Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for JavaScript

JavaScript

Cacat Keamanan Parah Ditemukan di Perpustakaan “jsonwebtoken” Digunakan oleh 22.000+ Proyek

by

Celah keamanan dengan tingkat keparahan tinggi telah diungkapkan di pustaka open source jsonwebtoken (JWT) yang, jika berhasil dieksploitasi, dapat menyebabkan eksekusi kode jarak jauh di server target.

Dilacak sebagai CVE-2022-23529 (skor CVSS: 7.6), masalah ini berdampak pada semua versi library, termasuk dan di bawah 8.5.1, dan telah diatasi dalam versi 9.0.0 yang dikirimkan pada 21 Desember 2022. Cacat tersebut telah dilaporkan oleh perusahaan keamanan siber pada 13 Juli 2022.

jsonwebtoken, yang dikembangkan dan dikelola oleh Okta’s Auth0, adalah modul JavaScript yang memungkinkan pengguna mendekode, memverifikasi, dan menghasilkan token web JSON sebagai sarana transmisi informasi yang aman antara dua pihak untuk otorisasi dan otentikasi. Ini memiliki lebih dari 10 juta unduhan mingguan di registri perangkat lunak npm dan digunakan oleh lebih dari 22.000 proyek.

Karena perangkat lunak open source semakin muncul sebagai jalur akses awal yang menguntungkan bagi pelaku ancaman untuk melancarkan serangan rantai pasokan, kerentanan dalam alat tersebut harus diidentifikasi secara proaktif, dimitigasi, dan ditambal oleh pengguna hilir.

Lebih buruk lagi adalah kenyataan bahwa penjahat dunia maya telah menjadi jauh lebih cepat dalam mengeksploitasi kelemahan yang baru terungkap, secara drastis mempersingkat waktu antara rilis tambalan dan ketersediaan eksploitasi. Menurut Microsoft, rata-rata hanya membutuhkan waktu 14 hari untuk mengeksploitasi terdeteksi di alam liar setelah pengungkapan bug secara publik.

Untuk mengatasi masalah penemuan kerentanan ini, Google, bulan lalu, mengumumkan perilisan OSV-Scanner, sebuah utilitas open source yang bertujuan untuk mengidentifikasi semua dependensi transitif suatu proyek dan menyoroti kekurangan relevan yang memengaruhinya.

sumber: thehackernews

Malware Linux Baru Menggunakan 30 Eksploitasi Plugin ke Situs WordPress Backdoor

by

Malware Linux yang sebelumnya tidak dikenal telah mengeksploitasi 30 kerentanan di beberapa plugin dan tema WordPress yang sudah ketinggalan zaman untuk menyuntikkan JavaScript berbahaya.

Menurut sebuah laporan oleh vendor antivirus Dr.Web, malware tersebut menargetkan sistem Linux 32-bit dan 64-bit, memberikan kemampuan perintah jarak jauh kepada operatornya.

Fungsi utama trojan adalah meretas situs WordPress menggunakan serangkaian eksploit hardcode yang dijalankan secara berurutan, hingga salah satunya berfungsi.

Plugin dan tema yang ditargetkan adalah sebagai berikut:

  • WP Live Chat Support Plugin
  • WordPress – Yuzo Related Posts
  • Yellow Pencil Visual Theme Customizer Plugin
  • Easysmtp
  • WP GDPR Compliance Plugin
  • Newspaper Theme on WordPress Access Control (CVE-2016-10972)
  • Thim Core
  • Google Code Inserter
  • Total Donations Plugin
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Faceboor Live Chat by Zotabox
  • Blog Designer WordPress Plugin
  • WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
  • WP-Matomo Integration (WP-Piwik)
  • WordPress ND Shortcodes For Visual Composer
  • WP Live Chat
  • Coming Soon Page and Maintenance Mode
  • Hybrid

If the targeted website runs an outdated and vulnerable version of any of the above, the malware automatically fetches malicious JavaScript from its command and control (C2) server, and injects the script into the website site.

Injected redirection code (Dr. Web)

These redirections may serve in phishing, malware distribution, and malvertising campaigns to help evade detection and blocking. That said, the operators of the auto-injector might be selling their services to other cybercriminals.

An updated version of the payload that Dr. Web observed in the wild also targets the following WordPress add-ons:

  • Brizy WordPress Plugin
  • FV Flowplayer Video Player
  • WooCommerce
  • WordPress Coming Soon Page
  • WordPress theme OneTone
  • Simple Fields WordPress Plugin
  • WordPress Delucks SEO plugin
  • Poll, Survey, Form & Quiz Maker by OpinionStage
  • Social Metrics Tracker
  • WPeMatico RSS Feed Fetcher
  • Rich Reviews plugin

Dr.Web juga menyebutkan bahwa kedua varian berisi fungsionalitas yang saat ini tidak aktif, yang memungkinkan serangan brute-forcing terhadap akun administrator situs web.

Mempertahankan ancaman ini mengharuskan admin situs WordPress untuk memperbarui tema dan plugin yang berjalan di situs ke versi terbaru yang tersedia dan mengganti yang tidak lagi dikembangkan dengan alternatif yang didukung.

sumber : BleepingComputer

Magento Menjadi Sasaran Besar Serangan TrojanOrders

by

Setidaknya tujuh kelompok peretas berada di balik lonjakan besar dalam serangan ‘TrojanOrders’ yang menargetkan situs web Magento 2, mengeksploitasi kerentanan yang memungkinkan pelaku ancaman untuk mengkompromikan server yang rentan.

Perusahaan keamanan situs web Sansec memperingatkan bahwa hampir 40% situs web Magento 2 menjadi sasaran serangan, dengan kelompok peretas yang saling bertarung untuk menguasai situs yang terinfeksi.

Serangan ini digunakan untuk menyuntikkan kode JavaScript berbahaya ke situs web toko online yang dapat menyebabkan gangguan bisnis yang signifikan dan pencurian kartu kredit pelanggan besar-besaran selama periode Black Friday dan Cyber Monday yang sibuk.

Diagram serangan ‘TrojanOrders’ yang terdeteksi
Sumber: Sansec

Serangan TrojanOrders
TrojanOrders adalah nama serangan yang mengeksploitasi kerentanan kritis Magento 2 CVE-2022-24086, memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode dan menyuntikkan RAT (trojan akses jarak jauh) di situs web yang belum ditambal.

Saat melakukan serangan TrojanOrders, peretas biasanya membuat akun di situs web target dan melakukan pemesanan yang berisi kode templat berbahaya di bidang nama, PPN, atau lainnya.

Setelah mendapatkan pijakan di situs web, penyerang memasang trojan akses jarak jauh untuk membuat akses permanen dan kemampuan untuk melakukan tindakan yang lebih rumit.

Penyerang akhirnya memodifikasi situs untuk menyertakan JavaScript berbahaya yang mencuri informasi pelanggan dan nomor kartu kredit saat membeli produk di toko.

Mengapa ada lonjakan setelah sekian lama?
Pertama, sejumlah besar situs Magento 2 tetap rentan terhadap serangan ini, bahkan sepuluh bulan setelah tambalan tersedia.

Kedua, eksploitasi PoC (bukti konsep) telah tersedia sejak lama, memungkinkan pembuat kit eksploit untuk memasukkannya ke dalam alat dan keuntungan mereka dengan menjualnya ke peretas berketerampilan rendah.

Eksploitasi Magento ini sangat melimpah sehingga dijual dengan harga serendah $2.500, sedangkan pada awal 2022, harganya antara $20.000 dan $30.000.

Cara melindungi situs Anda (dan pelanggan)
Jika Anda belum menerapkan pembaruan keamanan yang membahas CVE-2022-24086, Anda harus melakukannya sesegera mungkin.

Gunakan pemindai malware backend untuk menemukan potensi infeksi di masa lalu yang menyebabkan injeksi RAT di situs Anda.

Sansec mengatakan alat resmi Magento, Pemindaian Keamanan, hanya mengikis ujung depan, sehingga tidak dapat menangkap TrojanOrders.

Mendeteksi dan menghapus malware dan pintu belakang PHP hanya akan menghentikan infeksi di masa mendatang jika tambalan Magento 2 diterapkan, jadi ini masih merupakan langkah paling penting yang harus diambil.

sumber : bleeping computer

Windows zero-day yang dieksploitasi memungkinkan file JavaScript melewati peringatan keamanan

by

Update terbaru mengenai Windows Mark of the Web zero-day

Zero-day Windows baru memungkinkan pelaku ancaman menggunakan file JavaScript standalone yang berbahaya untuk melewati peringatan keamanan Mark-of-the-Web. Pelaku ancaman sudah terlihat menggunakan bug zero-day dalam serangan ransomware.

Fitur keamanan yang disebut Mark-of-the-Web (MoTW) yang menandai file sebagai telah diunduh dari Internet dan oleh karena itu harus diperlakukan dengan hati-hati karena dapat berbahaya.

Bendera MoTW ditambahkan ke file yang diunduh atau lampiran email sebagai Aliran Data Alternatif khusus yang disebut ‘Zone.Identifier,’ yang dapat dilihat menggunakan perintah ‘dir /R’ dan dibuka langsung di Notepad, seperti yang ditunjukkan di bawah ini.

Aliran data alternatif Mark-of-the-Web
Sumber: BleepingComputer

Aliran data alternatif ‘Zone.Identifier’ ini mencakup zona keamanan URL asal file (tiga sama dengan Internet), perujuk, dan URL ke file.

Saat pengguna mencoba membuka file dengan bendera Mark-of-the-Web, Windows akan menampilkan peringatan bahwa file tersebut kemungkinan berbahaya.

Peringatan keamanan Windows saat membuka file dengan bendera MoTW
Sumber: BleepingComputer

Microsoft Office juga menggunakan bendera MoTW untuk menentukan apakah file harus dibuka dalam Tampilan Terproteksi, yang menyebabkan makro dinonaktifkan.

Tim intelijen ancaman HP baru-baru ini melaporkan bahwa pelaku ancaman menginfeksi perangkat dengan ransomware Magniber menggunakan file JavaScript.

Untuk lebih jelasnya, kita tidak berbicara tentang file JavaScript yang umum digunakan di hampir semua situs web, tetapi file .JS didistribusikan oleh aktor ancaman sebagai lampiran atau unduhan yang dapat berjalan di luar browser web.

File JavaScript yang terlihat didistribusikan oleh aktor ancaman Magniber ditandatangani secara digital menggunakan blok tanda tangan yang disandikan base64 seperti yang dijelaskan dalam artikel dukungan Microsoft ini.

Setelah dianalisis oleh Will Dormann, dia menemukan bahwa penyerang menandatangani file-file ini dengan kunci yang salah format.

Ketika masuk dengan cara ini, meskipun file JS diunduh dari Internet dan menerima bendera MoTW, Microsoft tidak akan menampilkan peringatan keamanan, dan skrip akan secara otomatis dijalankan untuk menginstal ransomware Magniber.

Dormann lebih lanjut menguji penggunaan tanda tangan yang salah format ini dalam file JavaScript dan mampu membuat file JavaScript bukti konsep yang akan melewati peringatan MoTW.

Kedua file JavaScript (.JS) tersebut menerima Mark-of-the-Web, seperti yang ditunjukkan oleh kotak merah, saat diunduh dari situs web.

Mark-of-the-Web pada eksploitasi PoC Dormann
Sumber: BleepingComputer

Perbedaan antara kedua file adalah bahwa yang satu ditandatangani menggunakan kunci cacat yang sama dari file Magniber, dan yang lainnya tidak berisi tanda tangan sama sekali.

Ketika file yang tidak ditandatangani dibuka di Windows 10, peringatan keamanan MoTW ditampilkan dengan benar.

Namun, ketika mengklik dua kali ‘calc-othersig.js,’ yang ditandatangani dengan kunci yang salah format, Windows tidak menampilkan peringatan keamanan dan hanya menjalankan kode JavaSript.

Dengan menggunakan teknik ini, pelaku ancaman dapat melewati peringatan keamanan normal yang ditampilkan saat membuka file JS yang diunduh dan menjalankan skrip secara otomatis.

BleepingComputer dapat mereproduksi bug di Windows 10. Namun, untuk Windows 11, bug hanya akan terpicu saat menjalankan file JS langsung dari arsip.

Dormann mengatakan bahwa dia yakin bug ini pertama kali diperkenalkan dengan rilis Windows 10, karena perangkat Windows 8.1 yang sepenuhnya ditambal menampilkan peringatan keamanan MoTW seperti yang diharapkan.

Menurut Dormann, bug tersebut berasal dari fitur SmartScreen ‘Periksa aplikasi dan file’ baru Windows 10 di bawah Keamanan Windows > Kontrol Aplikasi & Peramban > Pengaturan perlindungan berbasis reputasi.

Dormann membagikan bukti konsep dengan Microsoft, yang mengatakan bahwa mereka tidak dapat mereproduksi bypass peringatan keamanan MoTW.

Dormann juga mengatakan bahwa pelaku ancaman dapat memodifikasi file bertanda Authenticode, termasuk file yang dapat dieksekusi (.EXE), untuk melewati peringatan keamanan MoTW.

Untuk melakukan ini, executable yang ditandatangani dapat dimodifikasi menggunakan editor hex untuk mengubah beberapa byte di bagian tanda tangan file dan dengan demikian merusak tanda tangan.

Setelah tanda tangan rusak, Windows tidak akan memeriksa file menggunakan SmartScreen, seolah-olah bendera MoTW tidak ada, dan membiarkannya berjalan.

Selengkapnya: Bleeping Computer

Magniber ransomware sekarang menginfeksi pengguna Windows melalui file JavaScript

by

Kampanye jahat yang mengirimkan ransomware Magniber telah menargetkan pengguna rumahan Windows dengan pembaruan keamanan palsu.

Pelaku ancaman dibuat pada bulan September dengan situs web yang mempromosikan antivirus palsu dan pembaruan keamanan untuk Windows 10. File berbahaya yang diunduh (arsip ZIP) berisi JavaScript yang memulai infeksi rumit dengan malware enkripsi file.

Laporan dari Analis HP mencatat, operator ransomware Magniber menuntut pembayaran hingga $2.500 bagi pengguna rumahan untuk menerima alat dekripsi dan memulihkan file mereka. Ketegangan berfokus secara eksplisit pada Windows 10 dan Windows 11 build.

Windows build yang ditargetkan oleh Magniber (HP)

Pada April 2022, Magniber terlihat didistribusikan sebagai pembaruan Windows 10 melalui jaringan situs web jahat.

Pada bulan Januari, operatornya menggunakan pembaruan browser Chrome dan Edge untuk mendorong file paket aplikasi Windows (.APPX) yang berbahaya.

Dalam kampanye sebelumnya, pelaku ancaman menggunakan file MSI dan EXE. Untuk yang baru-baru ini aktif, itu beralih ke file JavaScript yang memiliki nama berikut:

  • SYSTEM.Critical.Upgrade.Win10.0.ba45bd8ee89b1.js
  • SYSTEM.Security.Database.Upgrade.Win10.0.jse
  • Antivirus_Upgrade_Cloud.29229c7696d2d84.jse
  • ALERT.System.Software.Upgrade.392fdad9ebab262cc97f832c40e6ad2c.js

File-file ini dikaburkan dan menggunakan variasi teknik “DotNetToJScript” untuk mengeksekusi file .NET di memori sistem, menurunkan risiko deteksi oleh produk antivirus yang tersedia di host.

File .NET menerjemahkan kode shell yang menggunakan pembungkusnya sendiri untuk membuat panggilan sistem tersembunyi, dan memasukkannya ke dalam proses baru sebelum mengakhiri prosesnya sendiri.

Shellcode menghapus file salinan bayangan melalui WMI dan menonaktifkan fitur pencadangan dan pemulihan melalui “bcdedit” dan “wbadmin.” Ini meningkatkan kemungkinan mendapatkan bayaran karena korban memiliki satu opsi lebih sedikit untuk memulihkan file mereka.

Untuk melakukan tindakan ini, Magniber menggunakan pintasan untuk fitur Kontrol Akun Pengguna (UAC) di Windows.

Itu bergantung pada mekanisme yang melibatkan pembuatan kunci registri baru yang memungkinkan menentukan perintah shell. Pada langkah selanjutnya, utilitas “fodhelper.exe” dijalankan untuk menjalankan skrip untuk menghapus salinan bayangan.

Setelah itu Magniber mengenkripsi file di host dan menjatuhkan catatan tebusan yang berisi instruksi bagi korban untuk memulihkan file mereka.

Rantai infeksi baru (HP) Magniber

Analis HP memperhatikan bahwa sementara Magniber mencoba membatasi enkripsi hanya untuk jenis file tertentu, pseudohash yang dihasilkannya selama pencacahan tidak sempurna, yang menghasilkan tabrakan hash dan “kerusakan jaminan”, yaitu, mengenkripsi jenis file yang tidak ditargetkan juga .

Pengguna rumahan dapat mempertahankan diri dari serangan ransomware dengan membuat cadangan reguler untuk file mereka dan menyimpannya di perangkat penyimpanan offline. Hal ini memungkinkan pemulihan data ke sistem operasi yang baru diinstal. Sebelum memulihkan data, pengguna harus memastikan bahwa cadangan mereka tidak terinfeksi.

Sumber: Bleeping Computer

Kerentanan TikTok dengan ‘keparahan tinggi’ memungkinkan peretas pembajakan akun

by

Microsoft menemukan dan melaporkan kelemahan parah pada aplikasi TikTok Android pada bulan Februari yang memungkinkan penyerang “dengan cepat dan diam-diam” mengambil alih akun dengan satu klik dengan mengelabui target agar mengklik tautan berbahaya yang dibuat khusus.

Mengklik tautan tersebut dapat mengungkapkan lebih dari 70 metode JavaScript yang dapat disalahgunakan oleh penyerang dengan bantuan eksploit yang dirancang untuk membajak WebView aplikasi TikTok (komponen sistem Android yang digunakan oleh aplikasi yang rentan untuk menampilkan konten web).

Dengan menggunakan metode terbuka, pelaku ancaman dapat mengakses atau memodifikasi informasi pribadi pengguna TikTok atau melakukan permintaan HTTP yang diautentikasi.

Singkatnya, penyerang yang berhasil mengeksploitasi kerentanan ini dengan sukses dapat dengan mudah:

  • mengambil token otentikasi pengguna (dengan memicu permintaan ke server di bawah kendali mereka dan mencatat cookie dan header permintaan)
  • mengambil atau memodifikasi data akun TikTok pengguna, termasuk video pribadi dan pengaturan profil (dengan memicu permintaan ke titik akhir TikTok dan mengambil balasan melalui panggilan balik JavaScript)

    • Kerentanan keamanan, dilacak sebagai CVE-2022-28799, sekarang ditambal sejak rilis TikTok versi 23.7.3, diterbitkan kurang dari sebulan setelah pengungkapan awal Microsoft.

    Microsoft mengatakan belum menemukan bukti CVE-2022-28799 dieksploitasi di alam liar.

    Pengguna TikTok dapat bertahan dari masalah serupa dengan tidak mengeklik tautan dari sumber yang tidak tepercaya, memperbarui aplikasi mereka, hanya menginstal aplikasi dari sumber resmi, dan melaporkan perilaku aneh aplikasi apa pun sesegera mungkin.

    Informasi tambahan tentang bagaimana kerentanan ini dapat digunakan dalam serangan untuk pengambilalihan akun dapat ditemukan dalam laporan Microsoft.

    Pada November 2020, TikTok memperbaiki kerentanan yang memungkinkan pelaku ancaman dengan cepat membajak akun pengguna yang mendaftar melalui aplikasi pihak ketiga.

    Perusahaan juga telah mengatasi kelemahan keamanan lain yang memungkinkan penyerang mencuri informasi pribadi pengguna atau membajak akun mereka untuk memanipulasi video.

    Menurut entri Google Play Store-nya, aplikasi Android TikTok memiliki lebih dari 1 miliar pemasangan. Berdasarkan perkiraan Sensor Tower Store Intelligence, aplikasi seluler telah melampaui 2 miliar pemasangan di semua platform sejak April 2020.

    Sumber : Bleeping Computer

Aplikasi Facebook dan Instagram Dapat Melacak Pengguna Melalui Browser dalam Aplikasi Mereka

by

Jika Anda mengunjungi situs web yang Anda lihat di Facebook dan Instagram, Anda mungkin memperhatikan bahwa Anda tidak diarahkan ke browser pilihan Anda melainkan browser dalam aplikasi khusus. Ternyata browser tersebut menyuntikkan kode javascript ke setiap situs web yang dikunjungi, memungkinkan induk Meta untuk berpotensi melacak Anda di seluruh situs web, peneliti Felix Krause telah menemukan.

“Aplikasi Instagram menyuntikkan kode pelacakan mereka ke setiap situs web yang ditampilkan, termasuk saat mengklik iklan, memungkinkan mereka [untuk] memantau semua interaksi pengguna, seperti setiap tombol dan tautan yang diketuk, pilihan teks, tangkapan layar, serta input formulir apa pun, seperti kata sandi, alamat dan nomor kartu kredit,” kata Krause dalam sebuah posting blog.

Penelitiannya berfokus pada Facebook dan Instagram versi iOS. Itu kuncinya karena Apple memungkinkan pengguna untuk memilih masuk atau keluar dari pelacakan aplikasi ketika mereka pertama kali membuka aplikasi, melalui Transparansi Pelacakan Aplikasi (ATT) yang diperkenalkan di iOS 14.5. Meta sebelumnya telah mengatakan bahwa fitur tersebut adalah “penghambat bisnis kami 2022… pada urutan $ 10 miliar.”

Meta mengatakan bahwa kode pelacakan yang disuntikkan mematuhi preferensi pengguna pada ATT. “Kode ini memungkinkan kami untuk mengumpulkan data pengguna sebelum menggunakannya untuk tujuan periklanan atau pengukuran yang ditargetkan,” kata seorang juru bicara kepada The Guardian. “Kami tidak menambahkan piksel apa pun. Kode dimasukkan sehingga kami dapat menggabungkan peristiwa konversi dari piksel. Untuk pembelian yang dilakukan melalui browser dalam aplikasi, kami meminta persetujuan pengguna untuk menyimpan informasi pembayaran untuk tujuan pengisian otomatis.”

Krause mencatat bahwa Facebook tidak selalu menggunakan injeksi javascript untuk mengumpulkan data sensitif. Namun, jika aplikasi membuka browser pilihan pengguna seperti Safari atau Firefox, tidak akan ada cara untuk melakukan injeksi javascript serupa di situs aman mana pun. Sebaliknya, pendekatan yang digunakan oleh browser dalam aplikasi Instagram dan Facebook “berfungsi untuk situs web apa pun, tidak peduli apakah itu dienkripsi atau tidak,” katanya.

Menurut penelitian Krause, WhatsApp tidak memodifikasi situs web pihak ketiga dengan cara yang sama. Karena itu, ia menyarankan agar Meta melakukan hal yang sama dengan Facebook dan Instagram, atau cukup gunakan Safari atau browser lain untuk membuka tautan. “Itu yang terbaik bagi pengguna, dan hal yang benar untuk dilakukan.” Untuk lebih lanjut, lihat ringkasan temuannya di sini.

Sumber: Endgadget

Peretas mencuri 50.000 kartu kredit dari 300 restoran U.S

by

Detail kartu pembayaran dari pelanggan lebih dari 300 restoran telah dicuri dalam dua kampanye skimming web yang menargetkan tiga platform pemesanan online.

Skimmer web, atau malware Magecart, biasanya adalah kode JavaScript yang mengumpulkan data kartu kredit saat pembeli online mengetiknya di halaman checkout.

Baru-baru ini, alat pendeteksi ancaman Recorded Future mengidentifikasi dua kampanye Magecart yang menyuntikkan kode berbahaya ke portal pemesanan online MenuDrive, Harbortouch, dan InTouchPOS.

Akibatnya, 50.000 kartu pembayaran dicuri dan telah ditawarkan untuk dijual di berbagai pasar di web gelap.

Kampanye pertama dimulai pada 18 Januari 2022 dan mencapai 80 restoran menggunakan MenuDrive dan 74 yang menggunakan platform Harbortouch.

Sebagian besar restoran ini adalah perusahaan lokal kecil di seluruh AS yang menggunakan platform sebagai alternatif hemat biaya untuk melakukan outsourcing proses pemesanan online.

Peta korban kampanye Magecart pertama (Recorded Future)

Di kedua platform, skimmer web disuntikkan ke halaman web restoran dan subdomain yang ditetapkan pada platform layanan pembayaran online.

Malware yang disebarkan untuk MenuDrive menggunakan dua skrip, satu untuk mengambil data kartu pembayaran dan satu lagi untuk mengumpulkan nama pemegang kartu, alamat email, dan nomor telepon, dicapai dengan melampirkan ke acara ‘onmousedown’ dan “merespons klik beberapa tombol selama pembuatan akun dan proses checkout.”

Contoh skimmer pada subdomain MenuDrive (Recorded Future)

Di Harbortouch, skimmer yang disuntikkan menggunakan satu skrip untuk mencuri semua informasi pengenal pribadi (PII) dan data kartu pembayaran.

Skimmer disuntikkan pada subdomain Harbortouch (Recorded Future)

Kampanye kedua yang menargetkan InTouchPOS dimulai pada 12 November 2021, tetapi sebagian besar injeksi skimmer di halaman web terjadi jauh kemudian, pada Januari 2022.

Infeksi InTouchPOS dengan loader JS dan cuplikan skimmer (hijau) (Recorded Future)

Skimmer dan artefak yang mencirikannya (penamaan variabel, struktur, kebingungan, dan skema enkripsi) menghubungkannya dengan kampanye yang lebih lama dan masih berlangsung, Recorded Future mengatakan dalam sebuah laporan yang dibagikan dengan BleepingComputer.

Dalam hal ini, skimmer tidak mencuri detail dari situs, melainkan melapisi formulir pembayaran palsu pada target valid yang siap untuk proses checkout menggunakan kartu kredit.

Menurut Recorded Future, kedua kampanye sedang berlangsung, dan domain eksfiltrasi terkait masih online dan beroperasi.

Perusahaan keamanan telah memperingatkan semua entitas yang terkena dampak dari kompromi tersebut, tetapi mereka belum menerima tanggapan. Lembaga penegak hukum dan platform pembayaran telah diinformasikan.

Dalam kasus MenuDrive dan Harbortouch, menghapus skimmer memerlukan pemindaian semua subdomain restoran.

Infeksi InTouchPOS lebih mudah ditangkap dengan sebagian besar pemindai keamanan, karena menggunakan pengunduh JavaScript untuk skimmer, yang dapat dideteksi melalui perbandingan kode sederhana.

Sumber: Bleeping Computer