اسکیمر جدیدی که از WebSockets برای عدم شناسایی خود استفاده میکند
محققان حملهی اسکیمری جدیدی را شناسایی کردهاند که فروشگاههای اینترنتی را با استفاده از یک تکنیک جدید، برای افشاء اطلاعات کارتهای بانکی هدف قرار داده است.
عاملان تهدید از فرومهای جعلیِ کارتِ اعتباری و پروتکل WebSockets برای سرقت اطلاعات مالی و شخص افراد استفاده میکنند. امروزه فروشگاههای اینترنتی با سرعت فزایندهای در حال گسترش هستند و اکثراً عملیات پرداخت خود را به ارائهکنندگان خدمات پرداخت شخص ثالث واگذار میکنند و این بدان معناست که دادههای کارت اعتباری را در داخل فروشگاه خود اداره نمیکنند. بنابراین مهاجم یک فرم کارت اعتباری جعلی ایجاد نموده و آن را به صفحهی پرداخت برنامه تزریق میکند و پس از آن، افشاء اطلاعات خود به خود توسط WebSockets صورت میگیرد. در واقع این پروتکل راه را برای مهاجم بسی هموار میکند.
در واقع هکرها از اسکیمرِ نرمافزاری به عنوان یک اسکریپت داخلی و برای تزریق Loader به کد منبع صفحه استفاده میکنند، که به محض اجرا یک فایل مخرب جاوااسکریپت از سرور C2 (در آدرس https[:]//tags-manager[.]com/gtags/script2) درخواست میشود. با بارگیری اسکریپت از سرور خارجی، اسکیمر در LocalStorage مرورگر، session-id و آدرس IP کلاینت را ذخیره میکند.
مهاجمان با استفاده از Cloudflare’s API آدرس IP کاربر را به دست میآورند، سپس با استفاده از ارتباط WebSocket اطلاعات حساس را از صفحات مربوط به پرداخت، ورود به سیستم و صفحات ثبتنام جدید افشاء میکنند.
جنبهی متمایزکنندهی این حمله، استفاده از WebSockets به جای تگهای HTML یا درخواستهای XHR برای استخراج اطلاعات از سایت تسخیر شده است که موجب پنهان ماندن هر چه بیشتر این تکنیک میشود. دلیل این امر آن است که استفاده از پروتکل WebSocket امکان دور زدن بسیاری از سیاستهای CSP را فراهم میکند.
کارشناسان همچنین مشاهده کردند که در آن دسته از فروشگاههای اینترنتی که از ارائهکنندگان خدمات پرداخت شخص ثالث برای عملیات پرداخت خود استفاده میکنند، اسکیمر پیش از آنکه صفحه به سمت ارائهدهندهی خدمات پرداخت هدایت شود فرم کارت اعتباری جعلی را در صفحه ایجاد میکند.
توصیه امنیتی:
جهت محافظت از وبسایتها در مقابل اسکیمرها، محصول Page Integrity Manager پیشنهاد میگردد، که بر اجرا و رفتار اسکریپتها در محیط اجرا تمرکز دارد. این محصول دربارهی اسکریپتهای مختلفی که در صفحهی وب اجرا میشوند، هر عملی که انجام میدهند و ارتباط آنها با سایر اسکریپتهای موجود در صفحه اطلاعات جمعآوری میکند. انطباق این دادهها با رویکرد شناسایی چندلایه_شامل تعیین میزان ریسک، به کارگیری هوش مصنوعی و فاکتورهای دیگر_به Page Integrity Manager اجازه میدهد انواع حملات client-side را با تمرکز بالا بر افشاء اطلاعات و حملات web skimming شناسایی کند.
منبع خبر:
https://securityaffairs.co/wordpress/110982/hacking/skimmer-attack-websockets.html
