Disgrasya – hitelkártyacsalás
A Socket kiberbiztonsági kutatói felfedeztek egy rosszindulatú Python csomagot a PyPI (Python Package Index) tárházban, amely disgrasya néven szerepelt. Ez a csomag egy teljesen automatizált kártyatesztelő (carding) szkriptet tartalmazott, amely kifejezetten a WooCommerce áruházakat célozta meg, különösen azokat, amelyek a CyberSource fizetési átjárót használják.
A disgrasya szkript automatizálta a lopott hitelkártyaadatok tesztelését azáltal, hogy valós vásárlói tevékenységet szimulált. A szkript GET kérést küldött a célzott WooCommerce áruház terméklistázó oldalára, hogy kinyerje egy termék azonosítóját. A megszerzett termékazonosítóval POST kérést küldött az áruház add_to_cart AJAX végpontjára, így hozzáadva a terméket a kosárhoz. A szkript navigált a pénztár oldalra, ahol kinyerte a CSRF tokent (woocommerce-process-checkout-nonce) és a CyberSource capture_context értékét, amelyek szükségesek a fizetési folyamat folytatásához. A szkript a lopott hitelkártyaadatokkal kitöltötte a fizetési űrlapot, tokenizálta azokat a CyberSource mechanizmusával, majd benyújtotta a WooCommerce pénztár végpontján keresztül. Sikeres tranzakció esetén a kártyát érvényesnek tekintették.
A disgrasya különösen veszélyes, mivel képes volt észrevétlenül beolvadni a normál vásárlói forgalomba, megkerülve ezzel a hagyományos csalásészlelő rendszereket. A felfedezés időpontjáig több mint 34 000 alkalommal töltötték le a csomagot.
