Magecarti vihmavarju all olev ründaja on nakatanud USA-s, Ühendkuningriigis ja veel viies riigis teadmata arvu e-kaubandussaite pahavaraga, mis võimaldab neil saitidel oste sooritavate inimeste krediitkaardinumbreid ja isikut tuvastavat teavet (PII). Kuid uues kortsus kasutab ohutegija samu saite kui hostid, et edastada kaarti luusiv pahavara teistele sihtsaitidele.
Akamai teadlased kes märkas käimasolevat kampaaniat, märgib, et see mitte ainult ei erista kampaaniat varasemast Magecarti tegevusest, vaid on ka palju ohtlikum.
Nad hindavad, et küberrünnakud on kestnud vähemalt kuu ja on potentsiaalselt puudutanud juba kümneid tuhandeid inimesi. Akamai ütles, et lisaks USA-le ja Ühendkuningriigile on ta märganud kampaaniast mõjutatud veebisaite Brasiilias, Hispaanias, Eestis, Austraalias ja Peruus.
Maksekaardi vargus ja palju muud: topeltkompromiss
Magecart on küberkurjategijate rühmituste lõtv kollektiiv, mis on seotud online-maksekaartide närimise rünnakutega. Viimase mitme aasta jooksul on need grupid süstinud oma nimekaimukaarte kümnetele tuhandetele saitidele üle maailma – sealhulgas sellistele saitidele nagu Piletimeister ja British Airways — ja varastas neilt miljoneid krediitkaarte, mida nad on seejärel erinevatel viisidel raha teeninud.
Akamai luges eelmisel aastal Magecarti rünnakuid 9,200 e-kaubandussaidi vastu, millest 2,468. aasta lõpu seisuga oli nakatunud 2022.
Tüüpiline Mahlane puuvili nende rühmade jaoks on olnud salaja pahatahtliku koodi süstimine seaduslikele e-kaubanduse saitidele – või kolmandate osapoolte komponentidele, nagu jälgimisseadmed ja ostukärud –, mida saidid teadaolevaid turvaauke ära kasutades. Kui kasutajad sisestavad ohustatud veebisaitide kassalehele krediitkaarditeavet ja muid tundlikke andmeid, püüavad skimmerid andmed vaikselt kinni ja saadavad need kaugserverisse. Seni on ründajad Magecarti rünnakutes sihtinud peamiselt saite, mis käitavad avatud lähtekoodiga Magento e-kaubanduse platvormi.
Viimane kampaania erineb veidi selle poolest, et ründaja mitte ainult ei süsti Magecart kaardi skimmerit sihtsaitidele, vaid kaaperdab paljusid neist, et levitada pahatahtlikku koodi.
Akamai analüüsi kohaselt on üks peamisi eeliseid seaduslike veebisaitide domeenide kasutamisel. "Turvateenused ja domeenide hindamissüsteemid määravad tavaliselt kõrgema usaldustaseme domeenidele, millel on positiivne tulemus ja seadusliku kasutuse ajalugu. Selle tulemusena on nende domeenide all läbiviidavatel pahatahtlikel tegevustel suurem tõenäosus, et need jäävad avastamata või automatiseeritud turvasüsteemide poolt käsitletakse neid healoomulistena.
Lisaks on viimase operatsiooni taga olnud ründaja rünnanud ka saite, mis ei tööta mitte ainult Magentoga, vaid ka muu tarkvaraga, nagu WooCommerce, Shopify ja WordPress.
Teistsugune lähenemine, sama tulemus
"Üks kampaania silmapaistvamaid osi on viis, kuidas ründajad rajasid oma infrastruktuuri, et läbi viia veebisõlmimise kampaania," kirjutas Akamai uurija Roman Lvovsky ajaveebi postituses. "Enne kui kampaania saab tõsiselt alata, otsivad ründajad haavatavaid veebisaite, et tegutseda pahatahtliku koodi hostidena, mida hiljem kasutatakse veebisõlmimise rünnaku loomiseks."
Akamai kampaania analüüs näitas, et ründaja kasutas pahatahtliku tegevuse hägustamiseks mitmeid nippe. Näiteks selle asemel, et skimmeri otse sihtveebisaidile süstida, leidis Akamai, et ründaja süstis tema veebilehtedele väikese JavaScripti koodilõigu, mis seejärel tõi pahatahtliku skimmeri hostveebisaidilt.
Ründaja kujundas JavaScripti laadija välja nagu Google Tag Manager, Facebook Pixeli jälgimiskood ja muud seaduslikud kolmanda osapoole teenused, nii et seda on raske märgata. Käimasoleva Magecart-laadse kampaania operaator on kasutanud ka Base64 kodeeringut, et hägustada skimmerit hostivate ohustatud veebisaitide URL-e.
"Varastatud andmete väljafiltreerimise protsess viiakse läbi otsese HTTP-päringu kaudu, mis käivitatakse skimmeri koodis IMG-sildi loomisega," kirjutas Lvovsky. Varastatud andmed lisatakse seejärel päringu parameetritena, mis on kodeeritud Base64 stringina.
Keerulise detailina leidis Akamai ka skimmeri pahavarast koodi, mis tagas, et see ei varastanud kaks korda sama krediitkaarti ja isiklikku teavet.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
- Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
- Ostke ja müüge IPO-eelsete ettevõtete aktsiaid koos PREIPO®-ga. Juurdepääs siia.
- Allikas: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign
- :on
- :on
- :mitte
- $ UP
- 200
- 2022
- 9
- a
- Vastavalt
- tegu
- tegevus
- tegevus
- lisamine
- eelised
- Akamai
- juba
- Ka
- an
- analüüs
- ja
- lähenemine
- AS
- At
- rünnak
- Ründamine
- Reageerib
- Austraalia
- Automatiseeritud
- muutub
- olnud
- enne
- taga
- on
- Blogi
- Brasiilia
- ehitatud
- kuid
- by
- Kampaania
- CAN
- kaart
- Kaardid
- võimalus
- Vormista ost
- kood
- Kollektiivne
- komponendid
- Kompromissitud
- Läbi viima
- läbi
- riikides
- looma
- loomine
- krediit
- krediitkaart
- Krediitkaardid
- küberrünnakud
- KÜBERKRIMINAAL
- Ohtlik
- andmed
- edastamine
- kavandatud
- detail
- DID
- erinev
- otse
- levitada
- domeen
- Domeenid
- kahekordistada
- e-kaubandus
- lõpp
- sisene
- Eesti
- Eeter (ETH)
- näide
- täidetud
- kaugele
- Tõmmatud
- eest
- avastatud
- Alates
- läheb
- Grupi omad
- Raske
- Olema
- rohkem
- ajalugu
- võõrustaja
- Hosting
- hosts
- http
- HTTPS
- in
- Kaasa arvatud
- kasvanud
- info
- Infrastruktuur
- omane
- süstima
- selle asemel
- sisse
- seotud
- IT
- ITS
- JavaScript
- jpg
- lihtsalt
- Laps
- teatud
- viimane
- Eelmisel aastal
- pärast
- hiljemalt
- kõige vähem
- õigustatud
- taset
- nagu
- laadur
- Vaata
- näeb välja
- TEEB
- Tegemine
- malware
- juht
- palju
- miljonid
- kuu
- rohkem
- kõige
- mitmekordne
- Uus
- märkimisväärne
- number
- numbrid
- of
- on
- ONE
- jätkuv
- Internetis
- avatud
- avatud lähtekoodiga
- töö
- operaator
- or
- Muu
- üle
- lehekülg
- parameetrid
- osad
- minevik
- makse
- Inimesed
- isiklik
- Isiklikult
- Peruu
- pii
- piksel
- inimesele
- Platon
- Platoni andmete intelligentsus
- PlatoData
- positiivne
- post
- potentsiaalselt
- eelkõige
- esmane
- Eelnev
- protsess
- Ostud
- rekord
- jäi
- kauge
- taotleda
- uurija
- Teadlased
- kaasa
- jooksmine
- s
- Ütlesin
- sama
- Hinded
- turvalisus
- turvasüsteemid
- otsima
- saatma
- tundlik
- Teenused
- komplekt
- mitu
- Shopify
- ostud
- näitas
- Saidid
- koorijad
- koorimine
- veidi erinev
- väike
- So
- nii kaugel
- tarkvara
- keeruline
- allikas
- Hispaania
- Kaubandus-
- algus
- varastatud
- lihtne
- nöör
- selline
- süsteemid
- TAG
- sihtmärk
- suunatud
- kümneid
- et
- .
- vargus
- oma
- Neile
- SIIS
- Need
- nad
- kolmanda osapoole
- see
- tuhandeid
- oht
- Läbi
- aeg
- et
- jälgida
- jälgimisseadmed
- Jälgimine
- Usalda
- Kaks korda
- tüüpiline
- tüüpiliselt
- Uk
- all
- tundmatu
- us
- kasutama
- Kasutatud
- Kasutajad
- kasutamine
- kasutades
- Haavatavused
- Haavatav
- Tee..
- kuidas
- web
- veebisait
- veebilehed
- millal
- mis
- WHO
- will
- koos
- jooksul
- WordPress
- ülemaailmne
- aasta
- aastat
- sephyrnet
