Cybleは9月1日(米国時間)、「Cyble — Highly evasive Magecart JavaScript Skimmer active in the wild」において、クレジットカードを狙うサイバー犯罪者集団「Magecart」が使用する、高度に回避的である新たなJavaScriptスキマーを分析したと伝えた。Magentoで構築されたEコマースWebサイトを狙う脅威グループによって開発された新たなJavaScriptスキマーについて言及したツイートが発見されたため、Cybleのセキュリティ研究者が調査を開始したと報告されている。

  • Cyble — Highly evasive Magecart JavaScript Skimmer active in the wild

    Cyble — Highly evasive Magecart JavaScript Skimmer active in the wild

サイバー犯罪者は、MagentoのEコマースWebサイトに対し、CMSの脆弱性を悪用してソースコードにアクセスして悪意のあるJavaScriptを注入する攻撃を仕掛けてくる。悪意のあるJavaScriptコードは、決済フォームやチェックアウトページから決済データを窃取するよう設計されており、入力されたデータを分析するなどして決済情報が正しいかをチェックする機能など、高度な機能が組み込まれていることもあるという。

今回のケースでは、ユーザーが侵害されたWebサイトにアクセスするとスキマーが決済用オーバーレイをロードし、決済情報を入力するよう要求することがわかった。スキマーは難読化されており、JavaScriptファイルである「media/js/js-color.min.js」 に埋め込まれるという。

  • Cyble — Compromised website payment form((Source: lukeleal.com)

    Cyble — Compromised website payment form((Source: lukeleal.com)

Cybleは使いやすさやデジタル化、利便性からオンラインショッピングは増加が続くとし、それに合わせてスキマーグループがEコマースWebスサイトに大量に感染し、発見されないよう技術を向上させていると警告している。

電子商取引サイトを利用する際は、既知の合法的なプラットフォームのみを使用することが推奨されており、新たなキャンペーンを積極的に監視し、スキミングやその他のデータ窃取攻撃に関する最新の調査結果を提供していくと述べられている。