Blog Attacks

Threat feeds detecteren aanval meer dan 2 jaar niet

Op deze website zien we dat de aanval actief is sinds augustus 2022. We hebben deze en andere getroffen websites op de hoogte gesteld.

Oct 02, 2024 • 4 min read

Simon Wijckmans Founder & CEO

cside heeft zojuist een client-side aanval gedetecteerd die al meer dan 2 jaar actief is. Het domein guyacave[.]fr verspreidt een Personal Identifiable Information (PII) skimmer-script op meerdere websites sinds augustus 2022. Controleer uw website nu en verwijder het script met dit domein onmiddellijk als u het aantreft.

Tijdens de analyse van kwaadaardige scripts kwamen we een geïnfecteerde website tegen. Op deze website is te zien dat de aanval actief is sinds augustus 2022. We hebben deze en andere getroffen websites op de hoogte gesteld.

Bij verder onderzoek kwamen we een bericht van Decoded Avast uit november 2022 tegen, waarin het domein guyacave[.]fr al als kwaadaardig werd vermeld.

Ze schrijven:

Aanvallers maakten ook misbruik van andere legitieme websites, zoals sites die kleding, schoenen, sieraden, meubels en medische benodigdheden verkopen, om hun skimming-code te hosten. Specifiek gebruikten ze guyacave[.]fr, servair[.]com en stripefaster[.]com. Aanvallers exfiltreerden betalingsgegevens via POST-verzoeken naar URL's zoals guyacave[.]fr/js/tiny_mce/themes/modern/themes.php en vergelijkbare adressen voor de andere domeinen. In sommige gevallen werd het POST-verzoek naar de geïnfecteerde e-commercesite zelf gestuurd, wat aangeeft dat de aanvaller volledige toegang heeft tot de gecompromitteerde sites. We hebben wereldwijd bijna 17.000 gebruikers beschermd tegen deze webskimmer.

De inline URL: _0x800b[140];var _0xb61ex27= new XMLHttpRequest();_0xb61ex27_0x800b[143];_0xb61ex27_0x800b[144] — in het script geeft aan dat er een XML HTTP-verzoek wordt gebruikt om de privébetalingsgegevens naar een extern eindpunt te sturen. In dit geval naar https://guyacave[.]fr/js/tiny_mce/themes/modern/themes.php.

Het script bevat functies voor het lezen en schrijven van cookies. Waarschijnlijk gebruikt om sessiecookies en andere gevoelige informatie in de browser te stelen.

We vonden ook de Math.random()-functie om dynamische elementen te genereren. Dit is precies wat third-party scripts gevaarlijk maakt en het beveiligen ervan essentieel. Elk third-party script is van nature dynamisch en kan veranderen op basis van allerlei parameters. Deze Math.random()-functie helpt om eenvoudige, op handtekeningen gebaseerde detectiemethoden te omzeilen.

De engine van cside is geavanceerder en was in staat om dit kwaadaardige script tijdens onze tests te detecteren en te blokkeren.

Tot slot manipuleert het script de gebruikersinterface van de website om bepaalde elementen te verbergen. Dit gebeurt via de eenvoudige display:none-functie, zodat een nep-betaalformulier wordt getoond in plaats van het echte.

Threat feeds zijn de voornaamste manier waarop bedrijven zich informeren over kwaadaardige domeinen die aan hun website zijn gekoppeld. Bij cside geloven we niet dat dit de beste oplossing is voor client-side beveiliging.

Reden 1 waarom threat feeds niet werken

Tot op heden hebben slechts 10 van de 96 beveiligingsleveranciers op VirusTotal dit domein als kwaadaardig gemarkeerd. Threat feeds hebben hun nut, maar schieten tekort als het gaat om client-side beveiliging. Deze aanval toont aan dat zelfs na 2 jaar de meeste feeds nog niet hebben bijgehouden. In het beste geval detecteren en waarschuwen ze achteraf. In het slechtste geval blijft de aanval jarenlang onopgemerkt.

Preventie is de volgende stap

Zelfs als het domein eerder en door meer feeds was gemarkeerd, kunnen aanvallers eenvoudig een nieuw domein zoeken dat aan hun behoeften voldoet.

Threat feeds controleren de bron — in dit geval het domein — en niet de payload van de code. Dit maakt detectie in de praktijk onmogelijk totdat iemand het handmatig meldt. Daarmee zijn threat feeds een reactieve oplossing, geen preventieve.

In onze tests was cside in staat om dit kwaadaardige script en domein te detecteren en te blokkeren. Als deze websites, of de platforms waarop ze zijn gebouwd, cside hadden gebruikt, was deze aanval onmiddellijk opgemerkt en gestopt.

Bij elke sessie laden we third-party scripts in een beveiligde proxy die de daadwerkelijke payload van het script controleert, niet alleen de bronnen en domeinen. Als we iets verdachts detecteren, worden onze klanten gewaarschuwd en wordt het script geblokkeerd zodat het niet in de browser van de websitebezoeker wordt geladen.

U kunt zich aanmelden voor cside en uw site binnen enkele minuten beveiligen.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over ongeautoriseerde pixels op goksites en GDPR-aansprakelijkheid

GDPR en online gokken: waarom niet-geautoriseerde pixels een dubbel aansprakelijkheidsprobleem creëren

Niet-geautoriseerde pixels op goksites creëren tegelijk GDPR-aansprakelijkheid en opschorting van advertentieaccounts, ook zonder installatie.

Hoe Bytespider te Blokkeren (TikToks AI-Crawler)

Bytespider crawlt uw site voor de AI-systemen van Bytedance. Leer hoe u het blokkeert met robots.txt en IP-bereiken, en de belangrijkste zorgen rond datasoevereiniteit.

Donkere blogomslag met drie methoden van kwaadaardige casinoscripts: browsergestuurde omleidingen, shadow GTM-containers met malafide tags en geo-gerichte mobiele payloads

Hoe kwaadaardige scripts de spelersreis in casino's kapen

Geïnjecteerde scripts leiden casinospelers om voor de lobby. Netwerkhulpmiddelen missen ze. Zo moet detectie werken.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over scriptbeveiliging voor gokoperators in APAC

Client-side scriptbeveiliging voor online gokoperators in APAC

Hoe APAC online gokoperators in Japan, Singapore, de Filipijnen en Australië scripts van derden monitoren via echte spelersessies.

Hoe Amazon Buy for Me op Uw Website te Blokkeren

Amazon Buy for Me winkelt voor Prime-gebruikers op uw site. Leer hoe het prijs- en productgegevens verzamelt en hoe detectie in de browserlaag u controle geeft.

Account takeover voorkomen: het complete playbook voor 2026

Het ATO-operationele playbook voor 2026: een end-to-end model voor login, herstel, sessie en post-auth verdediging tegen overnames door AI-agents en bots.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over gecompromitteerde affiliatescripts die casino-omzet stelen

Hoe gecompromitteerde affiliate scripts online casino-inkomsten stelen

Gecompromitteerde affiliate scripts leiden spelers om en stelen commissies op casinopagina's, onzichtbaar en op grote schaal.

Donkere blogomslag met drie aanvalsvectoren van browser extensions: omleidingen naar phishing-klonen, diefstal van sessietokens en herschrijving van betalingsvelden op DOM-niveau

Hoe browser extensions online casinospelers aanvallen: wat operators kunnen doen

Browser extensions kunnen sessietokens stelen en betalingen kapen op casinosites. Zo werken ze, waarom servers het missen en hoe u ze detecteert.

Hoe Door AI Aangedreven Aanmaak van Nepaccounts te Blokkeren

AI-agenten maken nepaccounts aan met mensachtig gedrag dat CAPTCHA verslaat. Leer de browserlaag-signalen die geautomatiseerde registraties onthullen.

Hoe CCBot (de AI-Crawler van Common Crawl) te Blokkeren

CCBot voedt de Common Crawl-datasets die worden gebruikt om GPT-3, BLOOM, LLaMA en veel andere AI-modellen te trainen. Leer hoe u het blokkeert en wat blokkeren daadwerkelijk doet.