Forskere har avdekket en ny Stripe-skimmingkampanje som bruker legitim betalingsinfrastruktur til å samle inn og lagre stjålne kredittkortopplysninger. Operasjonen retter seg mot nettbutikker og benytter pålitelige tjenester for å hjelpe angriperne med å unngå oppdagelse.
I motsetning til tradisjonelle webskimming-angrep, der stjålne data sendes til servere kontrollert av angriperne, misbruker denne kampanjen Stripes egen plattform. Forskerne fant at de kriminelle brukte Stripes betalingslenker og relaterte tjenester til å lagre stjålne opplysninger, slik at den ondsinnede aktiviteten kunne gli inn i legitim trafikk.
Teknikken gjør oppdagelse vanskeligere fordi sikkerhetsverktøy ofte stoler på forbindelser som involverer mye brukte betalingsplattformer.
Angriperne retter seg mot Magento-butikker
Forskerne observerte kampanjen mot e-handelsnettsteder basert på Magento. Etter å ha kompromittert en butikk injiserte angriperne skadelig JavaScript-kode på utsjekkingssidene.
Når kunder oppga betalingsinformasjon, fanget skriptet i hemmelighet opp dataene før transaksjonen ble fullført. Skadevaren samlet inn kortnumre, utløpsdatoer, kortinnehavernavn og andre betalingsopplysninger som ble skrevet inn under kjøpsprosessen.
Deretter sendte angriperne informasjonen gjennom infrastruktur knyttet til Stripe i stedet for å sende den direkte til mistenkelige eksterne domener.
Denne tilnærmingen hjalp kampanjen med å forbli skjult samtidig som den fortsatte å samle inn betalingsinformasjon fra intetanende kunder.
Kriminelle misbruker Stripes betalingslenker
Det mest uvanlige ved operasjonen er hvordan angriperne lagret den stjålne informasjonen.
Forskerne oppdaget at trusselaktørene brukte Stripes betalingslenker til å lagre de stjålne dataene. I stedet for å opprette egne servere for datainnsamling benyttet de kriminelle legitime Stripe-ressurser som mange organisasjoner allerede stoler på.
Siden bedrifter ofte bruker Stripe-tjenester til legitime transaksjoner, kan sikkerhetsprodukter ha problemer med å skille normal aktivitet fra ondsinnet atferd.
Kampanjen viser hvordan cyberkriminelle i økende grad misbruker anerkjente plattformer og tjenester for å støtte ondsinnede operasjoner. Ved å skjule seg bak pålitelig infrastruktur kan angriperne redusere mistanke og forlenge levetiden til kampanjene sine.
Webskimming-trusler fortsetter å utvikle seg
Magecart-lignende angrep er fortsatt blant de største truslene mot nettbutikker. Disse kampanjene fokuserer på å stjele betalingsinformasjon direkte fra kunder under utsjekkingsprosessen.
Forskere observerer jevnlig at trusselaktører endrer metodene sine for å unngå oppdagelse. De siste årene har angriperne beveget seg bort fra åpenbare kommando- og kontrollservere og i stedet tatt i bruk teknikker som glir inn i legitim nettrafikk.
Den nyeste Stripe-skimmingkampanjen gjenspeiler denne utviklingen. I stedet for å stole på mistenkelig infrastruktur vendte angriperne seg til en pålitelig betalingsplattform som brukes av millioner av bedrifter hver dag.
Sikkerhetsteam bør regelmessig overvåke utsjekkingssider, gjennomgå tredjepartsskript og undersøke uventede endringer i betalingsflyter. Tidlig oppdagelse er avgjørende fordi én kompromittert utsjekkingsside kan eksponere store mengder kundedata.
Konklusjon
Stripe-skimmingkampanjen viser hvordan grupper som driver med webskimming fortsetter å tilpasse taktikkene sine for å omgå sikkerhetskontroller. Forskerne fant at angriperne misbrukte legitime Stripe-tjenester for å samle inn og lagre stjålen betalingsinformasjon samtidig som de skjulte seg bak pålitelig infrastruktur. Kampanjen er enda en påminnelse om at cyberkriminelle i økende grad utnytter anerkjente plattformer for å gjøre ondsinnet aktivitet vanskeligere å oppdage.
0 responses to “Stripe-skimmingkampanje skjuler stjålne kortopplysninger”