ウクライナで進行中の内戦を利用して、警察の訪問を恐れずに Magecart マルウェアをホストする、いわゆる防弾ホスティング会社が増えている。
セキュリティ企業Malwarebytesの研究者らは、Magecartの活動でカード詳細情報を収集するために使われたデータ流出とホスティングサーバーが、親欧州派と親ロシア派の勢力が争っている地域にあるウクライナの都市ルハンシクにまで遡ったと述べている。
仕組みはこうです。Magecartの運営者はウェブサイトをハッキングし、評判の良いサイトの決済ページに悪意のあるスクリプトコードをインストールします。ネットユーザーが感染した決済ページにクレジットカード情報を入力すると、Magecartのコードは被害者の個人情報をウクライナのルハンシクに設置されたコマンド&コントロールサーバーにアップロードします。ホスティング会社は、紛争が続いているため、警察や政府機関による襲撃の可能性は低いと考えています。つまり、サーバーホストを調査できる機能的な政府は存在しないということです。
「防弾」を謳うこれらのデータ センターは、当然のことながら、他の場所でホストされていた場合、襲撃や削除要請の対象となるような、評判の良くない事業を運営しているグループにとって魅力的です。
「こうしたホストの性質上、削除は困難です」とMalwarebytesは説明している。「プロバイダーが単に怪しい運営を黙認しているのではなく、むしろそれが彼らのビジネスモデルの核心なのです。」
Magecart の場合、防弾ホスティングの使用は特に悪質です。感染を阻止する最も効果的な手段の 1 つであるコマンド アンド コントロール サーバーの無効化が排除されるからです。
速報:銀行カードを盗み取るマルウェアがフォーブスの雑誌購読サイトに侵入
続きを読む
Magecart は、(たとえばマルウェア ペイロード全体をインストールするのではなく)個々の支払いページに単純なコード チャンクを挿入することによって動作するため、感染したマシン自体から除去することが困難な場合があります。
一方、収集されたカードデータが送信される抽出サーバーと、マルウェアが制御されるコマンドサーバーは弱点であり、無効にすれば、カード収集操作を効果的に停止できます。
現在、C&Cサーバーと抽出サーバーが防弾ホストの背後に隠されているため、Malwarebytesはスキマーに関連するすべてのドメインとIPアドレスをブロックする必要があると述べています。
これは、Magecart が保護されていない S3 バケットの肥沃な土壌にもその事業を拡大しているためです。
先週、研究者らは、ページをホストするストレージ バケットがセキュリティ保護なしでパブリック インターネットに公開されたままになっていたために、17,000 以上のサイトに Magecart コードが埋め込まれていたと報告しました。®
