Tingkat kecanggihan metode penggunaan skimmer kartu kredit online oleh penjahat siber terus meningkat. Kali ini ditemukan kode berbahaya disisipkan dalam metadata file gambar yang dimuat oleh situs web e-commerce.
Menurut Jérôme Segura, Direktur Malwarebytes Threat Intelligence, teknik baru ini merupakan cara untuk “menyembunyikan skimmer kartu kredit untuk menghindari deteksi.”
Selama beberapa tahun terakhir, peningkatan terjadi dalam tren belanja online, apalagi sekarang lebih meningkat lagi dari sebelumnya karena pandemi COVID-19, telah memunculkan serangan siber yang bertujuan untuk mencuri informasi kartu pembayaran yang digunakan saat melakukan pembelian online.
Setelah merek-merek terkenal terdampak, termasuk Ticketmaster dan British Airways, istilah ‘Magecart‘ diciptakan untuk jenis serangan seperti ini. Dimana JavaScript berbahaya diinjeksikan ke halaman portal pembayaran situs web yang rentan untuk mendapatkan informasi pelanggan.
Perusahaan keamanan Malwarebytes mengeksplorasi teknik baru dalam jenis serangan tersebut, yang dijelaskan dalam posting blog mereka, dan diyakini sebagai hasil karya dari Magecart Group 9.
Awalnya, ketika Malwarebytes menemukan file gambar mencurigakan, tim berpikir itu mungkin terkait dengan teknik lama yang menggunakan favicon untuk menyembunyikan skimmer. Teknik yang digunakan dalam serangan yang terdokumentasi berfungsi sebagai favicon sah untuk sebagian besar situs web, tetapi menyembunyikan tugas berbahaya untuk halaman portal pembayaran.
Namun, tampaknya Magecart Group 9 telah melangkah lebih jauh. Kode skimmer kartu ditemukan bersembunyi dalam metadata EXIF dari file gambar, yang kemudian akan dimuat oleh toko online yang disusupi.
Serangan itu merupakan varian serangan yang menggunakan favicon, tetapi dengan twist. Kode berbahaya terhubung ke domain berbahaya, cddn[.]site, yang dimuat melalui file favicon.
Sementara kode itu sendiri tidak tampak berbahaya jika dilihat sekilas, bidang yang disebut “Copyright” di bidang metadata memuat skimmer kartu menggunakan tag <img>, khususnya dimuat melalui HTML onerror, yang dipicu jika terjadi kesalahan saat memuat sebuah sumber daya eksternal.
Saat dimuat dalam situs web yang disusupi, JavaScript berbahaya akan mengambil data input dari bidang yang digunakan untuk mengirimkan informasi pembayaran, termasuk nama, alamat penagihan, dan detail kartu.
Magecart Group 9 menyembunyikan kode dalam data EXIF, dan uniknya, mereka juga menggunakan cara yang tidak biasanya digunakan oleh penjahat siber kebanyakan. Bukannya mengirim data curian ke server command-and-control (C2), sebagai gantinya, data yang dikumpulkan dikirim sebagai file gambar melalui permintaan POST.
Baca Juga: “Hacker Gunakan Google Analytics Untuk Mencuri Kartu Kredit“
Magecart Group 9 ini juga dikaitkan dengan teknik canggih lainnya yang dulu pernah terdeteksi, seperti penggunaan web socket untuk menghindari deteksi.
I think one is able to connect this digital skimming technique to #Magecart Group 9.https://t.co/ekg2LpjCdl
1/4
— Affable Kraut (@AffableKraut) May 26, 2020
Karena skrip skimmer kartu ini tidak secara langsung menjadi bagian dalam situs yang disusupi, hal ini tentunya membuat sulit perangkat lunak keamanan atau bahkan pengembang web untuk mengetahui bahwa ada sesuatu yang salah.
