חוקרים הבחינו בסוג אחר של מסע רפרוף בכרטיסי Magecart

תוקף תחת מטריית Magecart הדביק מספר לא ידוע של אתרי מסחר אלקטרוני בארה"ב, בריטניה וחמש מדינות נוספות בתוכנות זדוניות לצורך גלישת מספרי כרטיסי אשראי ומידע מזהה אישי (PII) השייכים לאנשים שמבצעים רכישות באתרים אלה. אבל בקמט חדש, שחקן האיום משתמש גם באותם אתרים כמו מארחים כדי להעביר את התוכנה הזדונית של רפרפת כרטיסים לאתרי יעד אחרים.

חוקרים מאקאמאי מי שזיהה את הקמפיין המתמשך מציין שזה לא רק הופך את הקמפיין לשונה מפעילות קודמת של Magecart, אלא שהוא גם הרבה יותר מסוכן.

הם מעריכים כי מתקפות הסייבר נמשכות במשך חודש אחד לפחות ועשויות להשפיע על עשרות אלפי אנשים כבר. Akamai אמרה כי בנוסף לארה"ב ובריטניה, היא זיהתה אתרים שהושפעו מהקמפיין בברזיל, ספרד, אסטוניה, אוסטרליה ופרו.

גניבת כרטיסי תשלום ועוד: פשרה כפולה

Magecart הוא קולקטיב רופף של קבוצות פושעי סייבר המעורבות בהתקפות של רפרוף בכרטיסי תשלום מקוונים. במהלך השנים האחרונות, קבוצות אלו הזריקו את רחפני הכרטיסים בשמותיהם לעשרות אלפי אתרים ברחבי העולם - כולל אתרים כגון Ticketmaster ו בריטיש איירווייס - וגנבו מהם מיליוני כרטיסי אשראי, ואז הם יצרו רווחים בדרכים שונות. 

Akamai ספרה התקפות Magecart על 9,200 אתרי מסחר אלקטרוני בשנה שעברה, מתוכם 2,468 נותרו נגועים נכון לסוף 2022.

הטיפוסי דרך פעולה שכן קבוצות אלו היו להחדיר בחשאי קוד זדוני לאתרי מסחר אלקטרוני לגיטימיים - או לרכיבים של צד שלישי כגון עוקבים ועגלות קניות - שהאתרים משתמשים בהם, על ידי ניצול נקודות תורפה ידועות. כאשר משתמשים מכניסים פרטי כרטיס אשראי ונתונים רגישים אחרים בעמוד התשלום של אתרים שנפגעו, הרחפנים מיירטים בשקט את הנתונים ושולחים אותם לשרת מרוחק. עד כה, התוקפים כוונו בעיקר לאתרים המריצים את פלטפורמת המסחר האלקטרוני מג'נטו בקוד פתוח בהתקפות Magecart.

הקמפיין האחרון שונה במקצת בכך שהתוקף לא רק מחדיר רחפן של כרטיסי Magecart לאתרי יעד, אלא גם חוטף רבים מהם כדי להפיץ קוד זדוני. 

"אחד היתרונות העיקריים של שימוש בדומיינים לגיטימיים של אתרים הוא האמון המובנה שדומיינים אלה בנו לאורך זמן", על פי ניתוח Akamai. "שירותי אבטחה ומערכות ניקוד תחומים בדרך כלל מקצות רמות אמון גבוהות יותר לתחומים עם רקורד חיובי והיסטוריה של שימוש לגיטימי. כתוצאה מכך, לפעילויות זדוניות המתבצעות תחת תחומים אלה יש סיכוי מוגבר שלא יזוהו או יטופלו כשיר על ידי מערכות אבטחה אוטומטיות".

בנוסף, התוקף מאחורי המבצע האחרון תקף גם אתרים שמריצים לא רק את מג'נטו אלא גם תוכנות אחרות, כמו WooCommerce, Shopify ו-WordPress.

גישה שונה, אותה תוצאה

"אחד החלקים הבולטים בקמפיין הוא האופן שבו התוקפים הקימו את התשתית שלהם כדי לנהל את מסע הרחיפה באינטרנט", כתב חוקר אקמאי רומן לבובסקי בפוסט בבלוג. "לפני שהקמפיין יתחיל ברצינות, התוקפים יחפשו אתרים פגיעים שיפעלו כ'מארחים' עבור הקוד הזדוני המשמש מאוחר יותר ליצירת מתקפת הרחיפה באינטרנט."

הניתוח של Akamai של הקמפיין הראה שהתוקף משתמש במספר טריקים כדי לטשטש את הפעילות הזדונית. לדוגמה, במקום להחדיר את הרחפן ישירות לאתר יעד, Akamai מצא את התוקף מחדיר קטע קוד JavaScript קטן לדפי האינטרנט שלו, ולאחר מכן הביא את הרחפן הזדוני מאתר מארח. 

התוקף עיצב את טוען ה-JavaScript כך שייראה כמו מנהל התגים של גוגל, קוד המעקב של פיקסל של פייסבוק ושירותי צד שלישי לגיטימיים אחרים, כך שקשה לזהות אותו. המפעיל של מסע הפרסום המתמשך דמוי Magecart גם השתמש בקידוד Base64 כדי לטשטש את כתובות האתרים של אתרים שנפגעו המארחים את הרחפן. 

"תהליך הוצאת הנתונים הגנובים מתבצע באמצעות בקשת HTTP פשוטה, שמתחילה על ידי יצירת תג IMG בתוך קוד הרחפן", כתב לבובסקי. "לאחר מכן, הנתונים הגנובים מצורפים לבקשה כפרמטרי שאילתה, מקודדים כמחרוזת Base64."

כפרט מתוחכם, Akamai מצאה גם קוד בתוכנת תוכנה זדונית של הרחפן שהבטיחה שהיא לא גונבת את אותו כרטיס אשראי ומידע אישי פעמיים.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
• הטבעת העתיד עם אדריאן אשלי. גישה כאן.
• קנה ומכירה של מניות בחברות PRE-IPO עם PREIPO®. גישה כאן.
• מקור: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign