Penyerang di bawah payung Magecart telah menginfeksi situs e-niaga dalam jumlah yang tidak diketahui di AS, Inggris, dan lima negara lainnya dengan malware untuk menggelapkan nomor kartu kredit dan informasi identitas pribadi (PII) milik orang yang melakukan pembelian di situs ini. Namun dalam masalah baru, pelaku ancaman juga menggunakan situs yang sama sebagai host untuk mengirimkan malware pembobol kartu ke situs target lainnya.
Peneliti dari Akamai yang melihat kampanye yang sedang berlangsung mencatat bahwa ini tidak hanya membuat kampanye berbeda dari aktivitas Magecart sebelumnya, tetapi juga jauh lebih berbahaya.
Mereka menilai bahwa serangan siber telah berlangsung setidaknya selama satu bulan dan berpotensi memengaruhi puluhan ribu orang. Akamai mengatakan bahwa selain AS dan Inggris, situs web yang terpengaruh oleh kampanye tersebut telah ditemukan di Brasil, Spanyol, Estonia, Australia, dan Peru.
Pencurian Kartu Pembayaran & Lainnya: Kompromi Ganda
Magecart adalah kumpulan kelompok penjahat dunia maya yang terlibat dalam serangan skimming kartu pembayaran online. Selama beberapa tahun terakhir, grup ini telah menyuntikkan skimmer kartu senama mereka ke puluhan ribu situs di seluruh dunia — termasuk situs seperti TiketMaster dan British Airways —dan mencuri jutaan kartu kredit dari mereka, yang kemudian mereka uangkan dengan berbagai cara.
Akamai menghitung serangan Magecart di 9,200 situs e-niaga tahun lalu, di mana 2,468 di antaranya tetap terinfeksi hingga akhir 2022.
Yang khas modus operandi karena kelompok ini telah secara diam-diam menyuntikkan kode berbahaya ke situs e-niaga yang sah — atau ke dalam komponen pihak ketiga seperti pelacak dan kereta belanja — yang digunakan situs tersebut, dengan mengeksploitasi kerentanan yang diketahui. Saat pengguna memasukkan informasi kartu kredit dan data sensitif lainnya di halaman checkout situs web yang disusupi, skimmer secara diam-diam mencegat data tersebut dan mengirimkannya ke server jarak jauh. Sejauh ini, penyerang terutama menargetkan situs yang menjalankan platform e-commerce Magento open source dalam serangan Magecart.
Kampanye terbaru sedikit berbeda karena penyerang tidak hanya menyuntikkan skimmer kartu Magecart ke situs target tetapi juga membajak banyak dari mereka untuk mendistribusikan kode berbahaya.
“Salah satu keuntungan utama menggunakan domain situs web yang sah adalah kepercayaan yang melekat yang telah dibangun oleh domain ini dari waktu ke waktu,” menurut analisis Akamai. “Layanan keamanan dan sistem penilaian domain biasanya menetapkan tingkat kepercayaan yang lebih tinggi ke domain dengan rekam jejak positif dan riwayat penggunaan yang sah. Akibatnya, aktivitas jahat yang dilakukan di bawah domain ini memiliki peluang lebih besar untuk tidak terdeteksi atau dianggap tidak berbahaya oleh sistem keamanan otomatis.”
Selain itu, penyerang di balik operasi terbaru juga telah menyerang situs yang tidak hanya menjalankan Magento tetapi juga perangkat lunak lain, seperti WooCommerce, Shopify, dan WordPress.
Pendekatan Berbeda, Hasil Sama
“Salah satu bagian yang paling menonjol dari kampanye ini adalah cara penyerang mengatur infrastruktur mereka untuk melakukan kampanye skimming web,” tulis peneliti Akamai Roman Lvovsky dalam posting blog. "Sebelum kampanye dapat dimulai dengan sungguh-sungguh, penyerang akan mencari situs web yang rentan untuk bertindak sebagai 'host' untuk kode berbahaya yang nantinya digunakan untuk membuat serangan skimming web."
Analisis kampanye Akamai menunjukkan penyerang menggunakan beberapa trik untuk mengaburkan aktivitas jahat. Misalnya, alih-alih menyuntikkan skimmer langsung ke situs web target, Akamai menemukan penyerang menyuntikkan cuplikan kode JavaScript kecil ke laman webnya yang kemudian mengambil skimmer berbahaya dari situs web host.
Penyerang merancang pemuat JavaScript agar terlihat seperti Google Pengelola Tag, kode pelacakan Piksel Facebook, dan layanan pihak ketiga sah lainnya, sehingga sulit dikenali. Operator kampanye mirip Magecart yang sedang berlangsung juga telah menggunakan pengkodean Base64 untuk mengaburkan URL situs web yang disusupi yang menghosting skimmer.
“Proses mengekstraksi data yang dicuri dilakukan melalui permintaan HTTP langsung, yang dimulai dengan membuat tag IMG di dalam kode skimmer,” tulis Lvovsky. “Data yang dicuri kemudian ditambahkan ke permintaan sebagai parameter kueri, dikodekan sebagai string Base64.”
Sebagai detail yang canggih, Akamai juga menemukan kode di malware skimmer yang memastikannya tidak mencuri kartu kredit dan informasi pribadi yang sama dua kali.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
- Beli dan Jual Saham di Perusahaan PRE-IPO dengan PREIPO®. Akses Di Sini.
- Sumber: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign
- :memiliki
- :adalah
- :bukan
- $NAIK
- 200
- 2022
- 9
- a
- Menurut
- Bertindak
- kegiatan
- kegiatan
- tambahan
- keuntungan
- Akamai
- sudah
- juga
- an
- analisis
- dan
- pendekatan
- AS
- At
- menyerang
- Menyerang
- Serangan
- Australia
- Otomatis
- menjadi
- menjadi
- sebelum
- di belakang
- makhluk
- Blog
- Brasil
- dibangun di
- tapi
- by
- Kampanye
- CAN
- kartu
- Kartu-kartu
- kesempatan
- Pembayaran
- kode
- Kolektif
- komponen
- Dikompromikan
- Mengadakan
- dilakukan
- negara
- membuat
- membuat
- kredit
- kartu kredit
- Kartu kredit
- cyberattacks
- PENJAHAT SIBER
- Berbahaya
- data
- mengantarkan
- dirancang
- rinci
- MELAKUKAN
- berbeda
- langsung
- mendistribusikan
- domain
- domain
- dua kali lipat
- e-commerce
- akhir
- Enter
- estonia
- Eter (ETH)
- contoh
- dieksekusi
- jauh
- Sudah diambil
- Untuk
- ditemukan
- dari
- akan
- Grup
- Sulit
- Memiliki
- lebih tinggi
- sejarah
- tuan rumah
- tuan
- host
- http
- HTTPS
- in
- Termasuk
- Pada meningkat
- informasi
- Infrastruktur
- inheren
- menyuntikkan
- sebagai gantinya
- ke
- terlibat
- IT
- NYA
- JavaScript
- jpg
- hanya
- Jenis
- dikenal
- Terakhir
- Tahun lalu
- kemudian
- Terbaru
- paling sedikit
- sah
- adalah ide yang bagus
- 'like'
- pemuat
- melihat
- terlihat seperti
- MEMBUAT
- Membuat
- malware
- manajer
- banyak
- jutaan
- Bulan
- lebih
- paling
- beberapa
- New
- penting
- jumlah
- nomor
- of
- on
- ONE
- terus-menerus
- secara online
- Buka
- open source
- operasi
- operator
- or
- Lainnya
- lebih
- halaman
- parameter
- bagian
- lalu
- pembayaran
- Konsultan Ahli
- pribadi
- Sendiri
- peru
- saleh
- pixel
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- positif
- Pos
- berpotensi
- terutama
- primer
- Sebelumnya
- proses
- pembelian
- catatan
- tetap
- terpencil
- permintaan
- peneliti
- peneliti
- mengakibatkan
- berjalan
- s
- Tersebut
- sama
- mencetak gol
- keamanan
- sistem keamanan
- Mencari
- mengirim
- peka
- Layanan
- set
- beberapa
- Shopify
- tas
- menunjukkan
- Situs
- skimmer
- peluncuran
- sedikit berbeda
- kecil
- So
- sejauh ini
- Perangkat lunak
- mutakhir
- sumber
- Spanyol
- Spot
- awal
- dicuri
- mudah
- Tali
- seperti itu
- sistem
- MENANDAI
- target
- ditargetkan
- memiliki
- bahwa
- Grafik
- pencurian
- mereka
- Mereka
- kemudian
- Ini
- mereka
- pihak ketiga
- ini
- ribuan
- ancaman
- Melalui
- waktu
- untuk
- jalur
- pelacak
- Pelacakan
- Kepercayaan
- Dua kali
- khas
- khas
- Uk
- bawah
- tidak dikenal
- us
- menggunakan
- bekas
- Pengguna
- menggunakan
- Memanfaatkan
- Kerentanan
- Rentan
- Cara..
- cara
- jaringan
- Situs Web
- situs web
- ketika
- yang
- SIAPA
- akan
- dengan
- dalam
- WordPress
- industri udang di seluruh dunia.
- tahun
- tahun
- zephyrnet.dll
