに数百の電子商取引企業を危険にさらすことになる。
しかし、情報セキュリティ企業の Volexity が水曜日に説明したように、Newegg を標的とした犯罪者は、BA に対して展開された 22 行のカード情報を抜き取る Magecart コードを、わずか 8 行にまで縮小しました。コードを整形すると 15 行になります。
攻撃コードの一部、具体的にはチェックアウトページの決済カードデータを盗むJavaScript…クリックして拡大
以前、BAとTicketmasterのセキュリティ侵害を調査したRiskIQも水曜日、Neweggに対する攻撃の残りのアプローチは同じだったと指摘した。「British Airwaysへの攻撃の要素はすべてNeweggへの攻撃に存在していた。被害者の支払いシステムに統合され、インフラと融合し、可能な限りそこに留まっていたのだ。」
Newegg は、自社のシステムがハッキングされ、Magecart を自社の Web ページに押し込んだことを確認した。
昨日、弊社のサーバーの一つにマルウェアが注入されていたことが判明しました。このマルウェアは特定され、サイトから削除されました。現在、どのような情報が取得されたのかを正確に特定するために徹底的な調査を実施しており、影響を受けた可能性のあるお客様にはメールをお送りしています。メールをご確認ください。
— Newegg (@Newegg) 2018年9月19日
Volexity によるデータ盗難プロセスの分析は次のとおりです。
スクリプトを開始するには、window.onload = function() で、実行前にすべてのページ要素が読み込まれるようにします。('#btnCreditCard.paymentBtn.creditcard').bind(“mouseup touchend” の部分は、paymentBtn.creditcard クラス内のボタン btnCreditCard を、以下のアクションが定義されたすべての mouseup イベントと touchend イベントにバインドします。
- 「checkout」というタイトルのフォーム内に入力されたすべての情報を含む dati という変数を作成します。
- dati 変数内でキャプチャされたデータを取得し、serializeArray() メソッドを使用してフォーム フィールドの名前と値をシリアル化して配列を作成します。
- データの配列を受け取り、JSON.stringify() メソッドを使用して JSON 形式の文字列に変換します。
- JSON 文字列を POST リクエスト内の URL https://neweggstats.com/GlobalData/ に送信します。
その後の対応については、もうお分かりでしょう。銀行の明細書で不審な購入や予期せぬ購入がないか確認し、報告してください。特に上記の期間内にNeweggで買い物をした場合はなおさらです。カード情報は盗まれた可能性があり、他人のお金を使って散財する犯罪者に悪用される可能性があります。®
