링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

체크아웃하지 마세요! – 신용카드 스키밍 활동이 관찰되었습니다.

BlackBerry의 친구들은 최근 온라인 지불 비즈니스를 표적으로 삼는 위협 행위자들의 캠페인에 대한 심층적인 블로그 게시물을 발표했습니다. 이 게시물은 초기 손상부터 스키머 스크립트 자체까지 어떤 일이 일어나는지 논의합니다. 당신은 그들의 블로그를 읽을 수 있습니다 여기. 이 블로그는 BlackBerry 블로그에서 식별된 침해 지표(IOC)와 우리가 고객에게 수행하고 제공한 빠른 후속 분석을 조사하면서 AT&T Cybersecurity 고객 기반에서 발견한 내용에 중점을 두고 있습니다.

AT&T MTDR(Managed ThreatDetection and Response) 위협 탐지 팀의 일원으로서 우리는 매우 빠르고 효율적인 방식으로 고객 전체에 걸쳐 위협 탐지를 수행할 수 있는 특별한 기회를 갖고 있습니다. 수백 개의 데이터 소스에 대한 로그를 활용하여 자체적인 추적 가설을 세우고 매우 복잡한 검색을 개발하여 잠재적인 사전 사건 및 손상을 찾을 수 있습니다.

또한 AT&T Alien Labs 팀과 협력하여 해당 검색 구문을 상관 규칙으로 전환할 수도 있습니다. Alien Labs 팀은 수집한 백엔드 데이터를 사용하여 USM Anywhere 플랫폼 내에서 수천 개의 규칙과 서명을 생성합니다. 공개 소스(예: 공개적으로 사용 가능한 데이터)와 비공개 소스(예: 정부 또는 공개적으로 사용할 수 없는 개인 데이터).

공격자가 신용 카드 스키밍 스크립트를 배포하기 위해 사용했던 TTP를 검색했을 때 검색 결과가 나오지 않았지만, 이 캠페인 중에 신용 카드 데이터가 유출된 위치와 관련된 IOC를 검색했을 때 하나의 도메인이 나타나는 것을 관찰했습니다. 몇몇 고객에 걸쳐. 기간, 영향을 받은 고객 및 사용자 등 주요 정보를 바탕으로 이제 USM Anywhere에 대해 더 자세히 조사할 수 있었습니다.

허용된 요청

그림 1 – 신용카드 스키밍 유출 도메인에 대한 웹 요청

그림 1은 온라인 구매 옵션이 있는 유명 식품 회사의 다른 웹사이트에서 참조된 신용카드 스키밍 사이트에 대한 요청을 보여줍니다. 우리는 이것이 다른 모든 고객의 경우에도 마찬가지라는 것을 관찰했습니다. 음식 사이트는 직접 참조자이거나 CDN에 연결되기 직전에 HTTP 요청입니다.[.]나이트박스CDN[.]com 사이트. 영향을 받은 것으로 관찰된 다른 고객 중 한 명은 손상된 다른 사이트에서 사용자의 신용 정보를 훔쳐냈습니다(그림 2 참조).

대상 자산

그림 2 – 쇼핑 사이트(수정됨)로 이동한 트래픽과 탈지 유출, 합법적인 결제 사이트로 이동한 트래픽

사용자가 온라인 쇼핑 사이트(수정됨)에 있고 이어서 유출 도메인과 합법적인 결제 포털 서비스로 트래픽이 이동하는 것을 확인할 수 있습니다. 트래픽 흐름을 통해 사용자가 결제 세부 정보를 입력한 후 이 정보가 유출 사이트와 합법적인 결제 서비스인 ProPay로 이동했다는 결론을 내릴 수 있습니다.

웹사이트 검색 도구인 urlscan.io를 사용하고 2023년 5월 23일 쇼핑 사이트를 검색한 결과 jquery.hoverIntent.js 파일에 스키밍 스크립트가 추가된 것을 볼 수 있었습니다(적법한 스크립트는 } 다음에 끝남);).

훑어보다

스키밍 스크립트가 추가됨

그림 3 – 합법적인 스크립트에 추가된 스키밍 스크립트

공격자가 추가한 코드 조각을 디코딩하고 가장 기본적인 부분까지 단순화하면 이름, 성, 전화번호, 이메일 주소, 주소, 도시, 주, 우편번호, 카드의 필드 값이 추출되는 것을 볼 수 있습니다. 소지자 이름, 카드 번호, 만료 월 및 연도, CVV. 그런 다음 데이터는 XMLHttpRequest를 통해 추출 도메인으로 전송됩니다.
디코딩된 스키밍 스크립트

그림 4 – 디코딩되고 단순화된 스키머 스크립트

무슨 일이 일어나고 있는지 파악한 후 영향을 받은 고객에게 신속하게 통보하여 고객이 직원에게 은행에 새 신용 카드 번호를 요청하도록 조언할 수 있었습니다. 우리 고객이 이러한 카드 스키머 스크립트를 배포하는 위협 행위자에 의해 직접적으로 손상되지 않았다는 사실을 아는 것은 좋았지만, 공격은 다른 조직이 손상될 가능성과 이로 인해 발생할 수 있는 영향을 지속적으로 인식해야 함을 보여줍니다. 최종 사용자.

비즈니스의 재정적 및 평판 손실을 초래할 수 있는 위협 행위자로부터 보호하려면 엔드포인트 탐지 및 대응 도구, 네트워크 제어 및 방어, 보안 모니터링, 직원 교육 프로그램을 포함하는 심층 방어 전략을 활용하는 것이 중요합니다.

AT&T Cybersecurity는 공격 표면 전체를 보호하는 데 도움이 되는 광범위한 관리형 보안 서비스 포트폴리오를 보유하고 있습니다. 더 자세히 알고 싶으시면 저희에게 연락하세요.

Leave A Reply

Your email address will not be published.