電子商取引 Web サイトから機密データを盗むことに熟練していることで知られる悪名高いサイバー犯罪者グループである Magecart は、インターネットの一見無害な要素である 404 エラー ページを利用する悪質な計画を明らかにしました。 Akamai Security Intelligence Group によって発見されたこの革新的な戦術は、Magecart が採用した 3 つの亜種のうちの 1 つで、404 エラー ページのデジタル深淵に悪意のあるコードを隠し、顧客のクレジット カード情報を密かに盗み出すというものです。

404 ページはどのようにしてサイバー犯罪者の遊び場になったのでしょうか?

Magecart グループが組織したこのサイバー攻撃では、ハッカーが Web サイトの 404 エラー ページ (Web ページが存在しないか、リンクが壊れている場合に表示されるページ) を操作します。 彼らは、この一見無害なページ内に悪意のあるコードを隠し、疑いを持たない訪問者からクレジット カード情報を盗みます。 隠蔽されたコードはユーザーに偽のフォームを提示し、機密のクレジット カード情報の入力を促します。 この盗まれたデータは、無害な画像リクエストを装って密かにハッカーに送信されます。 革新的なアプローチにより検出が困難になり、オンライン取引とユーザー情報を保護するための堅牢なサイバーセキュリティ対策の必要性が強調されます。

ハッカーはクレジット カードを盗むために 404 エラー ページを使用し始める
(画像クレジット)

404 エラー ページを悪用するこの Magecart カード スキミング ハックが実際にどのように機能するかを詳しく見てみましょう。

You Might Also Like
私の色のテストとは何ですか: TikTokの傾向の説明
私の色のテストとは何ですか: TikTokの傾向の説明
オーバーウォッチ 2 のリプレイが機能しない: 修正方法は?
オーバーウォッチ 2 のリプレイが機能しない: 修正方法は?
Warcraft Arclight Rumbleのリリース日、ゲームプレイなど
Warcraft Arclight Rumbleのリリース日、ゲームプレイなど
  • ターゲットの選択: Magecart ハッカーの最初のステップは、主に Magento や WooCommerce などの人気のあるプラットフォーム上に構築された電子商取引 Web サイトを含むターゲットを特定することです。 このキャンペーンの被害者の中には、食品および小売業界の著名な組織も含まれています。
  • 悪意のあるコードの隠蔽: ターゲットを選択すると、ハッカーは革新的な手法を使用します。 彼らは Web サイトの 404 エラー ページを操作します。このページは、訪問者が存在しない Web ページ、移動された Web ページ、または無効なリンクを含む Web ページにアクセスしようとしたときに表示されるページです。
  • 目に見えるところに隠れて: Magecart の攻撃者は、悪意のあるコードを Web サイトのコードに直接挿入するのではなく、404 エラー ページ内に隠します。 この戦術は、これまでの Magecart キャンペーンでは見られなかったため、特に巧妙です。 これにより、検出を回避する新しい方法が得られます。
  • スキマーローダー: スキマーローダーは攻撃の重要なコンポーネントです。 メタ ピクセルのコード スニペットとして現れたり、侵害されたチェックアウト Web ページ上の既存のインライン スクリプト内に隠れたりするなど、さまざまな変装をする可能性があります。
  • 存在しないリソースを取得する: ローダーは、「icons」という名前の相対パスへのフェッチ要求を開始します。 このパスは対象の Web サイトに存在しないため、「404 Not Found」エラーが発生します。 一見すると、それは無実の間違い、または非アクティブなスキマーのように見えるかもしれません。
  • HTML コメントで覆われています: ただし、詳しく調べてみると、ローダーには 404 エラー ページの HTML 内の特定の文字列を検索する正規表現一致が含まれています。 この文字列を見つけると、HTML コメント内に巧妙に隠蔽された連結された Base64 でエンコードされた文字列が明らかになります。
  • 悪意のある JavaScript が明らかになりました: この Base64 でエンコードされた文字列をデコードすると、JavaScript スキマーが明らかになります。JavaScript スキマーは、すべての 404 エラー ページで非表示のままになるように設計されています。
  • 隠蔽されたデータの引き出し: スキマーがアクティブになると、Web サイト訪問者に偽のフォームが表示されます。 この欺瞞的なフォームは、ユーザーにクレジット カード番号、有効期限、セキュリティ コードなどの機密情報の入力を求めます。 被害者は気づかないうちに、このデータを入力した瞬間に、偽の「セッション タイムアウト」エラーを受け取ります。
  • データの引き出し: バックグラウンドでは、盗まれたすべての情報が Base64 でエンコードされ、文字列をクエリ パラメータとして運ぶ画像リクエスト URL 経由で攻撃者に送信されます。 この欺瞞的なアプローチにより、データの流出が一見無害な画像取得イベントとして隠蔽され、ネットワーク トラフィック監視ツールによる識別が困難になります。
  • 盗まれた情報: ただし、base64 文字列をデコードすると、攻撃者は個人情報やクレジット カード情報にアクセスできるようになり、個人情報の盗難や被害者の経済的損失につながる可能性があります。
  TelegramはVoiceChats 2.0を導入しています:チャネルのサポート、無制限のユーザーなど

この高度な攻撃は、悪意のあるコードを隠してオンライン ストアのセキュリティを侵害する新しい方法を絶えず見つけている Magecart ハッカーの戦術が進化していることを浮き彫りにしています。 これは、機密情報の保護における警戒を高める必要性と、デジタル化が進む世界で企業と消費者の両方を保護するための堅牢なサイバーセキュリティ対策の不可欠性を強調しています。

詳細については、公式レポートをご覧ください。

注目の画像クレジット: Erik Mclean/Unsplash

Source: ハッカーはクレジット カードを盗むために 404 エラー ページを使用し始める