Penjahat Siber Gunakan Unicode Sembunyikan Skimmer di E-Commerce

Peneliti keamanan siber telah mengungkap kampanye baru skimmer digital yang menggunakan teknik obfuscation Unicode untuk menyembunyikan skimmer yang disebut Mongolian Skimmer. Teknik ini membuat kode berbahaya sulit dibaca, terutama karena penggunaan karakter Unicode yang sebagian besar tidak terlihat.

Menurut analisis dari peneliti Jscrambler, hal pertama yang menarik perhatian adalah obfuscation pada skrip tersebut. “Pada pandangan pertama, skrip ini tampak aneh karena penggunaan karakter aksen yang tidak biasa,” ujar mereka. Penggunaan karakter Unicode yang melimpah, termasuk yang tidak terlihat oleh mata manusia, membuat kode tersebut sulit dianalisis. Inti dari skrip ini memanfaatkan kemampuan JavaScript untuk menggunakan karakter Unicode dalam pengidentifikasi, sehingga menyembunyikan fungsi berbahaya dari skrip.

Tujuan Utama: Mencuri Data Sensitif

Tujuan utama dari malware ini adalah mencuri data sensitif yang dimasukkan ke halaman checkout e-commerce atau halaman admin, termasuk informasi keuangan. Data tersebut kemudian dikirim ke server yang dikendalikan oleh pelaku serangan. Skimmer ini biasanya hadir dalam bentuk skrip inline pada situs web yang telah dikompromikan. Skrip ini akan mengambil payload dari server eksternal yang dikontrol oleh peretas.

Untuk menghindari analisis lebih lanjut dan mengelabui para peneliti, Mongolian Skimmer juga memiliki mekanisme untuk menonaktifkan fungsi-fungsi tertentu ketika alat pengembang browser (developer tools) dibuka. “Skimmer ini menggunakan teknik yang sudah dikenal untuk memastikan kompatibilitas dengan berbagai jenis browser, baik yang modern maupun versi lama,” kata Pedro Fortuna, peneliti dari Jscrambler. Hal ini memastikan bahwa skimmer dapat menargetkan pengguna dari berbagai versi browser.

Teknik Anti-Bot dan Pengoptimalan Kinerja

Jscrambler juga mengamati varian loader yang tidak biasa. Loader ini hanya memuat skrip skimmer ketika terdapat interaksi pengguna, seperti saat pengguna menggulir halaman, menggerakkan mouse, atau menyentuh layar. Teknik ini kemungkinan besar digunakan sebagai langkah anti-bot dan untuk memastikan bahwa pemuatan skimmer tidak mengganggu kinerja situs web yang disusupi.

Strategi ini juga mencerminkan usaha pelaku ancaman untuk membuat serangan lebih halus dan lebih sulit dideteksi. Dengan memicu skimmer hanya pada momen interaksi pengguna, pelaku dapat meminimalkan tanda-tanda yang mencurigakan atau perlambatan sistem yang dapat memicu penyelidikan lebih lanjut dari administrator situs.

Skimmer Ganda di Situs Magento

Salah satu situs Magento yang telah dikompromikan untuk mengantarkan Mongolian Skimmer ternyata juga diserang oleh aktor skimmer lain. Menariknya, kedua kelompok ini tampaknya bekerja sama dalam membagi hasil serangan. Kode sumber mereka menunjukkan bahwa kedua kelompok menggunakan komentar dalam kode untuk berkomunikasi dan mengatur pembagian keuntungan.

Pada 24 September 2024, salah satu pelaku ancaman meninggalkan pesan yang berbunyi "50/50 mungkin?". Tiga hari kemudian, kelompok lain menanggapi dengan persetujuan, “Saya setuju 50/50, Anda bisa menambahkan kode Anda :)". Pada 30 September, pelaku pertama kembali bertanya, “Baiklah, jadi bagaimana saya bisa menghubungi Anda? Anda punya akun di exploit?”—mengacu pada forum kejahatan siber Exploit.

Teknik Obfuscation yang Terlihat Kompleks

Pedro Fortuna mencatat bahwa teknik obfuscation yang digunakan oleh Mongolian Skimmer tampak rumit bagi mereka yang tidak berpengalaman, tetapi sebenarnya tidak ada yang baru dalam metode tersebut. “Teknik-teknik ini sudah lama digunakan untuk membuat obfuscation terlihat lebih kompleks, namun kenyataannya masih bisa dengan mudah diuraikan,” tambah Fortuna. Dalam hal ini, teknik lama masih efektif untuk menyembunyikan aktivitas skimmer, meskipun tidak memberikan lapisan perlindungan yang sesungguhnya dari investigasi yang lebih mendalam.

Secara keseluruhan, kampanye Mongolian Skimmer ini menunjukkan bagaimana skimmer digital terus berkembang dengan memanfaatkan teknik-teknik lama yang diperbarui untuk mengelabui para peneliti dan administrator sistem. Penggunaan obfuscation Unicode dan teknik pemicu interaksi pengguna adalah contoh inovasi dalam menghindari deteksi, meskipun teknik ini masih dapat dianalisis oleh peneliti keamanan yang berpengalaman. Bagi situs e-commerce yang mengandalkan halaman checkout dan penyimpanan data sensitif, ancaman skimmer digital seperti ini tetap menjadi perhatian utama yang harus diwaspadai.