New Magecart Attack Steals Customers Credit Cards from Website Checkout Pages

แคมเปญเว็บสกิมมิ่งที่ซับซ้อนภายใต้ตระกูล Magecart ได้กลับมารุกรานอีกครั้งในปี 2026 โดยพุ่งเป้าไปที่เว็บไซต์อีคอมเมิร์ซเพื่อขโมยข้อมูลการชำระเงินที่ละเอียดอ่อนจากหน้าชำระเงินของลูกค้า การโจมตีนี้ดำเนินการมาตั้งแต่ต้นปี 2022 โดยใช้โครงสร้างพื้นฐานที่กว้างขวางและมุ่งเป้าไปที่เครือข่ายการชำระเงินหลักทั่วโลก ทำให้ลูกค้าหลายล้านรายมีความเสี่ยง

Severity: วิกฤต

System Impact:

• เว็บไซต์อีคอมเมิร์ซ
• แพลตฟอร์ม WordPress (ใช้ประโยชน์จาก `wp_enqueue_scripts`)
• เครือข่ายการชำระเงินหลัก (American Express, Diners Club, Discover, Mastercard, JCB, UnionPay)

Technical Attack Steps:

1. 1. **การฉีดโค้ดอันตราย**: โค้ด JavaScript ที่เป็นอันตรายจะถูกฉีดเข้าไปในเว็บไซต์อีคอมเมิร์ซที่ถูกต้องตามกฎหมาย
2. 2. **สถานะแฝงตัว**: โค้ดยังคงอยู่เฉยๆ จนกว่าผู้เยี่ยมชมจะเข้าถึงหน้าชำระเงิน
3. 3. **การตรวจสอบหน้าเว็บแบบเรียลไทม์**: ใช้ `MutationObserver` เพื่อตรวจสอบการเปลี่ยนแปลงหน้าเว็บในหน้าชำระเงินอย่างต่อเนื่อง
4. 4. **การปลอมแปลงฟอร์ม**: ซ่อนฟอร์มการชำระเงิน Stripe ที่ถูกต้องตามกฎหมาย และฉีดฟอร์มปลอมที่เกือบจะเหมือนกันเข้าไปแทน
5. 5. **การดักจับข้อมูล**: ฟอร์มปลอมจะดักจับหมายเลขบัตร, วันหมดอายุ, รหัส CVV และข้อมูลการเรียกเก็บเงิน (ชื่อ, ที่อยู่, อีเมล) และมีตรรกะการตรวจจับแบรนด์เพื่อเพิ่มความน่าเชื่อถือ
6. 6. **การเข้ารหัสข้อมูล**: ข้อมูลที่รวบรวมได้ทั้งหมดจะถูกรวบรวมเป็นอ็อบเจกต์, เข้ารหัสด้วย XOR ด้วยคีย์ 777 ที่ฮาร์ดโค้ดไว้, และเข้ารหัส Base64
7. 7. **การส่งออกข้อมูล**: เพย์โหลดที่เข้ารหัสจะถูกส่งผ่านคำขอ HTTP POST ไปยังเซิร์ฟเวอร์ที่ถูกบุกรุกเพื่อส่งออกข้อมูล
8. 8. **การหลอกลวงเหยื่อ**: หลังจากส่งข้อมูล สกิมเมอร์จะแสดงข้อผิดพลาดในการชำระเงินเพื่อหลอกลวงเหยื่อ ทำให้พวกเขากรอกข้อมูลซ้ำในฟอร์มที่ถูกต้องโดยไม่รู้ตัวว่าข้อมูลถูกขโมยไปแล้ว
9. 9. **การหลีกเลี่ยงการตรวจจับ**: มัลแวร์จะตรวจจับสถานะผู้ดูแลระบบ WordPress ผ่านแถบผู้ดูแลระบบและปิดใช้งานตัวเองโดยอัตโนมัติเมื่อผู้ดูแลระบบดูเว็บไซต์

Recommendations:

Short Term:

• **สำหรับผู้ประกอบการอีคอมเมิร์ซ**: ทำการตรวจสอบความปลอดภัยของเว็บไซต์ทันทีเพื่อหาสคริปต์ที่ถูกฉีดเข้ามาโดยไม่ได้รับอนุญาต, ตรวจสอบความสมบูรณ์ของไฟล์, และใช้ Content Security Policy (CSP) ที่เข้มงวด
• **สำหรับผู้ใช้งาน**: เพิ่มความระมัดระวังเป็นพิเศษเมื่อทำธุรกรรมออนไลน์, สังเกตพฤติกรรมที่ผิดปกติระหว่างการชำระเงิน, และพิจารณาใช้บัตรเสมือน (Virtual Credit Cards) หรือวิธีการชำระเงินที่มีการป้องกันการฉ้อโกงที่แข็งแกร่ง

Long Term:

• **สำหรับผู้ประกอบการอีคอมเมิร์ซ**: ดำเนินการประเมินช่องโหว่ (Vulnerability Assessments) และการทดสอบการเจาะระบบ (Penetration Testing) อย่างสม่ำเสมอ, ใช้ Web Application Firewalls (WAFs) และ Endpoint Detection and Response (EDR) สำหรับเซิร์ฟเวอร์เว็บ, ให้ความรู้แก่ทีมพัฒนาเกี่ยวกับแนวปฏิบัติในการเขียนโค้ดที่ปลอดภัย, และใช้ Subresource Integrity (SRI) สำหรับสคริปต์ภายนอก
• **สำหรับผู้ใช้งาน**: ตรวจสอบรายการเดินบัญชีธนาคารและบัตรเครดิตเป็นประจำเพื่อหารายการที่น่าสงสัย, ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน, และเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) ทุกครั้งที่เป็นไปได้

Source: https://cybersecuritynews.com/new-magecart-attack-steals-customers-credit-cards/