Οι ερευνητές εντόπισαν ένα διαφορετικό είδος εκστρατείας Magecart Card-Skimming

Ένας εισβολέας κάτω από την ομπρέλα Magecart έχει μολύνει άγνωστο αριθμό ιστότοπων ηλεκτρονικού εμπορίου στις ΗΠΑ, το Ηνωμένο Βασίλειο και πέντε άλλες χώρες με κακόβουλο λογισμικό για την απομάκρυνση αριθμών πιστωτικών καρτών και προσωπικών στοιχείων ταυτοποίησης (PII) που ανήκουν σε άτομα που πραγματοποιούν αγορές σε αυτούς τους ιστότοπους. Ωστόσο, σε μια νέα πτυχή, ο παράγοντας απειλών χρησιμοποιεί επίσης τους ίδιους ιστότοπους με τους οικοδεσπότες για την παράδοση του κακόβουλου λογισμικού που σβήνει κάρτες σε άλλους ιστότοπους-στόχους.

Ερευνητές από το Akamai που εντόπισαν τη συνεχιζόμενη καμπάνια σημειώνουν ότι αυτό όχι μόνο κάνει την καμπάνια διαφορετική από την προηγούμενη δραστηριότητα της Magecart, αλλά είναι και πολύ πιο επικίνδυνη.

Εκτιμούν ότι οι κυβερνοεπιθέσεις συνεχίζονται για τουλάχιστον ένα μήνα και έχουν επηρεάσει ήδη δεκάδες χιλιάδες ανθρώπους. Η Akamai είπε ότι εκτός από τις ΗΠΑ και το Ηνωμένο Βασίλειο, έχει εντοπίσει ιστότοπους που επηρεάζονται από την εκστρατεία στη Βραζιλία, την Ισπανία, την Εσθονία, την Αυστραλία και το Περού.

Κλοπή κάρτας πληρωμής και άλλα: Ένας διπλός συμβιβασμός

Το Magecart είναι μια χαλαρή ομάδα κυβερνοεγκληματικών ομάδων που εμπλέκονται σε διαδικτυακές επιθέσεις με κάρτες πληρωμών. Τα τελευταία χρόνια, αυτές οι ομάδες έχουν εγχύσει τα συνονόματά τους skimmers καρτών σε δεκάδες χιλιάδες ιστότοπους σε όλο τον κόσμο — συμπεριλαμβανομένων τοποθεσιών όπως π.χ. Ticket Master και βρετανικές Αερογραμμές — και τους έκλεψαν εκατομμύρια πιστωτικές κάρτες, τις οποίες στη συνέχεια έχουν δημιουργήσει έσοδα με διαφορετικούς τρόπους. 

Η Akamai καταμέτρησε επιθέσεις Magecart σε 9,200 ιστότοπους ηλεκτρονικού εμπορίου πέρυσι, εκ των οποίων οι 2,468 παρέμειναν μολυσμένοι μέχρι το τέλος του 2022.

Το τυπικό modus operandi για αυτές τις ομάδες ήταν να εισάγουν κρυφά κακόβουλο κώδικα σε νόμιμους ιστότοπους ηλεκτρονικού εμπορίου — ή σε στοιχεία τρίτων, όπως ιχνηλάτες και καροτσάκια αγορών — που χρησιμοποιούν οι ιστότοποι, εκμεταλλευόμενοι γνωστά τρωτά σημεία. Όταν οι χρήστες εισάγουν πληροφορίες πιστωτικής κάρτας και άλλα ευαίσθητα δεδομένα στη σελίδα ολοκλήρωσης αγοράς των παραβιασμένων ιστότοπων, οι skimmers παρεμποδίζουν σιωπηλά τα δεδομένα και τα στέλνουν σε έναν απομακρυσμένο διακομιστή. Μέχρι στιγμής, οι εισβολείς έχουν στοχεύσει κυρίως ιστότοπους που εκτελούν την πλατφόρμα ηλεκτρονικού εμπορίου ανοιχτού κώδικα Magento σε επιθέσεις Magecart.

Η πιο πρόσφατη καμπάνια είναι ελαφρώς διαφορετική στο ότι ο εισβολέας δεν εισάγει απλώς ένα skimmer κάρτας Magecart σε ιστοτόπους στόχους, αλλά επίσης κλέβει πολλούς από αυτούς για να διανείμει κακόβουλο κώδικα. 

"Ένα από τα κύρια πλεονεκτήματα της χρήσης νόμιμων τομέων ιστότοπων είναι η εγγενής εμπιστοσύνη που έχουν δημιουργήσει αυτοί οι τομείς με την πάροδο του χρόνου", σύμφωνα με την ανάλυση Akamai. «Οι υπηρεσίες ασφαλείας και τα συστήματα βαθμολόγησης τομέα εκχωρούν συνήθως υψηλότερα επίπεδα εμπιστοσύνης σε τομείς με θετικό ιστορικό και ιστορικό νόμιμης χρήσης. Ως αποτέλεσμα, οι κακόβουλες δραστηριότητες που διεξάγονται σε αυτούς τους τομείς έχουν αυξημένες πιθανότητες να μην εντοπιστούν ή να αντιμετωπίζονται ως καλοήθεις από αυτοματοποιημένα συστήματα ασφαλείας».

Επιπλέον, ο εισβολέας πίσω από την τελευταία επιχείρηση επιτίθεται επίσης σε ιστότοπους που εκτελούν όχι μόνο το Magento αλλά και άλλο λογισμικό, όπως το WooCommerce, το Shopify και το WordPress.

Μια διαφορετική προσέγγιση, το ίδιο αποτέλεσμα

«Ένα από τα πιο αξιοσημείωτα μέρη της καμπάνιας είναι ο τρόπος με τον οποίο οι επιτιθέμενοι δημιούργησαν την υποδομή τους για τη διεξαγωγή της εκστρατείας web skimming», έγραψε στην ανάρτηση του ιστολογίου ο ερευνητής της Akamai, Roman Lvovsky. «Προτού ξεκινήσει σοβαρά η καμπάνια, οι επιτιθέμενοι θα αναζητήσουν ευάλωτους ιστότοπους για να λειτουργήσουν ως «οικοδεσπότες» για τον κακόβουλο κώδικα που χρησιμοποιείται αργότερα για τη δημιουργία της επίθεσης web skimming».

Η ανάλυση της καμπάνιας του Akamai έδειξε ότι ο εισβολέας χρησιμοποιεί πολλαπλά κόλπα για να θολώσει την κακόβουλη δραστηριότητα. Για παράδειγμα, αντί να εισάγει το skimmer απευθείας σε έναν ιστότοπο-στόχο, η Akamai βρήκε τον εισβολέα να εισάγει ένα μικρό απόσπασμα κώδικα JavaScript στις ιστοσελίδες του, το οποίο στη συνέχεια πήρε το κακόβουλο skimmer από έναν ιστότοπο υποδοχής. 

Ο εισβολέας σχεδίασε το πρόγραμμα φόρτωσης JavaScript ώστε να μοιάζει με τον Διαχειριστή ετικετών Google, τον κώδικα παρακολούθησης του Facebook Pixel και άλλες νόμιμες υπηρεσίες τρίτων, επομένως είναι δύσκολο να εντοπιστεί. Ο χειριστής της συνεχιζόμενης καμπάνιας τύπου Magecart χρησιμοποιεί επίσης την κωδικοποίηση Base64 για να αποκρύψει τις διευθύνσεις URL των παραβιασμένων ιστότοπων που φιλοξενούν το skimmer. 

"Η διαδικασία εξαγωγής των κλεμμένων δεδομένων εκτελείται μέσω ενός απλού αιτήματος HTTP, το οποίο ξεκινά με τη δημιουργία μιας ετικέτας IMG εντός του κώδικα skimmer", έγραψε ο Lvovsky. "Τα κλεμμένα δεδομένα προσαρτώνται στη συνέχεια στο αίτημα ως παράμετροι ερωτήματος, κωδικοποιημένα ως συμβολοσειρά Base64."

Ως περίπλοκη λεπτομέρεια, η Akamai βρήκε επίσης κώδικα στο κακόβουλο λογισμικό skimmer που εξασφάλιζε ότι δεν έκλεψε την ίδια πιστωτική κάρτα και προσωπικά στοιχεία δύο φορές.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoAiStream. Web3 Data Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• Minting the Future με την Adryenn Ashley. Πρόσβαση εδώ.
• Αγορά και πώληση μετοχών σε εταιρείες PRE-IPO με το PREIPO®. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign