Tutkijat havaitsevat erilaisen Magecart-korttien karsintakampanjan

Magecart-sateenvarjossa oleva hyökkääjä on tartuttanut tuntemattoman määrän verkkokauppasivustoja Yhdysvalloissa, Isossa-Britanniassa ja viidessä muussa maassa haittaohjelmilla, jotka luvaavat näillä sivustoilla ostoksia tekevien ihmisten luottokorttinumeroita ja henkilökohtaisia ​​tunnistetietoja (PII). Mutta uudessa ryppyssä uhkatoimija käyttää myös samoja sivustoja isäntänä toimittamaan korttia luiskaavan haittaohjelman muille kohdesivustoille.

Tutkijat Akamaista jotka huomasivat meneillään olevan kampanjan, huomauttavat, että tämä ei ainoastaan ​​tee kampanjasta eroa aiemmasta Magecart-toiminnasta, vaan se on myös paljon vaarallisempi.

He arvioivat, että kyberhyökkäykset ovat jatkuneet vähintään kuukauden ja ovat mahdollisesti koskeneet jo kymmeniä tuhansia ihmisiä. Akamai sanoi, että se on havainnut kampanjan kohteena olevia verkkosivustoja Yhdysvaltojen ja Iso-Britannian lisäksi Brasiliassa, Espanjassa, Virossa, Australiassa ja Perussa.

Maksukorttivarkaudet ja muuta: kaksinkertainen kompromissi

Magecart on kyberrikollisryhmien löysä ryhmä, joka on osallisena verkkomaksukorttien salailuhyökkäyksistä. Muutaman viime vuoden aikana nämä ryhmät ovat lisänneet samannimisen korttien keraajia kymmeniin tuhansiin sivustoihin maailmanlaajuisesti – mukaan lukien sivustot, kuten TicketMaster ja British Airways – ja varastivat heiltä miljoonia luottokortteja, jotka he ovat sitten kaupallistaneet eri tavoin. 

Akamai laski Magecart-hyökkäykset 9,200 2,468 verkkokauppasivustolle viime vuonna, joista 2022 XNUMX oli edelleen tartunnan saaneita vuoden XNUMX lopussa.

Tyypillinen Juicy Fruit Nämä ryhmät ovat piilottaneet haitallista koodia laillisiin verkkokauppasivustoihin – tai kolmansien osapuolien komponentteihin, kuten seurantajärjestelmiin ja ostoskärryihin – joita sivustot käyttävät tunnettuja haavoittuvuuksia hyödyntäen. Kun käyttäjät syöttävät luottokorttitietoja ja muita arkaluontoisia tietoja vaarantuneiden verkkosivustojen kassasivulle, salaajat sieppaavat tiedot hiljaa ja lähettävät ne etäpalvelimelle. Toistaiseksi hyökkääjät ovat kohdistaneet Magecart-hyökkäyksissä ensisijaisesti sivustoihin, jotka käyttävät avoimen lähdekoodin Magento-verkkokauppaalustaa.

Uusin kampanja on hieman erilainen siinä mielessä, että hyökkääjä ei vain ruiskuta Magecart-korttia kohdesivustoille, vaan myös kaappaa monia niistä levittääkseen haitallista koodia. 

"Yksi laillisten verkkosivustojen verkkotunnusten käytön tärkeimmistä eduista on luontainen luottamus, jonka nämä verkkotunnukset ovat rakentaneet ajan myötä", Akamain analyysin mukaan. "Turvapalvelut ja verkkotunnusten pisteytysjärjestelmät määrittävät yleensä korkeammat luottamustasot verkkotunnuksille, joilla on positiivinen historia ja laillinen käyttöhistoria. Seurauksena on, että näillä verkkotunnuksilla harjoitetuilla haitallisilla toimilla on suurempi mahdollisuus jäädä huomaamatta tai automatisoidut turvajärjestelmät kohtelevat niitä hyvänlaatuisina."

Lisäksi viimeisimmän operaation takana oleva hyökkääjä on hyökännyt myös sivustoihin, joissa on Magenton lisäksi muita ohjelmistoja, kuten WooCommerce, Shopify ja WordPress.

Erilainen lähestymistapa, sama lopputulos

"Yksi kampanjan merkittävimmistä osista on tapa, jolla hyökkääjät perustivat infrastruktuurinsa web-skimmauskampanjan suorittamiseksi", Akamain tutkija Roman Lvovsky kirjoitti blogikirjoituksessaan. "Ennen kuin kampanja voi alkaa tosissaan, hyökkääjät etsivät haavoittuvia verkkosivustoja toimiakseen "isäntänä" haitalliselle koodille, jota käytetään myöhemmin verkkohakuhyökkäyksen luomiseen."

Akamain analyysi kampanjasta osoitti, että hyökkääjä käytti useita temppuja hämärtääkseen haitallista toimintaa. Esimerkiksi sen sijaan, että Akamai olisi ruiskuttanut skimmerin suoraan kohdesivustolle, Akamai huomasi, että hyökkääjä lisäsi verkkosivuilleen pienen JavaScript-koodinpätkän, joka haki haitallisen skimmerin isäntäsivustolta. 

Hyökkääjä suunnitteli JavaScript-lataimen näyttämään Google Tag Managerilta, Facebook Pixel -seurantakoodilta ja muilta laillisilta kolmannen osapuolen palveluilta, joten sitä on vaikea havaita. Käynnissä olevan Magecart-tyyppisen kampanjan operaattori on myös käyttänyt Base64-koodausta hämärtääkseen skimmeriä isännöivien vaarantuneiden verkkosivustojen URL-osoitteet. 

"Varastettujen tietojen suodattaminen suoritetaan suoraviivaisella HTTP-pyynnöllä, joka käynnistetään luomalla IMG-tunniste skimmerikoodiin", Lvovsky kirjoitti. "Varastetut tiedot liitetään sitten pyyntöön kyselyparametreina, koodataan Base64-merkkijonoksi."

Hienostuneena yksityiskohtana Akamai löysi myös skimmer-haittaohjelmasta koodin, joka varmisti, ettei se varastanut samaa luottokorttia ja henkilökohtaisia ​​tietoja kahdesti.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
• Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
• Osta ja myy osakkeita PRE-IPO-yhtiöissä PREIPO®:lla. Pääsy tästä.
• Lähde: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign