Peretas Menyuntikkan Pencuri Kartu Kredit Dalam Sistem Pembayaran
illustrasi
Cyberthreat.id – Perusahaan keamanan siber dari Sucuri mengungkapkan bahwa pihaknya menemukan kampanye peretasan pencurian kartu kredit dengan menyembunyikan kode berbahaya mereka di dalam modul gateway pembayaran 'Authorize.net' untuk WooCommcerce.
Dikutip dari Bleeping Computer, secara historis, ketika aktor ancaman melanggar situs perdagangan seperti Magenta atau WordPress yang menjalankan WooCommerce, mereka menyuntikkan JavaScript berbahaya ke dalam HTML toko atau halaman checkout pelanggan.
“Skrip ini kemudian akan mencuri informasi pelanggan yang dimasukkan saat checkout, seperti nomor kartu kredit, tanggal kedaluwarsa, nomor CVV, alamat, nomor telepon, dan alamat email,” kata Sucuri.
Sucuri mengatakn, banyak pedagang online sekarang bekerja dengan perusahaan perangkat lunak keamanan yang memindai HTML situs eCommerce publik untuk menemukan skrip berbahaya, mempersulit pelaku ancaman untuk tetap tersembunyi. Untuk menghindari deteksi, pelaku ancaman sekarang menyuntikkan skrip berbahaya langsung ke modul gateway pembayaran situs yang digunakan untuk memproses pembayaran kartu kredit saat checkout.
Karena ekstensi ini biasanya hanya dipanggil setelah pengguna mengirimkan detail kartu kredit mereka dan check out di toko, mungkin lebih sulit untuk dideteksi oleh solusi keamanan siber. Kampanye tersebut ditemukan oleh pakar keamanan situs web di Sucuri setelah dipanggil untuk menyelidiki infeksi yang tidak biasa pada salah satu sistem klien mereka.
WooCommerce sendiri adalah platform eCommerce populer untuk WordPress yang digunakan oleh sekitar 40% dari semua toko online. Untuk menerima kartu kredit di situs, toko menggunakan sistem pemrosesan pembayaran, seperti Authorize.net, prosesor populer yang digunakan oleh 440.000 pedagang di seluruh dunia.
“Di situs yang disusupi, Sucuri menemukan bahwa pelaku ancaman memodifikasi file "class-wc-authorize-net-cim.php", salah satu file Authorize.net yang mendukung integrasi gateway pembayaran ke lingkungan WooCommerce,” kata Sucuri.
Kode yang disuntikkan di bagian bawah file memeriksa apakah badan permintaan HTTP berisi string "wc-authorize-net-cim-credit-card-account-number", yang berarti ia membawa data pembayaran setelah pengguna memeriksa keranjang mereka di toko. Kode ini akan menghasilkan kata sandi acak, mengenkripsi detail pembayaran korban dengan AES-128-CBC, dan menyimpannya dalam file gambar yang kemudian diambil oleh penyerang.
Injeksi kedua yang dilakukan oleh penyerang ada di "wc-authorize-net-cim.min.js," juga merupakan file Authorize.net. Kode yang disuntikkan menangkap detail pembayaran tambahan dari elemen formulir input di situs web yang terinfeksi, yang bertujuan untuk mencegat nama korban, alamat pengiriman, nomor telepon, dan kode pos/pos.
Aspek penting lainnya dari kampanye ini adalah kemampuan tersembunyi dari skimmer dan fungsinya, yang membuatnya sangat sulit untuk ditemukan dan dicabut, yang menyebabkan eksfiltrasi data dalam waktu yang lama. Pertama, kode berbahaya disuntikkan ke dalam file gateway pembayaran yang sah, sehingga pemeriksaan rutin yang memindai HTML publik situs web atau mencari tambahan file yang mencurigakan tidak akan memberikan hasil apa pun.
Kedua, menyimpan detail kartu kredit curian pada file gambar bukanlah taktik baru, tetapi enkripsi yang kuat adalah elemen baru yang membantu penyerang menghindari deteksi. Dalam kasus sebelumnya, pelaku ancaman menyimpan data yang dicuri dalam bentuk teks biasa, menggunakan pengkodean base64 yang lemah, atau hanya mentransfer informasi yang dicuri ke penyerang selama checkout.
Ketiga, pelaku ancaman menyalahgunakan Heartbeat API WordPress untuk meniru lalu lintas reguler dan mencampurnya dengan data pembayaran korban selama eksfiltrasi, yang membantu mereka menghindari deteksi dari pemantauan alat keamanan untuk eksfiltrasi data yang tidak sah.
“Saat aktor MageCart mengembangkan taktik mereka dan semakin menargetkan situs WooCommerce dan WordPress, penting bagi pemilik dan administrator situs web untuk tetap waspada dan menegakkan langkah-langkah keamanan yang kuat,” kata Sucuri.
