Upozorenje na lažne kineske web-trgovine koje oponašaju Apple, Wrangler Jeans i zloupotrebljavaju platne servise kao što su MasterCard i PayPal
Tokom nedavne rasprodaje u Latinskoj Americi, primijećen je značajan broj oglasa za povoljne proizvode koji su potekli od sofisticirane kineske operacije zlonamjernog softvera. Ova operacija koristi hiljade uvjerljivo brendiranih prodavnica kako bi ukrala podatke o plaćanju.
Ovu kampanju je prvi put uočio meksički novinar Ignacio Gómez Villaseñor, koji je pratio sumnjive domene hostovane na jednom IP serveru. Kampanja se brzo proširila izvan publike koja govori španski, klonirajući katalog Appleovih dodataka na engleskom jeziku, a zatim i Wrangler Jeans.
Žrtve se usmjeravaju na vizuelno privlačne stranice za naplatu koje prihvataju Visa, MasterCard, PayPal, pa čak i Google Pay. Krađa podataka maskirana je autentičnim logotipima i funkcionalnim odbrojavanjem koje simulira proces naručivanja.
Analitičari iz kompanije Silent Push identifikovali su infrastrukturu nakon otkrivanja zamućenog puta “/cn/模板.css” ugrađenog u svaku šablonu. Ovo je ukazivalo na to da je programer kompleta ostavio komentare za otklanjanje grešaka na mandarinskom jeziku.
Istraživanje na osnovu ovog otkrića otkrilo je preko 9.000 domena registrovanih od marta tekuće godine, sa tipičnim greškama u pisanju poput “harborfrieght.shop” i “tommyilfigershop.com”. Svi ovi domeni su usmjereni na rotirajući skup servera hostovanih na platformi Alibaba.
Grupa održava niske troškove tako što direktno preuzima stvarne slike proizvoda od legitimnih prodavaca svaki put kada kupac otvori stranicu. Ovo osigurava da gašenje jednog brenda ne utiče na ostale.
U roku od nekoliko sedmica, procesori plaćanja su prijavili nagli porast osporenih transakcija povezanih s brojevima virtuelnih kartica. Ovo je bio znak da tokenizacija Google Paya sama po sebi ne može zaštititi korisnike ako roba nikada ne bude isporučena.
Odnos povrata sredstava (charge-back) premašio je prag kod nekoliko akvizitera, nakratko stavljajući na crnu listu nevine trgovce čiji su BIN-ovi (Bank Identification Numbers) bili povezani sa ovim lažnim pristupnim tačkama.
U međuvremenu, antivirusni alati za široku upotrebu ostali su neaktivni jer se nikada ne preuzima nikakav izvršni teret. Sva zlonamjerna logika se nalazi u JavaScriptu isporučenom sa iste CDN mreže koja hostuje legitimne dodatke za Shopify.
Ključni trik u izbjegavanju detekcije ove kampanje su promjenjivost domena i zamućenost skripte za plaćanje.
Operateri registruju četrdeset do pedeset sličnih domena dnevno kako bi ostali online, rotirajući ih iza obrnutih proksija koji mijenjaju HTTP zaglavlja u hodu. Svaki šablon za naplatu prodavnice dolazi sa malom skriptom koja skriva svoje pravo porijeklo. Ova skripta provjerava da li se ime domena završava sa “.shop”, sprječavajući analitičare da kopiraju HTML u laboratorijske virtuelne mašine. Base-64 kodiranje vremenskog pečata osigurava da se putanja mijenja pri svakom učitavanju stranice, čime se onemogućavaju metode web filtriranja zasnovane na potpisima koje se oslanjaju na fiksne liste indikatora kompromitacije (IOC).
Istraživači iz Silent Push napominju da nakon prijave domena, DNS zapisi se preusmjeravaju na novu IP adresu, a skripta za plaćanje se prepisuje novim CDN stubom, čime se održava fasada trgovca i neutralizuju crne liste.
Ovaj pristup omogućava lažnim web-stranicama da koriste isti dizajn Wrangler-a, samo mijenjajući logotipe brendova i sheme boja prilikom postavljanja. Budući da se ne instalira nikakav malver, detekcija na krajnjoj tački mora umjesto toga da poveže brzu promjenu domena sa krađom podataka iz formulara za plaćanje, što je zadatak koji bolje odgovara mrežnim analizatorima anomalija nego tradicionalnim antivirusnim programima.
Trenutno, budna provjera URL-ova – obraćanje pažnje na suptilne greške u pisanju i nepodudaranja TLS certifikata – ostaje najpouzdanija odbrana dok izdavatelji kartica ne integrišu podatke o budućim napadima koje prikuplja Silent Push u sistem bodovanja rizika u realnom vremenu.