9月5日:サイバーセキュリティ関連ニュース
シスコのグッズ販売ストアに悪性JSコードが注入される、クレジットカードや認証情報盗み取る目的
BleepingComputers – September 4, 2024
シスコ(Cisco)のロゴ入りアパレル商品や各種グッズなどを販売するWebストアが、米国、ヨーロッパ、日本、中国、アジア太平洋地域でメンテナンスのため利用不能に。これは、買い物客のクレジットカード情報などを盗み取る不正なJavaScriptコードがサイトに仕掛けられてしまったことによる影響だという。
JavaScriptコードは厳重に難読化されていたが、部分的に難読化を解除することに成功したBleepingComputersによれば、同コードの目的はWebショップでのチェックインプロセスにおいて購入者から提供されるデータを収集すること。収集可能な情報には、クレジットカード情報、配送先住所、電話番号、メールアドレス、ログイン認証情報などがあるという。このコードは8月30日に登録された「rextension.[net] 」というドメインから送り込まれており、その週末にかけてWebショップの侵害が行われた可能性が高いとみられている。
この攻撃を発見した研究者によると、悪性JavaScriptコードは脆弱性CosmicSting(CVE-2024-34102)を利用して仕掛けられた可能性が高いという。CosmicStingはAdobe Commerce(Magento)に影響を与えるXML 外部エンティティの脆弱性で、攻撃者に悪用されればプライベートなデータの読み取りを可能にし得るもの。CosmicSting攻撃における攻撃者の目的の1つは、チェックアウトフロー内にレンダリングされるCMSブロックへHTMLコードやJavaScriptにコードを注入することであるとされる。
BleepingComputerはシスコ社に今回の侵害に関するコメントを求めたものの、まだ返答を得られていないとのこと。
Rage Stealerが「Angry Stealer」にリブランド、データ窃取にTelegram Botを用いるように
感染したコンピューターから個人データなどを盗み取る新たなスティーラーマルウェア「Angry Stealer」を、Cyfirmaのサイバーセキュリティ研究者らが発見。このマルウェアは悪名高きデータ窃取型マルウェア「Rage Stealer」のリブランド版で、Telegramやその他のオンラインラットフォーム上で売り出され、盛んに宣伝されているという。
Angry Stealerは、ログイン認証情報やバンキング関連情報、暗号資産ウォレット情報、ブラウザ履歴といった個人情報や機微な情報を収集できるマルウェア。セキュリティ措置をバイパスして秘密裏に情報を窃取する点が、特に懸念材料だとされている。盗まれたデータがリモートサーバーに送られる際にはTelegram Bot APIが利用され、ハードコードされた認証情報が用いられるため阻止するのが困難。またAngry Stealerには第二段階のペイロード「MotherRussia.exe」も付属している。このペイロードはカスタムの悪性実行ファイルを作成するためのツールであるとみられるため、これを使ってさらに高度な攻撃が展開される恐れもある。
APIContext社のCEO Mayur Upadhyaya氏は「Angry Stealerという、Telegram APIを悪用する高度な情報スティーラーが最近出現したことは、強固なAPIセキュリティ対策が緊急で求められているという事実を強調している」と述べ、サイバー犯罪においてAPIが果たす有害な役割について警鐘を鳴らしている。